Computação confidencial na borda

  • Artigo

Aplica-se a:marca de seleção do IoT Edge 1.4 IoT Edge 1.4

Importante

A versão com suporte é a IoT Edge 1.4. Se você estiver em uma versão anterior, confira Atualizar o IoT Edge.

O Azure IoT Edge dá suporte a aplicativos confidenciais que são executados nos enclaves seguros no dispositivo. A criptografia fornece segurança para dados em trânsito ou em repouso, mas enclaves fornecem segurança para dados e cargas de trabalho em uso. O IoT Edge dá suporte ao Open Enclave como um padrão para o desenvolvimento de aplicativos confidenciais.

A segurança sempre foi um foco importante da IoT (Internet das Coisas), pois geralmente os dispositivos IoT estão fora do mundo, em vez de serem protegidos em uma instalação particular. Essa exposição coloca os dispositivos em risco de violação e falsificação porque estão fisicamente acessíveis a atores mal-intencionados. Os dispositivos do IoT Edge têm ainda mais necessidade de confiança e integridade, pois permitem que cargas de trabalho confidenciais sejam executadas na borda. Ao contrário de sensores e atuadores comuns, esses dispositivos de borda inteligente potencialmente expõem cargas de trabalho confidenciais que antes eram executadas apenas em ambientes de nuvem ou locais protegidos.

O gerenciador de segurança do IoT Edge aborda uma parte do desafio de computação confidencial. O gerenciador de segurança usa um HSM (módulo de segurança de hardware) para proteger as cargas de trabalho de identidade e os processos contínuos de um dispositivo do IoT Edge.

Outro aspecto da computação confidencial é proteger os dados em uso na borda. Um TEE Ambiente de Execução Confiável é um ambiente seguro e isolado em um processador e, às vezes, é chamado de enclave. Um aplicativo confidencial é um aplicativo executado em um enclave. Devido à natureza dos enclaves, os aplicativos confidenciais são protegidos de outros aplicativos em execução no processador principal ou no TEE.

Aplicativos confidenciais no IoT Edge

Os aplicativos confidenciais são criptografados em trânsito e em repouso, e são descriptografados somente para execução dentro de um ambiente de execução confiável. Esse padrão se aplica a aplicativos confidenciais implantados como módulos do IoT Edge.

O desenvolvedor cria o aplicativo confidencial e o empacota como um módulo do IoT Edge. O aplicativo é criptografado antes de ser enviado por push para o registro de contêiner. O aplicativo permanece criptografado durante todo o processo de implantação do IoT Edge até que o módulo seja iniciado no dispositivo do IoT Edge. Quando o aplicativo confidencial estiver dentro do TEE do dispositivo, ele será descriptografado e poderá começar a ser executado.

Diagrama que mostra que aplicativos confidenciais são criptografados em módulos do IoT Edge até serem implantados no enclave seguro.

Os aplicativos confidenciais no IoT Edge são uma extensão lógica da computação confidencial do Azure. As cargas de trabalho executadas nos enclaves seguros na nuvem também podem ser implantadas para serem executadas nos enclaves seguros na borda.

Open Enclave

O SDK do Open Enclave é um projeto de software livre que ajuda os desenvolvedores a criar aplicativos confidenciais para várias plataformas e ambientes. O SDK do Open Enclave opera dentro do ambiente de execução confiável de um dispositivo, enquanto a API do Open Enclave atua como uma interface entre o ambiente de processamento TEE e não TEE.

O Open Enclave dá suporte a várias plataformas de hardware. No momento, o suporte do IoT Edge a enclaves requer o SO OP-TEE (sistema operacional Open Portable TEE). Para saber mais, confira SDK do Open Enclave para o SO OP-TEE.

O repositório do Open Enclave também inclui exemplos para ajudar os desenvolvedores a começar. Para obter mais informações, escolha um dos artigos de introdução:

Hardware

Atualmente, o TrustBox da Scalys é o único dispositivo com suporte nos contratos de serviço do fabricante para implantar aplicativos confidenciais como módulos do IoT Edge. O TrustBox é baseado nos dispositivos TrustBox Edge e TrustBox EdgeXL que são fornecidos pré-carregados com o SDK do Open Enclave e o Azure IoT Edge.

Para obter mais informações, confira Introdução ao Open Enclave para o Scalys TrustBox.

Desenvolver e implantar

Quando estiver tudo pronto para desenvolver e implantar seu aplicativo confidencial, a extensão Microsoft Open Enclave para Visual Studio Code poderá ajudar. É possível usar o Linux ou o Windows como computador de desenvolvimento para desenvolver módulos para o TrustBox.

Próximas etapas

Saiba como começar a desenvolver aplicativos confidenciais como módulos do IoT Edge com a extensão do Open Enclave para Visual Studio Code.