Konfidentiell databehandling på gränsen
Gäller för:
IoT Edge 1.5 IoT Edge 1.4
Viktigt!
IoT Edge 1.5 LTS och IoT Edge 1.4 LTS stöds. IoT Edge 1.4 LTS upphör den 12 november 2024. Om du har en tidigare version läser du Uppdatera IoT Edge.
Azure IoT Edge stöder konfidentiella program som körs i säkra enklaver på enheten. Kryptering ger säkerhet för data under överföring eller i vila, men enklaver ger säkerhet för data och arbetsbelastningar när de används. IoT Edge stöder Open Enclave som standard för utveckling av konfidentiella program.
Säkerhet är ett viktigt fokus för Sakernas Internet (IoT) eftersom ofta IoT-enheter ofta är ute i världen i stället för att skyddas i en privat anläggning. Den här exponeringen utsätter enheter för risk för manipulering och förfalskning eftersom de är fysiskt tillgängliga för dåliga aktörer. IoT Edge-enheter har ännu större behov av förtroende och integritet eftersom de tillåter att känsliga arbetsbelastningar körs vid gränsen. Till skillnad från vanliga sensorer och ställdon exponerar dessa intelligenta gränsenheter potentiellt känsliga arbetsbelastningar som tidigare endast kördes i skyddade molnmiljöer eller lokala miljöer.
IoT Edge-säkerhetshanteraren hanterar en del av den konfidentiella databehandlingsuppgiften. Säkerhetshanteraren använder en maskinvarusäkerhetsmodul (HSM) för att skydda identitetsarbetsbelastningar och pågående processer för en IoT Edge-enhet.
En annan aspekt av konfidentiell databehandling är att skydda data som används vid gränsen. En betrodd körningsmiljö (TEE) är en säker, isolerad miljö på en processor och kallas ibland för en enklav. Ett konfidentiellt program är ett program som körs i en enklav. På grund av enklaver skyddas konfidentiella program från andra appar som körs i huvudprocessorn eller i TEE.
Konfidentiella program på IoT Edge
Konfidentiella program krypteras under överföring och i vila och dekrypteras endast för att köras i en betrodd körningsmiljö. Den här standarden gäller för konfidentiella program som distribueras som IoT Edge-moduler.
Utvecklaren skapar det konfidentiella programmet och paketeras som en IoT Edge-modul. Programmet krypteras innan det skickas till containerregistret. Programmet förblir krypterat under IoT Edge-distributionsprocessen tills modulen startas på IoT Edge-enheten. När det konfidentiella programmet är inom enhetens TEE dekrypteras det och kan börja köras.
Konfidentiella program på IoT Edge är en logisk förlängning av konfidentiell databehandling i Azure. Arbetsbelastningar som körs i säkra enklaver i molnet kan också distribueras för att köras inom säkra enklaver vid gränsen.
Öppna enklaver
Open Enclave SDK är ett öppen källkod projekt som hjälper utvecklare att skapa konfidentiella program för flera plattformar och miljöer. Open Enclave SDK fungerar i den betrodda körningsmiljön för en enhet, medan OPEN Enclave-API:et fungerar som ett gränssnitt mellan TEE och icke-TEE-bearbetningsmiljön.
Open Enclave har stöd för flera maskinvaruplattformar. IoT Edge-stöd för enklaver kräver för närvarande operativsystemet Open Portable TEE (OP-TEE OS). Mer information finns i Öppna Enclave SDK för OP-TEE OS.
Open Enclave-lagringsplatsen innehåller även exempel som hjälper utvecklare att komma igång. Om du vill ha mer information väljer du någon av de inledande artiklarna:
Maskinvara
För närvarande är TrustBox by Scalys den enda enhet som stöds med tillverkarens serviceavtal för att distribuera konfidentiella program som IoT Edge-moduler. TrustBox bygger på TrustBox Edge- och TrustBox EdgeXL-enheter som båda är förinstallerade med Open Enclave SDK och Azure IoT Edge.
Mer information finns i Komma igång med Open Enclave för Scalys TrustBox.
Utveckla och distribuera
När du är redo att utveckla och distribuera ditt konfidentiella program kan Microsoft Open Enclave-tillägget för Visual Studio Code hjälpa dig. Du kan använda Antingen Linux eller Windows som utvecklingsdator för att utveckla moduler för TrustBox.
Nästa steg
Lär dig hur du börjar utveckla konfidentiella program som IoT Edge-moduler med Open Enclave-tillägget för Visual Studio Code.