Gestor de segurança do Azure IoT Edge

Aplica-se a: IoT Edge 1.1

Importante

IoT Edge 1,1 data de fim do suporte foi 13 de dezembro de 2022. Consulte o Ciclo de Vida de Produtos da Microsoft para obter informações sobre como é suportado este produto, serviço, tecnologia ou API. Para obter mais informações sobre como atualizar para a versão mais recente do IoT Edge, consulte Atualizar IoT Edge.

O gestor de segurança do Azure IoT Edge é um núcleo de segurança bem vinculado para proteger o dispositivo IoT Edge e todos os componentes ao abstrair o hardware de silício seguro. O gestor de segurança é o ponto focal para a proteção de segurança e fornece um ponto de integração de tecnologia para fabricantes de equipamentos originais (OEM).

O gestor de segurança abstrai o hardware de silício seguro num dispositivo IoT Edge.

O gestor de segurança do IoT Edge tem como objetivo defender a integridade do dispositivo IoT Edge e de todas as operações de software inerentes. O gestor de segurança faz a transição de confiança da raiz de hardware subjacente do hardware de fidedignidade (se disponível) para iniciar o IoT Edge runtime e monitorizar as operações em curso. O gestor de segurança IoT Edge é software que trabalha juntamente com hardware de silício seguro (sempre que disponível) para ajudar a fornecer as garantias de segurança mais elevadas possíveis.

As responsabilidades do gestor de segurança do IoT Edge incluem, mas não se limitam a:

• Arranque o dispositivo IoT Edge do Azure.
• Controlar o acesso à raiz de confiança do hardware do dispositivo através de serviços notários.
• Monitorize a integridade das operações de IoT Edge no runtime.
• Recebe a delegação de confiança do módulo de segurança de hardware (HSM)
• Aprovisione a identidade do dispositivo e faça a transição de confiança quando aplicável.
• Alojar e proteger componentes de dispositivos de serviços cloud, como o Serviço de Aprovisionamento de Dispositivos.
• Aprovisionar IoT Edge módulos com identidades exclusivas.

O gestor de segurança IoT Edge consiste em três componentes:

• O daemon de segurança IoT Edge
• A camada de abstração da plataforma do módulo de segurança de hardware (HSM PAL)
• Uma raiz de silício de hardware de fidedignidade ou HSM (opcional, mas altamente recomendado)

O daemon de segurança IoT Edge

O daemon de segurança IoT Edge é responsável pelas operações de segurança lógica do gestor de segurança. Representa uma parte significativa da base de computação fidedigna do dispositivo IoT Edge.

Princípios de conceção

IoT Edge seguem dois princípios fundamentais: maximizar a integridade operacional e minimizar o inchaço e a taxa de abandono.

Maximizar a integridade operacional

O IoT Edge daemon de segurança funciona com a integridade mais elevada possível dentro da capacidade de defesa de qualquer raiz de hardware de confiança. Com uma integração adequada, a raiz do hardware de confiança mede e monitoriza estaticamente o daemon de segurança e no runtime para resistir à adulteração. O acesso físico malicioso a dispositivos é sempre uma ameaça no IoT. A raiz de confiança do hardware desempenha um papel importante na defesa da integridade do dispositivo IoT Edge. A raiz de confiança do hardware tem duas variedades:

• Proteger elementos para a proteção de informações confidenciais, como segredos e chaves criptográficas.
• Proteja enclaves para proteção de segredos, como chaves e cargas de trabalho confidenciais, como modelos confidenciais de machine learning e operações de medição.

Existem dois tipos de ambientes de execução para utilizar a raiz de hardware de confiança:

• O ambiente de execução padrão ou avançado (REE) que depende da utilização de elementos seguros para proteger informações confidenciais.
• O ambiente de execução fidedigno (TEE) que depende da utilização de tecnologia de enclave segura para proteger informações confidenciais e oferecer proteção à execução de software.

Para dispositivos que utilizam enclaves seguros como raiz de hardware de fidedignidade, a lógica sensível dentro do daemon de segurança IoT Edge deve estar dentro do enclave. Partes não sensíveis do daemon de segurança podem estar fora do TEE. Em todos os casos, recomendamos vivamente que os fabricantes originais de design (ODM) e os fabricantes de equipamento original (OEM) expandam a confiança do seu HSM para medir e defender a integridade do daemon de segurança IoT Edge no arranque e no runtime.

Minimizar o inchaço e a taxa de abandono

Outro princípio fundamental para a IoT Edge daemon de segurança é minimizar a taxa de abandono. Para o nível mais elevado de confiança, o daemon de segurança IoT Edge pode ser fortemente associado à raiz de hardware do dispositivo de confiança e funcionar como código nativo. Nestes casos, é comum atualizar o software IoT Edge através da raiz de hardware dos caminhos de atualização seguros da fidedignidade em vez dos mecanismos de atualização do sistema operativo, o que pode ser desafiante. A renovação de segurança é recomendada para dispositivos IoT, mas os requisitos de atualização excessivos ou os payloads de atualização grandes podem expandir a superfície de ameaças de várias formas. Por exemplo, poderá sentir-se tentado a ignorar algumas atualizações para maximizar a disponibilidade do dispositivo. Como tal, o design do daemon de segurança IoT Edge é conciso para manter a base de computação fidedigna bem isolada pequena para incentivar atualizações frequentes.

Arquitetura

O daemon de segurança IoT Edge tira partido de qualquer raiz de hardware disponível da tecnologia de confiança para proteção de segurança. Também permite uma operação de mundo dividido entre um ambiente de execução padrão/avançado (REE) e um ambiente de execução fidedigno (TEE) quando as tecnologias de hardware oferecem ambientes de execução fidedignos. As interfaces específicas de funções permitem que os principais componentes do IoT Edge garantam a integridade do dispositivo IoT Edge e respetivas operações.

Interface da cloud

A interface cloud permite o acesso a serviços cloud que complementam a segurança do dispositivo. Por exemplo, esta interface permite o acesso ao Serviço de Aprovisionamento de Dispositivos para a gestão do ciclo de vida da identidade do dispositivo.

API de Gestão

A API de gestão é chamada pelo agente IoT Edge ao criar/iniciar/parar/remover um módulo de IoT Edge. O daemon de segurança armazena "registos" para todos os módulos ativos. Estes registos mapeiam a identidade de um módulo para algumas propriedades do módulo. Por exemplo, estas propriedades do módulo incluem o identificador de processo (pid) do processo em execução no contentor e o hash do conteúdo do contentor docker.

Estas propriedades são utilizadas pela API de carga de trabalho (descrita abaixo) para verificar se o autor da chamada está autorizado para uma ação.

A API de gestão é uma API privilegiada, callable apenas do agente IoT Edge. Uma vez que o IoT Edge daemon de segurança arranca e inicia o agente IoT Edge, verifica se o agente IoT Edge não foi adulterado e, em seguida, pode criar um registo implícito para o agente IoT Edge. O mesmo processo de atestado que a API de carga de trabalho utiliza também restringe o acesso à API de gestão apenas ao agente IoT Edge.

API de Contentor

A API de contentor interage com o sistema de contentores em utilização para a gestão de módulos, como o Moby ou o Docker.

API de Carga de Trabalho

A API de carga de trabalho está acessível a todos os módulos. Fornece uma prova de identidade, como um token assinado com root HSM ou um certificado X509, e o pacote de confiança correspondente a um módulo. O pacote de confiança contém certificados de AC para todos os outros servidores em que os módulos devem confiar.

O daemon de segurança IoT Edge utiliza um processo de atestado para proteger esta API. Quando um módulo chama esta API, o daemon de segurança tenta encontrar um registo para a identidade. Se for bem-sucedido, utiliza as propriedades do registo para medir o módulo. Se o resultado do processo de medição corresponder ao registo, é gerada uma nova prova de identidade. Os certificados de AC correspondentes (pacote de confiança) são devolvidos ao módulo. O módulo utiliza este certificado para ligar a Hub IoT, outros módulos ou iniciar um servidor. Quando o token ou certificado assinado estiver prestes a expirar, é da responsabilidade do módulo pedir um novo certificado.

Integração e manutenção

A Microsoft mantém a base de código principal para o daemon de segurança IoT Edge no GitHub.

Instalação e atualizações

A instalação e as atualizações do daemon de segurança IoT Edge são geridas através do sistema de gestão de pacotes do sistema operativo. IoT Edge dispositivos com raiz de fidedignidade de hardware devem fornecer proteção adicional à integridade do daemon através da gestão do respetivo ciclo de vida através dos sistemas de gestão de arranque seguro e atualizações. Os fabricantes de dispositivos devem explorar estas vias com base nas respetivas capacidades de dispositivo.

Controlo de versões

O IoT Edge runtime controla e reporta a versão do daemon de segurança IoT Edge. A versão é reportada como o atributo runtime.platform.version da propriedade reportada do módulo do agente IoT Edge.

Módulo de segurança de hardware

A camada de abstração da plataforma do módulo de segurança de hardware (HSM PAL) abstrai toda a raiz do hardware de confiança para isolar o programador ou utilizador de IoT Edge das respetivas complexidades. Inclui uma combinação de interface de programação de aplicações (API) e procedimentos de comunicação transdomínio, por exemplo, comunicação entre um ambiente de execução padrão e um enclave seguro. A implementação real do HSM PAL depende do hardware seguro específico em utilização. A sua existência permite a utilização de praticamente qualquer hardware de silício seguro.

Proteger a raiz de silício do hardware de fidedignidade

O silício seguro é necessário para ancorar a confiança dentro do hardware do dispositivo IoT Edge. O silício seguro inclui o Trusted Platform Module (TPM), o Secure Element (eSE) incorporado, o Arm TrustZone, o Intel SGX e tecnologias personalizadas de silício seguro. Recomenda-se a utilização da raiz segura de confiança do silício nos dispositivos, dadas as ameaças associadas à acessibilidade física dos dispositivos IoT.

O gestor de segurança IoT Edge tem como objetivo identificar e isolar os componentes que defendem a segurança e integridade da plataforma de IoT Edge do Azure para proteção personalizada. Os terceiros, como os fabricantes de dispositivos, devem utilizar as funcionalidades de segurança personalizadas disponíveis com o hardware do dispositivo.

Saiba como proteger o gestor de segurança do Azure IoT com o Trusted Platform Module (TPM) através de TPMs virtuais ou de software:

Crie e aprovisione um dispositivo IoT Edge com um TPM virtual no Linux ou Linux no Windows.

Passos seguintes

Para saber mais sobre como proteger os seus dispositivos IoT Edge, leia as seguintes mensagens de blogue:

• Proteger o limite inteligente.
• O esquema para resolver de forma segura o aprovisionamento de toque zero de dispositivos IoT em escala
• Resolver a segurança do dispositivo IoT em escala através das normas