Poufne przetwarzanie na brzegu sieci

  • Artykuł

Dotyczy:Znacznik wyboru usługi IoT Edge 1.4 IoT Edge 1.4

Ważne

Azure IoT Edge1.4 jest obsługiwaną wersją. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.

Usługa Azure IoT Edge obsługuje poufne aplikacje działające w bezpiecznych enklawach na urządzeniu. Szyfrowanie zapewnia bezpieczeństwo danych podczas przesyłania lub przechowywania, ale enklawy zapewniają bezpieczeństwo danych i obciążeń podczas ich używania. Usługa IoT Edge obsługuje open enklawy jako standard do tworzenia poufnych aplikacji.

Bezpieczeństwo jest ważnym celem Internetu rzeczy (IoT), ponieważ często urządzenia IoT są często na świecie, a nie zabezpieczone wewnątrz prywatnego obiektu. Ta ekspozycja naraża urządzenia na ryzyko manipulacji i fałszerzowania, ponieważ są fizycznie dostępne dla złych aktorów. Urządzenia usługi IoT Edge mają jeszcze większe zapotrzebowanie na zaufanie i integralność, ponieważ umożliwiają uruchamianie poufnych obciążeń na urządzeniach brzegowych. W przeciwieństwie do typowych czujników i siłowników te inteligentne urządzenia brzegowe mogą potencjalnie uwidaczniać wrażliwe obciążenia, które były wcześniej uruchamiane tylko w chronionych środowiskach chmurowych lub lokalnych.

Menedżer zabezpieczeń usługi IoT Edge zajmuje się jednym elementem wyzwania w zakresie poufnego przetwarzania. Menedżer zabezpieczeń używa sprzętowego modułu zabezpieczeń (HSM) do ochrony obciążeń tożsamości i bieżących procesów urządzenia usługi IoT Edge.

Innym aspektem poufnego przetwarzania jest ochrona danych używanych na brzegu sieci. Zaufane środowisko wykonawcze (TEE) to bezpieczne, izolowane środowisko na procesorze i czasami nazywane enklawą. Aplikacja poufna to aplikacja, która działa w enklawie. Ze względu na charakter enklaw poufne aplikacje są chronione przed innymi aplikacjami działającymi w procesorze głównym lub w tee.

Poufne aplikacje w usłudze IoT Edge

Poufne aplikacje są szyfrowane podczas przesyłania i magazynowania oraz odszyfrowywane tylko do uruchamiania w zaufanym środowisku wykonywania. Ten standard dotyczy poufnych aplikacji wdrożonych jako moduły usługi IoT Edge.

Deweloper tworzy poufną aplikację i pakuje ją jako moduł usługi IoT Edge. Aplikacja jest szyfrowana przed wypchnięciem do rejestru kontenerów. Aplikacja pozostaje zaszyfrowana w całym procesie wdrażania usługi IoT Edge do momentu uruchomienia modułu na urządzeniu usługi IoT Edge. Gdy aplikacja poufne znajduje się w tee urządzenia, jest odszyfrowywane i może rozpocząć wykonywanie.

Diagram przedstawiający poufne aplikacje są szyfrowane w modułach usługi IoT Edge do momentu wdrożenia w bezpiecznej enklawie.

Poufne aplikacje w usłudze IoT Edge to logiczne rozszerzenie poufnego przetwarzania na platformie Azure. Obciążenia uruchamiane w bezpiecznych enklawach w chmurze można również wdrażać w celu uruchamiania w bezpiecznych enklawach na brzegu.

Otwarta enklawa

Zestaw OPEN Enlave SDK to projekt typu open source, który ułatwia deweloperom tworzenie poufnych aplikacji dla wielu platform i środowisk. Zestaw SDK Open Enclave działa w zaufanym środowisku wykonywania urządzenia, a interfejs API open enklawy działa jako interfejs między środowiskiem przetwarzania TEE a środowiskiem przetwarzania nienależących do teE.

Otwarta enklawa obsługuje wiele platform sprzętowych. Obsługa enklaw usługi IoT Edge wymaga obecnie systemu operacyjnego Open Portable TEE (OP-TEE OS). Aby dowiedzieć się więcej, zobacz Open Enclave SDK for OP-TEE OS (Open Enclave SDK for OP-TEE OS).

Repozytorium Open Enlave zawiera również przykłady ułatwiające deweloperom rozpoczęcie pracy. Aby uzyskać więcej informacji, wybierz jeden z artykułów wprowadzających:

Sprzęt

Obecnie trustBox by Scalys jest jedynym urządzeniem obsługiwanym w przypadku umów serwisowych producenta na potrzeby wdrażania poufnych aplikacji jako modułów usługi IoT Edge. Urządzenie TrustBox jest oparte na urządzeniach TrustBox Edge i TrustBox EdgeXL, które są ładowane wstępnie za pomocą zestawu SDK Open Enclave i usługi Azure IoT Edge.

Aby uzyskać więcej informacji, zobacz Getting started with Open Enclave for the Scalys TrustBox (Wprowadzenie do otwierania enklawy dla kontrolki Scalys TrustBox).

Opracowywanie i wdrażanie

Gdy wszystko będzie gotowe do opracowania i wdrożenia poufnej aplikacji, rozszerzenie Microsoft Open Enlave dla programu Visual Studio Code może pomóc. Możesz użyć systemu Linux lub Windows jako maszyny dewelopera do opracowywania modułów dla aplikacji TrustBox.

Następne kroki

Dowiedz się, jak rozpocząć tworzenie poufnych aplikacji jako modułów usługi IoT Edge przy użyciu rozszerzenia Open Enclave dla programu Visual Studio Code.