Condividi tramite

Computing riservato nella rete perimetrale

  • Articolo

Si applica a: Segno di spunta IoT Edge 1.5 IoT Edge 1.5 Segno di spunta IoT Edge 1.4 IoT Edge 1.4

Importante

IoT Edge 1.5 LTS e IoT Edge 1.4 LTS sono versioni supportate. IoT Edge 1.4 LTS raggiungerà la fine del servizio il 12 novembre 2024. Se si usa una versione precedente, vedere Aggiornare IoT Edge.

Azure IoT Edge supporta applicazioni riservate eseguite all'interno di enclave sicuri nel dispositivo. La crittografia offre sicurezza per i dati in transito o inattivi, ma le enclave offrono sicurezza per i dati e i carichi di lavoro durante l'uso. IoT Edge supporta Open Enclave come standard per lo sviluppo di applicazioni riservate.

La sicurezza è un obiettivo importante di Internet delle cose (IoT) perché spesso i dispositivi IoT sono spesso fuori dal mondo anziché protetti all'interno di una struttura privata. Questa esposizione mette i dispositivi a rischio di manomissione e falsificazione perché sono fisicamente accessibili agli attori malintenzionati. I dispositivi IoT Edge hanno ancora più bisogno di attendibilità e integrità perché consentono l'esecuzione di carichi di lavoro sensibili al perimetro. A differenza dei sensori e degli attuatori comuni, questi dispositivi perimetrali intelligenti stanno potenzialmente esponendo carichi di lavoro sensibili che in precedenza venivano eseguiti solo all'interno di ambienti cloud protetti o locali.

Il responsabile della sicurezza di IoT Edge risolve una delle sfide di computing riservato. Il gestore della sicurezza usa un modulo di protezione hardware (HSM) per proteggere i carichi di lavoro di identità e i processi continui di un dispositivo IoT Edge.

Un altro aspetto del computing riservato è la protezione dei dati in uso nella rete perimetrale. Un ambiente di esecuzione attendibile (TEE) è un ambiente sicuro e isolato in un processore ed è talvolta definito enclave. Un'applicazione riservata è un'applicazione che viene eseguita in un enclave. A causa della natura delle enclave, le applicazioni riservate sono protette da altre app in esecuzione nel processore principale o nell'ambiente di tee.

Applicazioni riservate in IoT Edge

Le applicazioni riservate vengono crittografate in transito e inattive e decrittografate solo per l'esecuzione all'interno di un ambiente di esecuzione attendibile. Questo standard è valido per le applicazioni riservate distribuite come moduli IoT Edge.

Lo sviluppatore crea l'applicazione riservata e lo crea come modulo IoT Edge. L'applicazione viene crittografata prima di essere sottoposta a push nel registro contenitori. L'applicazione rimane crittografata durante il processo di distribuzione di IoT Edge fino all'avvio del modulo nel dispositivo IoT Edge. Una volta che l'applicazione riservata si trova all'interno dell'ambiente tee del dispositivo, viene decrittografata e può iniziare l'esecuzione.

Diagramma che mostra che le applicazioni riservate vengono crittografate all'interno dei moduli IoT Edge fino a quando non vengono distribuite nell'enclave sicuro.

Le applicazioni riservate in IoT Edge sono un'estensione logica del computing riservato di Azure. I carichi di lavoro eseguiti all'interno di enclave sicuri nel cloud possono anche essere distribuiti per l'esecuzione all'interno di enclave sicuri al perimetro.

Open Enclave

L'SDK Open Enclave è un progetto open source che consente agli sviluppatori di creare applicazioni riservate per più piattaforme e ambienti. L'SDK Open Enclave opera all'interno dell'ambiente di esecuzione attendibile di un dispositivo, mentre l'API Open Enclave funge da interfaccia tra l'ambiente di elaborazione TEE e l'ambiente di elaborazione non TEE.

Open Enclave supporta più piattaforme hardware. Il supporto di IoT Edge per le enclave richiede attualmente il sistema operativo Open Portable TEE (OP-TEE OS). Per altre informazioni, vedere SDK Open Enclave per OP-TEE OS.

Il repository Open Enclave include anche esempi che consentono agli sviluppatori di iniziare. Per altre informazioni, scegliere uno degli articoli introduttivi:

Hardware

Attualmente, TrustBox by Scalys è l'unico dispositivo supportato con i contratti di servizio del produttore per la distribuzione di applicazioni riservate come moduli IoT Edge. TrustBox è basato sui dispositivi TrustBox Edge e TrustBox EdgeXL, entrambi precaricati con Open Enclave SDK e Azure IoT Edge.

Per altre informazioni, vedere Introduzione a Open Enclave per Scalys TrustBox.

Sviluppare e distribuire

Quando si è pronti a sviluppare e distribuire l'applicazione riservata, l'estensione Microsoft Open Enclave per Visual Studio Code può essere utile. È possibile usare Linux o Windows come computer di sviluppo per sviluppare moduli per TrustBox.

Passaggi successivi

Informazioni su come iniziare a sviluppare applicazioni riservate come moduli IoT Edge con l'estensione Open Enclave per Visual Studio Code.