Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
S’applique à :
IoT Edge 1.5
Important
IoT Edge 1.5 LTS est la version prise en charge. IoT Edge 1.4 LTS est en fin de vie depuis le 12 novembre 2024. Si vous utilisez une version antérieure, consultez l’article Mettre à jour IoT Edge.
Azure IoT Edge prend en charge les applications confidentielles exécutées dans des enclaves sécurisées sur l’appareil. Le chiffrement assure la sécurité des données en transit ou au repos, tandis que les enclaves assurent la sécurité des données et des charges de travail en cours d'utilisation. IoT Edge prend en charge Open Enclave en tant que norme pour le développement d’applications confidentielles.
La sécurité est un élément important de l’Internet des objets (IoT), car les appareils IoT sont souvent hors du monde plutôt que sécurisés à l’intérieur d’une installation privée. Exposés, les appareils peuvent faire l'objet de tentatives d'altération et de falsification car ils sont physiquement accessibles à des personnes malveillantes. Les appareils IoT Edge ont besoin d’une plus grande confiance et d’intégrité, car ils exécutent des charges de travail sensibles à la périphérie. Contrairement aux capteurs et aux actionneurs courants, ces appareils de périphérie intelligents peuvent exposer des charges de travail sensibles qui étaient précédemment exécutées uniquement dans des environnements cloud ou locaux protégés.
Le Gestionnaire de sécurité IoT Edge répond à une partie du défi posé par l'informatique confidentielle. Le gestionnaire de sécurité utilise un module de sécurité matériel (HSM) pour protéger les charges de travail liées à l'identité et les processus en cours d'un appareil IoT Edge.
Un autre aspect de l’informatique confidentielle protège les données utilisées en périphérie. Un environnement d’exécution approuvé (TEE) est un environnement sécurisé isolé sur un processeur, parfois appelé enclave. Une application confidentielle est une application qui s’exécute dans une enclave. Compte tenu de la nature des enclaves, les applications confidentielles sont protégées des autres applications s’exécutant sur le processeur principal ou dans le TEE.
Applications confidentielles sur IoT Edge
Les applications confidentielles sont chiffrées pendant le transit et au repos, et déchiffrées uniquement pour s’exécuter à l’intérieur d’un environnement d’exécution approuvé. Cette norme s’applique aux applications confidentielles déployées en tant que modules IoT Edge.
Les développeurs créent des applications confidentielles et les empaquetent en tant que modules IoT Edge. L’application est chiffrée avant d’être envoyée au registre de conteneurs. L'application reste chiffrée tout au long du processus de déploiement IoT Edge jusqu'à ce que le module soit démarré sur l'appareil IoT Edge. Une fois l’application confidentielle dans le TEE de l’appareil, elle est déchiffrée et son exécution peut débuter.
Les applications confidentielles sur IoT Edge étendent l’informatique confidentielle Azure. Les charges de travail exécutées dans des enclaves sécurisées du cloud peuvent également être déployées pour être exécutées dans des enclaves sécurisées à la périphérie.
Ouvrir l’enclave
Le Kit de développement logiciel (SDK) Open Enclave est un projet open source qui permet aux développeurs de créer des applications confidentielles pour plusieurs plateformes et environnements. Le Kit de développement logiciel (SDK) Open Enclave fonctionne dans l’environnement d’exécution approuvé (TEE) d’un appareil, tandis que l’API Open Enclave agit en tant qu’interface entre l’environnement de traitement TEE et l’environnement de traitement non-TEE.
Open Enclave prend en charge différentes plateformes matérielles. La prise en charge d’IoT Edge pour les enclaves nécessite le système d’exploitation Open Portable TEE (OSOP-TEE). Pour en savoir plus, consultez SDK Open Enclave pour OP-TEE OS.
Le référentiel Open Enclave inclut des exemples pour aider les développeurs à démarrer. Pour plus d’informations, sélectionnez l’un des articles d’introduction :
- SDK Open Enclave - Création d'exemples sous Linux
- SDK Open Enclave - Création d'exemples sous Windows
Matériel
Actuellement, la TrustBox de Scalys est le seul appareil pris en charge par les contrats de service du fabricant pour le déploiement d’applications confidentielles en tant que modules IoT Edge. TrustBox est basé sur les appareils TrustBox Edge et TrustBox EdgeXL, tous deux préchargés avec le Kit de développement logiciel (SDK) Open Enclave et Azure IoT Edge.
Pour plus d'informations, consultez Prise en main d'Open Enclave pour la TrustBox de Scalys.
Développer et déployer
Lorsque vous êtes prêt à développer et à déployer votre application confidentielle, l’extension Microsoft Open Enclave pour Visual Studio Code peut vous aider. Vous pouvez utiliser un ordinateur de développement Linux ou Windows afin de développer des modules pour la TrustBox.
Étapes suivantes
Apprenez à développer des applications confidentielles sous forme de modules IoT Edge avec l’extension Open Enclave pour Visual Studio Code.