Delen via


Confidential Computing aan de rand

Van toepassing op: IoT Edge 1.5-vinkje IoT Edge 1.5 Vinkje voor IoT Edge 1.4 IoT Edge 1.4

Belangrijk

IoT Edge 1.5 LTS en IoT Edge 1.4 LTS worden ondersteund releases. IoT Edge 1.4 LTS eindigt op 12 november 2024. Raadpleeg IoT Edge bijwerken als u een eerdere versie hebt.

Azure IoT Edge ondersteunt vertrouwelijke toepassingen die worden uitgevoerd binnen beveiligde enclaves op het apparaat. Versleuteling biedt beveiliging voor gegevens tijdens overdracht of at-rest, maar enclaves bieden beveiliging voor gegevens en workloads tijdens gebruik. IoT Edge ondersteunt Open Enclave als standaard voor het ontwikkelen van vertrouwelijke toepassingen.

Beveiliging is een belangrijke focus op Internet of Things (IoT), omdat IoT-apparaten vaak buiten de wereld zijn in plaats van beveiligd binnen een privéfaciliteit. Deze blootstelling brengt apparaten in gevaar voor manipulatie en vervalsing, omdat ze fysiek toegankelijk zijn voor slechte actoren. IoT Edge-apparaten hebben nog meer behoefte aan vertrouwen en integriteit, omdat gevoelige workloads aan de rand kunnen worden uitgevoerd. In tegenstelling tot veelvoorkomende sensoren en actuatoren, zijn deze intelligente edge-apparaten mogelijk gevoelige workloads beschikbaar die voorheen alleen werden uitgevoerd binnen beveiligde cloud- of on-premises omgevingen.

De IoT Edge-beveiligingsbeheerder behandelt één deel van de uitdaging voor vertrouwelijke computing. Security Manager maakt gebruik van een HSM (Hardware Security Module) om de identiteitsworkloads en lopende processen van een IoT Edge-apparaat te beveiligen.

Een ander aspect van confidential computing is het beveiligen van de gegevens die worden gebruikt aan de rand. Een TEE (Trusted Execution Environment) is een beveiligde, geïsoleerde omgeving op een processor en wordt ook wel een enclave genoemd. Een vertrouwelijke toepassing is een toepassing die wordt uitgevoerd in een enclave. Vanwege de aard van enclaves worden vertrouwelijke toepassingen beschermd tegen andere apps die worden uitgevoerd in de hoofdprocessor of in de TEE.

Vertrouwelijke toepassingen in IoT Edge

Vertrouwelijke toepassingen worden versleuteld tijdens overdracht en at-rest en worden alleen ontsleuteld om te worden uitgevoerd in een vertrouwde uitvoeringsomgeving. Deze standaard geldt voor vertrouwelijke toepassingen die zijn geïmplementeerd als IoT Edge-modules.

De ontwikkelaar maakt de vertrouwelijke toepassing en verpakt deze als een IoT Edge-module. De toepassing wordt versleuteld voordat deze naar het containerregister wordt gepusht. De toepassing blijft versleuteld gedurende het IoT Edge-implementatieproces totdat de module is gestart op het IoT Edge-apparaat. Zodra de vertrouwelijke toepassing zich in de TEE van het apparaat bevindt, wordt deze ontsleuteld en kan deze worden uitgevoerd.

Diagram met vertrouwelijke toepassingen worden versleuteld in IoT Edge-modules totdat ze zijn geïmplementeerd in de beveiligde enclave.

Vertrouwelijke toepassingen in IoT Edge zijn een logische uitbreiding van Azure Confidential Computing. Workloads die binnen beveiligde enclaves in de cloud worden uitgevoerd, kunnen ook worden geïmplementeerd om te worden uitgevoerd binnen beveiligde enclaves aan de rand.

Open Enclave

De Open Enclave SDK is een opensource-project waarmee ontwikkelaars vertrouwelijke toepassingen voor meerdere platforms en omgevingen kunnen maken. De Open Enclave SDK werkt binnen de vertrouwde uitvoeringsomgeving van een apparaat, terwijl de Open Enclave-API fungeert als een interface tussen de TEE en de niet-TEE-verwerkingsomgeving.

Open Enclave ondersteunt meerdere hardwareplatforms. IoT Edge-ondersteuning voor enclaves vereist momenteel het Open Portable TEE-besturingssysteem (OP-TEE OS). Zie Open Enclave SDK voor OP-TEE OS voor meer informatie.

De Open Enclave-opslagplaats bevat ook voorbeelden om ontwikkelaars te helpen aan de slag te gaan. Kies een van de inleidende artikelen voor meer informatie:

Hardware

TrustBox by Scalys is momenteel het enige apparaat dat wordt ondersteund met serviceovereenkomsten van de fabrikant voor het implementeren van vertrouwelijke toepassingen als IoT Edge-modules. De TrustBox is gebouwd op de TrustBox Edge- en TrustBox EdgeXL-apparaten die beide vooraf worden geladen met de Open Enclave SDK en Azure IoT Edge.

Zie Aan de slag met Open Enclave voor Scalys TrustBox voor meer informatie.

Ontwikkelen en implementeren

Wanneer u klaar bent om uw vertrouwelijke toepassing te ontwikkelen en te implementeren, kan de Microsoft Open Enclave-extensie voor Visual Studio Code u hierbij helpen. U kunt Linux of Windows als ontwikkelcomputer gebruiken om modules voor trustbox te ontwikkelen.

Volgende stappen

Meer informatie over het ontwikkelen van vertrouwelijke toepassingen als IoT Edge-modules met de Open Enclave-extensie voor Visual Studio Code.