Computação confidencial na borda

  • Artigo

Aplica-se a:Marca de verificação do IoT Edge 1.5 IoT Edge 1.5 Marca de verificação do IoT Edge 1.4 IoT Edge 1.4

Importante

IoT Edge 1.5 LTS e IoT Edge 1.4 LTS são versões suportadas. O IoT Edge 1.4 LTS termina a vida útil em 12 de novembro de 2024. Se tiver uma versão anterior, consulte Atualizar IoT Edge.

O Azure IoT Edge dá suporte a aplicativos confidenciais que são executados em enclaves seguros no dispositivo. A criptografia fornece segurança para dados em trânsito ou em repouso, mas os enclaves fornecem segurança para dados e cargas de trabalho durante o uso. O IoT Edge suporta o Open Enclave como um padrão para o desenvolvimento de aplicativos confidenciais.

A segurança é um foco importante da Internet das Coisas (IoT) porque, muitas vezes, os dispositivos IoT estão no mundo, em vez de estarem protegidos dentro de uma instalação privada. Esta exposição coloca os dispositivos em risco de manipulação abusiva e falsificação, uma vez que são fisicamente acessíveis a maus intervenientes. Os dispositivos IoT Edge precisam ainda mais de confiança e integridade, pois permitem que cargas de trabalho confidenciais sejam executadas na borda. Ao contrário dos sensores e atuadores comuns, esses dispositivos de borda inteligentes estão potencialmente expondo cargas de trabalho confidenciais que antes eram executadas apenas em ambientes de nuvem ou locais protegidos.

O gerenciador de segurança do IoT Edge aborda uma parte do desafio de computação confidencial. O gerenciador de segurança usa um módulo de segurança de hardware (HSM) para proteger as cargas de trabalho de identidade e os processos contínuos de um dispositivo IoT Edge.

Outro aspeto da computação confidencial é proteger os dados em uso na borda. Um ambiente de execução confiável (TEE) é um ambiente seguro e isolado em um processador e às vezes é chamado de enclave. Um aplicativo confidencial é um aplicativo que é executado em um enclave. Devido à natureza dos enclaves, os aplicativos confidenciais são protegidos de outros aplicativos executados no processador principal ou no TEE.

Aplicativos confidenciais no IoT Edge

As aplicações confidenciais são encriptadas em trânsito e em repouso e apenas desencriptadas para serem executadas dentro de um ambiente de execução fidedigno. Esse padrão vale para aplicativos confidenciais implantados como módulos do IoT Edge.

O desenvolvedor cria o aplicativo confidencial e o empacota como um módulo IoT Edge. O aplicativo é criptografado antes de ser enviado por push para o registro do contêiner. O aplicativo permanece criptografado durante todo o processo de implantação do IoT Edge até que o módulo seja iniciado no dispositivo IoT Edge. Uma vez que o aplicativo confidencial está dentro do TEE do dispositivo, ele é descriptografado e pode começar a ser executado.

Diagrama que mostra que os aplicativos confidenciais são criptografados nos módulos do IoT Edge até serem implantados no enclave seguro.

Os aplicativos confidenciais no IoT Edge são uma extensão lógica da computação confidencial do Azure. As cargas de trabalho executadas em enclaves seguros na nuvem também podem ser implantadas para serem executadas em enclaves seguros na borda.

Enclave aberto

O Open Enclave SDK é um projeto de código aberto que ajuda os desenvolvedores a criar aplicativos confidenciais para várias plataformas e ambientes. O SDK do Open Enclave opera dentro do ambiente de execução confiável de um dispositivo, enquanto a API do Open Enclave atua como uma interface entre o ambiente de processamento TEE e não TEE.

O Open Enclave suporta várias plataformas de hardware. O suporte do IoT Edge para enclaves atualmente requer o sistema operacional Open Portable TEE (OP-TEE OS). Para saber mais, consulte Open Enclave SDK for OP-TEE OS.

O repositório Open Enclave também inclui exemplos para ajudar os desenvolvedores a começar. Para mais informações, escolha um dos artigos introdutórios:

Hardware

Atualmente, o TrustBox by Scalys é o único dispositivo suportado com contratos de serviço do fabricante para implantar aplicativos confidenciais como módulos IoT Edge. O TrustBox é criado em dispositivos The TrustBox Edge e TrustBox EdgeXL ambos vêm pré-carregados com o Open Enclave SDK e o Azure IoT Edge.

Para obter mais informações, consulte Introdução ao Open Enclave para o Scalys TrustBox.

Desenvolver e implantar

Quando você estiver pronto para desenvolver e implantar seu aplicativo confidencial, a extensão Microsoft Open Enclave para Visual Studio Code pode ajudar. Você pode usar Linux ou Windows como sua máquina de desenvolvimento para desenvolver módulos para o TrustBox.

Próximos passos

Saiba como começar a desenvolver aplicativos confidenciais como módulos do IoT Edge com a extensão Open Enclave para Visual Studio Code.