Share via

Rozwiązania w zakresie zabezpieczeń dla producentów urządzeń usługi Azure IoT

  • Artykuł

W miarę jak coraz więcej producentów udostępnia urządzenia IoT, warto zidentyfikować wskazówki dotyczące typowych rozwiązań. Ten artykuł zawiera podsumowanie zalecanych rozwiązań w zakresie zabezpieczeń, które należy wziąć pod uwagę podczas produkcji urządzeń do użycia z usługą Azure IoT Device Provisioning Service (DPS).

  • Wybieranie opcji uwierzytelniania urządzenia
  • Instalowanie certyfikatów na urządzeniach IoT
  • Integrowanie modułu TPM (Trusted Platform Module) z procesem produkcyjnym

Wybieranie opcji uwierzytelniania urządzenia

Ostatecznym celem każdego środka zabezpieczeń urządzenia IoT jest utworzenie bezpiecznego rozwiązania IoT. Jednak problemy, takie jak ograniczenia sprzętu, koszty i poziom wiedzy na temat zabezpieczeń, mają wpływ na wybrane opcje. Ponadto podejście do zabezpieczeń wpływa na sposób, w jaki urządzenia IoT łączą się z chmurą. Chociaż istnieje kilka elementów zabezpieczeń IoT do rozważenia, kluczowym elementem, który napotyka każdy klient, jest typ uwierzytelniania, którego należy użyć.

Trzy powszechnie używane typy uwierzytelniania to certyfikaty X.509, moduły TPM (Trusted Platform Modules) i klucze symetryczne. Podczas gdy istnieją inne typy uwierzytelniania, większość klientów tworzących rozwiązania w usłudze Azure IoT używa jednego z tych trzech typów. W pozostałej części tego artykułu przedstawiono zalety i wady dotyczące używania każdego typu uwierzytelniania.

Certyfikat X.509

Certyfikaty X.509 to typ tożsamości cyfrowej, której można użyć do uwierzytelniania. Standard certyfikatu X.509 jest udokumentowany w dokumencie IETF RFC 5280. W usłudze Azure IoT istnieją dwa sposoby uwierzytelniania certyfikatów:

  • Odcisk palca. Algorytm odcisku palca jest uruchamiany na certyfikacie w celu wygenerowania ciągu szesnastkowego. Wygenerowany ciąg jest unikatowym identyfikatorem certyfikatu.
  • Uwierzytelnianie urzędu certyfikacji oparte na pełnym łańcuchu. Łańcuch certyfikatów to hierarchiczna lista wszystkich certyfikatów wymaganych do uwierzytelniania certyfikatu jednostki końcowej (EE). Aby uwierzytelnić certyfikat EE, należy uwierzytelnić każdy certyfikat w łańcuchu, w tym zaufany główny urząd certyfikacji.

Zalety dla X.509:

  • X.509 to najbezpieczniejszy typ uwierzytelniania obsługiwany w usłudze Azure IoT.
  • X.509 umożliwia wysoki poziom kontroli na potrzeby zarządzania certyfikatami.
  • Wielu dostawców jest dostępnych w celu zapewnienia rozwiązań uwierzytelniania opartych na architekturze X.509.

Wady dla X.509:

  • Wielu klientów może wymagać od zewnętrznych dostawców certyfikatów.
  • Zarządzanie certyfikatami może być kosztowne i zwiększać łączny koszt rozwiązania.
  • Zarządzanie cyklem życia certyfikatu może być trudne, jeśli logistyka nie jest dobrze przemyślana.

Moduł TPM

Moduł TPM, znany również jako ISO/IEC 11889, jest standardem bezpiecznego generowania i przechowywania kluczy kryptograficznych. Moduł TPM odnosi się również do wirtualnego lub fizycznego urządzenia we/wy, które współdziała z modułami implementującymi standard. Urządzenie TPM może istnieć jako dyskretny sprzęt, zintegrowany sprzęt, moduł oparty na oprogramowaniu układowym lub moduł oparty na oprogramowaniu.

Istnieją dwie kluczowe różnice między modułami TPM i kluczami symetrycznymi:

  • Mikroukłady modułu TPM mogą również przechowywać certyfikaty X.509.
  • Zaświadczanie modułu TPM w usłudze DPS używa klucza poręczenia modułu TPM (EK), formy uwierzytelniania asymetrycznego. W przypadku uwierzytelniania asymetrycznego klucz publiczny jest używany do szyfrowania, a oddzielny klucz prywatny jest używany do odszyfrowywania. Natomiast klucze symetryczne używają uwierzytelniania symetrycznego, w którym klucz prywatny jest używany zarówno do szyfrowania, jak i odszyfrowywania.

Zalety modułu TPM:

  • Moduły TPM są dołączone jako standardowy sprzęt na wielu urządzeniach z systemem Windows z wbudowaną obsługą systemu operacyjnego.
  • Zaświadczanie modułu TPM jest łatwiejsze niż zaświadczanie klucza symetrycznego opartego na tokenach sygnatury dostępu współdzielonego (SAS).
  • Możesz łatwo wygasnąć i odnowić lub wycofać poświadczenia urządzenia. Usługa DPS automatycznie przerzuca poświadczenia usługi IoT Hub za każdym razem, gdy urządzenie TPM ma zostać ponownie aprowizacji.

Wady modułu TPM:

  • Moduły TPM są złożone i mogą być trudne do użycia.
  • Tworzenie aplikacji za pomocą modułów TPM jest trudne, chyba że masz fizyczny moduł TPM lub emulator jakości.
  • Może być konieczne przeprojektowanie tablicy urządzenia w celu uwzględnienia modułu TPM na sprzęcie.
  • W przypadku wprowadzania klucza EK w module TPM tożsamość modułu TPM zostanie zniszczona i zostanie utworzona nowa. Mimo że mikroukład fizyczny pozostaje taki sam, ma nową tożsamość w rozwiązaniu IoT.

Klucz symetryczny

W przypadku kluczy symetrycznych ten sam klucz jest używany do szyfrowania i odszyfrowywania komunikatów. W związku z tym ten sam klucz jest znany zarówno urządzeniu, jak i usłudze, która ją uwierzytelnia. Usługa Azure IoT obsługuje połączenia klucza symetrycznego opartego na tokenach SAS. Uwierzytelnianie klucza symetrycznego wymaga znacznej odpowiedzialności właściciela za zabezpieczenie kluczy i osiągnięcie równego poziomu zabezpieczeń przy użyciu uwierzytelniania X.509. Jeśli używasz kluczy symetrycznych, zalecaną praktyką jest ochrona kluczy przy użyciu sprzętowego modułu zabezpieczeń (HSM).

Zalety klucza symetrycznego:

  • Korzystanie z kluczy symetrycznych jest najprostszym, najniższym kosztem rozpoczynania pracy z uwierzytelnianiem.
  • Korzystanie z kluczy symetrycznych usprawnia proces, ponieważ generowanie nie jest niczym dodatkowym.

Wady klucza symetrycznego:

  • Klucze symetryczne zajmują znaczny stopień wysiłku w celu zabezpieczenia kluczy. Ten sam klucz jest współużytkowany między urządzeniem a chmurą, co oznacza, że klucz musi być chroniony w dwóch miejscach. Z kolei wyzwanie dotyczące certyfikatów TPM i X.509 okazuje się posiadanie klucza publicznego bez ujawniania klucza prywatnego.
  • Klucze symetryczne ułatwiają przestrzeganie słabych rozwiązań w zakresie zabezpieczeń. Powszechną tendencją do kluczy symetrycznych jest kodowanie niezaszyfrowanych kluczy na urządzeniach. Chociaż ta praktyka jest wygodna, pozostawia klucze podatne na zagrożenia. Można ograniczyć pewne ryzyko, bezpiecznie przechowując klucz symetryczny na urządzeniu. Jeśli jednak priorytetem jest bezpieczeństwo, a nie wygoda, użyj certyfikatów X.509 lub modułu TPM do uwierzytelniania.

Udostępniony klucz symetryczny

Istnieje odmiana uwierzytelniania klucza symetrycznego znana jako udostępniony klucz symetryczny. Takie podejście obejmuje użycie tego samego klucza symetrycznego we wszystkich urządzeniach. Zaleca się unikanie używania udostępnionych kluczy symetrycznych na urządzeniach.

Pro dla klucza współużytkowanego symetrycznego:

  • Proste do zaimplementowania i niedrogie produkty na dużą skalę.

Wady udostępnionego klucza symetrycznego:

  • Wysoce podatny na ataki. Korzyści wynikające z łatwego wdrożenia są znacznie przeważane przez ryzyko.
  • Każda osoba może personifikować urządzenia, jeśli uzyska klucz wspólny.
  • Jeśli korzystasz z udostępnionego klucza symetrycznego, który zostanie naruszony, prawdopodobnie utracisz kontrolę nad urządzeniami.

Wybór odpowiednich urządzeń

Aby wybrać metodę uwierzytelniania, należy wziąć pod uwagę korzyści i koszty każdego podejścia do unikatowego procesu produkcyjnego. W przypadku uwierzytelniania urządzeń zwykle istnieje odwrotna relacja między tym, jak bezpieczne jest dane podejście i jak wygodne jest.

Instalowanie certyfikatów na urządzeniach IoT

Jeśli używasz certyfikatów X.509 do uwierzytelniania urządzeń IoT, w tej sekcji przedstawiono wskazówki dotyczące sposobu integrowania certyfikatów z procesem produkcyjnym. Musisz podjąć kilka decyzji. Obejmują one decyzje dotyczące typowych zmiennych certyfikatów, kiedy należy wygenerować certyfikaty i kiedy je zainstalować.

Jeśli używasz haseł, możesz zapytać, dlaczego nie możesz użyć tego samego certyfikatu na wszystkich urządzeniach, w taki sam sposób, jak w przypadku używania tego samego hasła na wszystkich urządzeniach. Najpierw użycie tego samego hasła wszędzie jest niebezpieczne. Praktyka ujawniła firmom poważne ataki DDoS, w tym te, które kilka lat temu zdjąły DNS na wschodnim wybrzeżu USA. Nigdy nie używaj tego samego hasła wszędzie, nawet w przypadku kont osobistych. Po drugie, certyfikat nie jest hasłem, jest to unikatowa tożsamość. Hasło jest jak tajny kod, którego każdy może użyć do otwarcia drzwi w zabezpieczonym budynku. To coś, co wiesz, i możesz dać hasło każdemu, aby uzyskać wejście. Certyfikat jest jak prawo jazdy ze zdjęciem i innymi szczegółami, które można pokazać strażnikowi, aby dostać się do zabezpieczonego budynku. To związane z tym, kim jesteś. Pod warunkiem, że strażnik dokładnie pasuje do osób z licencjami kierowcy, tylko możesz użyć licencji (tożsamości), aby uzyskać wstęp.

Zmienne biorące udział w decyzjach dotyczących certyfikatów

Weź pod uwagę następujące zmienne i sposób, w jaki każdy ma wpływ na ogólny proces produkcji.

Skąd pochodzi katalog główny certyfikatu zaufania

Zarządzanie infrastrukturą kluczy publicznych (PKI) może być kosztowne i złożone. Zwłaszcza jeśli twoja firma nie ma doświadczenia w zarządzaniu infrastrukturą kluczy publicznych. Możliwe opcje to:

  • Użyj infrastruktury kluczy publicznych innej firmy. Certyfikaty podpisywania pośredniego można kupić od dostawcy certyfikatów innej firmy. Możesz też użyć prywatnego urzędu certyfikacji.
  • Użyj samodzielnie zarządzanej infrastruktury kluczy publicznych. Możesz obsługiwać własny system infrastruktury kluczy publicznych i generować własne certyfikaty.
  • Użyj usługi zabezpieczeń Azure Sphere. Ta opcja dotyczy tylko urządzeń usługi Azure Sphere.

Gdzie są przechowywane certyfikaty

Istnieje kilka czynników, które wpływają na decyzję dotyczącą miejsca przechowywania certyfikatów. Te czynniki obejmują typ urządzenia, oczekiwane marże zysku (niezależnie od tego, czy można sobie pozwolić na bezpieczny magazyn), możliwości urządzeń i istniejącą technologię zabezpieczeń na urządzeniu, z którego można korzystać. Rozważ następujące opcje:

  • W sprzętowym module zabezpieczeń (HSM). Korzystanie z modułu HSM jest zdecydowanie zalecane. Sprawdź, czy tablica sterowania urządzenia ma już zainstalowany moduł HSM. Jeśli wiesz, że nie masz modułu HSM, skontaktuj się z producentem sprzętu, aby zidentyfikować moduł HSM spełniający Twoje potrzeby.
  • W bezpiecznym miejscu na dysku, takim jak zaufane środowisko wykonawcze (TEE).
  • W lokalnym systemie plików lub magazynie certyfikatów. Na przykład magazyn certyfikatów systemu Windows.

Połączenie ivity w fabryce

Połączenie ivity w fabryce określa, jak i kiedy otrzymasz certyfikaty do zainstalowania na urządzeniach. opcje Połączenie ivity są następujące:

  • Łączność. Łączność jest optymalna, usprawnia proces generowania certyfikatów lokalnie.
  • Brak łączności. W takim przypadku należy użyć podpisanego certyfikatu z urzędu certyfikacji do generowania certyfikatów urządzeń lokalnie i offline.
  • Brak łączności. W takim przypadku można uzyskać certyfikaty, które zostały wygenerowane wcześniej. Możesz też użyć infrastruktury kluczy publicznych w trybie offline do lokalnego generowania certyfikatów.

Wymaganie inspekcji

W zależności od typu tworzonych urządzeń może istnieć wymóg regulacyjny dotyczący tworzenia dziennika inspekcji sposobu instalowania tożsamości urządzeń na urządzeniach. Inspekcja zwiększa znaczny koszt produkcji. W większości przypadków należy to zrobić tylko w razie potrzeby. Jeśli nie masz pewności, czy inspekcja jest wymagana, zapoznaj się z działem prawnym twojej firmy. Opcje inspekcji to:

  • Nie jest to wrażliwa branża. Inspekcja nie jest wymagana.
  • Wrażliwa branża. Certyfikaty powinny być instalowane w bezpiecznym pomieszczeniu zgodnie z wymaganiami dotyczącymi certyfikacji zgodności. Jeśli potrzebujesz bezpiecznego miejsca do zainstalowania certyfikatów, prawdopodobnie wiesz już, jak certyfikaty są instalowane na urządzeniach. I prawdopodobnie masz już system inspekcji.

Długość ważności certyfikatu

Podobnie jak licencja kierowcy, certyfikaty mają datę wygaśnięcia ustawioną podczas ich tworzenia. Poniżej przedstawiono opcje długości ważności certyfikatu:

  • Odnawianie nie jest wymagane. To podejście korzysta z długiego okresu odnawiania, więc nigdy nie trzeba odnawiać certyfikatu w okresie istnienia urządzenia. Chociaż takie podejście jest wygodne, jest również ryzykowne. Ryzyko można zmniejszyć przy użyciu bezpiecznego magazynu, takiego jak moduł HSM na urządzeniach. Zalecaną praktyką jest jednak unikanie używania certyfikatów długotrwałych.
  • Wymagane jest odnowienie. Należy odnowić certyfikat w okresie istnienia urządzenia. Długość ważności certyfikatu zależy od kontekstu i potrzebna jest strategia odnowienia. Strategia powinna obejmować miejsce uzyskiwania certyfikatów oraz typ funkcji nadmiernej ilości powietrza, które urządzenia muszą używać w procesie odnawiania.

Kiedy należy wygenerować certyfikaty

Możliwości łączności z Internetem w fabryce będą mieć wpływ na proces generowania certyfikatów. Istnieje kilka opcji generowania certyfikatów:

  • Wstępnie załadowane certyfikaty. Niektórzy dostawcy modułu HSM oferują usługę Premium, w której dostawca HSM instaluje certyfikaty dla klienta. Najpierw klienci zapewniają dostawcy modułu HSM dostęp do certyfikatu podpisywania. Następnie dostawca HSM instaluje certyfikaty podpisane przez ten certyfikat podpisywania do każdego modułu HSM kupowanego przez klienta. Wszystko, co klient musi zrobić, to zainstalowanie modułu HSM na urządzeniu. Chociaż ta usługa zwiększa koszty, pomaga usprawnić proces produkcji. I rozwiązuje pytanie, kiedy należy zainstalować certyfikaty.
  • Certyfikaty generowane przez urządzenie. Jeśli urządzenia generują certyfikaty wewnętrznie, należy wyodrębnić publiczny certyfikat X.509 z urządzenia, aby zarejestrować go w usłudze DPS.
  • Połączenie fabryki. Jeśli fabryka ma łączność, możesz wygenerować certyfikaty urządzeń zawsze, gdy są potrzebne.
  • Fabryka offline z własną infrastrukturą kluczy publicznych. Jeśli twoja fabryka nie ma łączności i używasz własnej infrastruktury kluczy publicznych z obsługą trybu offline, możesz wygenerować certyfikaty, gdy będą potrzebne.
  • Fabryka offline z infrastrukturą kluczy publicznych innych firm. Jeśli fabryka nie ma łączności i korzystasz z infrastruktury kluczy publicznych innej firmy, musisz wygenerować certyfikaty z wyprzedzeniem. Konieczne będzie wygenerowanie certyfikatów z lokalizacji, która ma łączność.

Kiedy należy zainstalować certyfikaty

Po wygenerowaniu certyfikatów dla urządzeń IoT można je zainstalować na urządzeniach.

W przypadku używania wstępnie załadowanych certyfikatów z modułem HSM proces jest uproszczony. Po zainstalowaniu modułu HSM na urządzeniu kod urządzenia może uzyskać do niego dostęp. Następnie wywołasz interfejsy API modułu HSM, aby uzyskać dostęp do certyfikatu przechowywanego w module HSM. Takie podejście jest najwygodniejsze dla procesu produkcyjnego.

Jeśli nie używasz wstępnie załadowanego certyfikatu, musisz zainstalować certyfikat w ramach procesu produkcyjnego. Najprostszym podejściem jest zainstalowanie certyfikatu w module HSM w tym samym czasie, w którym migasz początkowy obraz oprogramowania układowego. Proces musi dodać krok, aby zainstalować obraz na każdym urządzeniu. Po wykonaniu tego kroku można uruchomić końcowe kontrole jakości i wszelkie inne kroki, zanim spakujesz i dostarczysz urządzenie.

Dostępne są narzędzia programowe, które umożliwiają uruchomienie procesu instalacji i ostateczną kontrolę jakości w jednym kroku. Możesz zmodyfikować te narzędzia w celu wygenerowania certyfikatu lub ściągnięcia certyfikatu ze wstępnie wygenerowanego magazynu certyfikatów. Następnie oprogramowanie może zainstalować certyfikat, w którym należy go zainstalować. Narzędzia programowe tego typu umożliwiają uruchamianie produkcji jakości produkcyjnej na dużą skalę.

Po zainstalowaniu certyfikatów na urządzeniach następnym krokiem jest dowiedzieć się, jak zarejestrować urządzenia w usłudze DPS.

Integrowanie modułu TPM z procesem produkcyjnym

Jeśli używasz modułu TPM do uwierzytelniania urządzeń IoT, ta sekcja zawiera wskazówki. Wskazówki obejmują powszechnie używane urządzenia TPM 2.0, które mają obsługę klucza uwierzytelniania komunikatów opartych na skrótach (HMAC). Specyfikacja modułu TPM dla mikroukładów TPM to standard ISO obsługiwany przez zaufaną grupę obliczeniową. Aby uzyskać więcej informacji na temat modułu TPM, zobacz specyfikacje modułu TPM 2.0 i ISO/IEC 11889.

Przejęcie własności modułu TPM

Krytycznym krokiem w produkcji urządzenia z mikroukładem TPM jest przejęcie na własność modułu TPM. Ten krok jest wymagany, aby można było podać klucz właścicielowi urządzenia. Pierwszym krokiem jest wyodrębnienie klucza poręczenia (EK) z urządzenia. Następnym krokiem jest rzeczywiste roszczenie o własność. Sposób osiągnięcia tego celu zależy od używanego modułu TPM i systemu operacyjnego. W razie potrzeby skontaktuj się z producentem modułu TPM lub deweloperem systemu operacyjnego urządzenia, aby ustalić, jak przejąć własność.

W procesie produkcyjnym można wyodrębnić EK i przejmować własność w różnym czasie, co zwiększa elastyczność. Wielu producentów korzysta z tej elastyczności, dodając sprzętowy moduł zabezpieczeń (HSM), aby zwiększyć bezpieczeństwo swoich urządzeń. Ta sekcja zawiera wskazówki dotyczące sposobu wyodrębnienia klucza EK, czasu oświadczeń własności modułu TPM oraz zagadnień dotyczących integracji tych kroków z osią czasu produkcji.

Ważne

W poniższych wskazówkach przyjęto założenie, że używasz dyskretnego, oprogramowania układowego lub zintegrowanego modułu TPM. W miejscach, w których ma to zastosowanie, wskazówki dodają uwagi dotyczące używania dyskretnego lub programowego modułu TPM. Jeśli używasz programowego modułu TPM, mogą istnieć dodatkowe kroki, które nie obejmują tych wskazówek. Moduły TPM oprogramowania mają różne implementacje, które wykraczają poza zakres tego artykułu. Ogólnie rzecz biorąc, można zintegrować programowy moduł TPM z następującą ogólną osią czasu produkcji. Jednak mimo że emulowany program moduł TPM jest odpowiedni do tworzenia prototypów i testowania, nie może zapewnić takiego samego poziomu zabezpieczeń jak dyskretny, układowy lub zintegrowany moduł TPM. Ogólnie rzecz biorąc, unikaj używania programowego modułu TPM w środowisku produkcyjnym.

Ogólna oś czasu produkcji

Na poniższej osi czasu pokazano, jak moduł TPM przechodzi przez proces produkcyjny i kończy się na urządzeniu. Każdy proces produkcyjny jest unikatowy, a ta oś czasu przedstawia najbardziej typowe wzorce. Oś czasu zawiera wskazówki dotyczące tego, kiedy należy wykonać określone akcje z kluczami.

Krok 1. Moduł TPM jest produkowany

  • Jeśli kupujesz moduły TPM od producenta do użytku na urządzeniach, sprawdź, czy wyodrębnią one publiczne klucze poręczenia (EK_pubs). Przydatne jest, jeśli producent udostępnia listę EK_pubs z dostarczonymi urządzeniami.

    Uwaga

    Producent modułu TPM może udzielić dostępu do zapisu na liście rejestracji przy użyciu zasad dostępu współdzielonego w usłudze aprowizacji. Takie podejście umożliwia dodawanie modułów TPM do listy rejestracji. Ale to jest na początku procesu produkcyjnego i wymaga zaufania do producenta MODUŁu TPM. Zrób to na własne ryzyko.

  • Jeśli produkujesz moduły TPM do sprzedaży producentom urządzeń, rozważ nadanie klientom listy EK_pubs wraz z fizycznymi modułami TPM. Zapewnienie klientom EK_pubs zapisuje krok w ich procesie.

  • Jeśli produkujesz moduły TPM do użytku z własnymi urządzeniami, zidentyfikuj, który punkt w procesie jest najbardziej wygodny do wyodrębnienia EK_pub. Możesz wyodrębnić EK_pub w dowolnym z pozostałych punktów na osi czasu.

Krok 2. Moduł TPM jest instalowany na urządzeniu

W tym momencie procesu produkcyjnego należy wiedzieć, z którym wystąpieniem usługi DPS będzie używane urządzenie. W związku z tym można dodać urządzenia do listy rejestracji na potrzeby automatycznej aprowizacji. Aby uzyskać więcej informacji na temat automatycznej aprowizacji urządzeń, zobacz dokumentację usługi DPS.

  • Jeśli nie wyodrębniono EK_pub, teraz jest to dobry moment, aby to zrobić.
  • W zależności od procesu instalacji modułu TPM ten krok jest również dobrym momentem na przejęcie własności modułu TPM.

Krok 3. Urządzenie ma zainstalowane oprogramowanie układowe i oprogramowanie

Na tym etapie procesu zainstaluj klienta usługi DPS wraz z zakresem identyfikatora i globalnym adresem URL na potrzeby aprowizacji.

  • Teraz jest ostatnia szansa na wyodrębnienie EK_pub. Jeśli na urządzeniu zostanie zainstalowane oprogramowanie innej firmy, warto najpierw wyodrębnić EK_pub.
  • Ten punkt w procesie produkcyjnym jest idealny do przejęcia własności modułu TPM.

    Uwaga

    Jeśli używasz programowego modułu TPM, możesz go zainstalować teraz. Wyodrębnij EK_pub w tym samym czasie.

Krok 4. Urządzenie jest pakowane i wysyłane do magazynu

Urządzenie może czasami znajdować się w magazynie przez maksymalnie rok przed wdrożeniem i aprowizowaną przy użyciu usługi DPS. Jeśli urządzenie znajduje się w magazynie przez długi czas przed wdrożeniem, klienci, którzy wdrażają urządzenie, mogą potrzebować zaktualizować oprogramowanie układowe, oprogramowanie lub wygasłe poświadczenia.

Krok 5. Urządzenie jest zainstalowane w lokalizacji

Po nadejściu urządzenia do lokalizacji końcowej przechodzi ona przez automatyczną aprowizację za pomocą usługi DPS.

Aby uzyskać więcej informacji, zobacz aprowizowanie i zaświadczanie modułu TPM.

Zasoby

Oprócz zalecanych rozwiązań w zakresie zabezpieczeń w tym artykule usługa Azure IoT udostępnia zasoby ułatwiające wybieranie bezpiecznego sprzętu i tworzenie bezpiecznych wdrożeń IoT: