Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Sphere cihazında çalışan uygulamalar korumalı bir kapsayıcıda çalışır. Bu ortam, yazılım ve verilerin güvenliğini korumak ve hizmetin kesintiye uğramasını önlemek için tasarlanmıştır.
Şekilde, uygulama platformunun yazılım öğeleri gösterilmektedir. Microsoft tarafından sağlanan öğeler gri, üretici tarafından sağlanan öğeler ise beyazdır.
Azure Sphere Uygulama Platformu
Uygulama platformu iki işletim ortamı destekler: Normal Dünya ve Güvenli Dünya. Azure Sphere uygulamaları Normal Dünya kullanıcı modunda bir uygulama kapsayıcısında çalışır ve Azure Sphere kitaplıklarına ve sınırlı sayıda işletim sistemi hizmeti kümesine erişebilir. Microsoft tarafından sağlanan cihaz sürücülerini içeren temel alınan özel Linux çekirdeği Normal Dünya gözetmen modunda, Güvenlik İzleyicisi ise Secure World'de çalışır. Yalnızca Microsoft tarafından sağlanan kod gözetmen modunda veya Güvenli Dünya'da çalıştırılabilir.
Uygulamalar POSIX ortamının bir alt kümesini destekleyen kapsayıcılarda çalışır. Sistem işlevlerine yalnızca Azure Sphere kitaplıkları ve çalışma zamanı hizmetleri aracılığıyla erişilebilir; POSIX sistem işlevlerinin tamamı kullanılamaz.
Donanım düzeyinde (diyagramda gösterilmez), güvenlik alt sistemi donanım tabanlı güvenli bir güven kökü sağlar. Cihaz önyüklemesinde, güvenlik alt sistemi genel donanım güvenliğini doğrular, ardından diğer bileşenleri ancak üretici yazılımının doğru imzalandığını doğruladıktan sonra getirir. Benzer şekilde, üretici yazılımı yüklemeden önce bir sonraki yazılım katmanının güvenliğini doğrular ve sonraki her yazılım katmanı da üzerindeki katmanı doğrular.
Uygulama güvenliği
Azure Sphere uygulama platformu, cihazın, uygulamanın ve verilerinin güvenliğini sağlamak için tasarlanmıştır. Uygulama güvenliği özellikleri şunlardır:
- Dış kaynaklara sınırlı erişim
- Uygulama özellikleri
- İmzalama gereksinimleri
- Cihaz özellikleri
Kaynaklara erişim
Azure Sphere uygulamaları, dış yazılımlardan kaynaklanan kötü amaçlı müdahaleleri önlemek için yalnızca Microsoft'un sağladığı kitaplıklara ve çalışma zamanı hizmetlerine erişebilir. Kitaplıklar, platformun güvenli kalmasını ve kolayca güncelleştirilebilmesini sağlamak için kısıtlanmıştır. Doğrudan dosya G/Ç, işlemler arası iletişim (IPC) veya kabuk erişimini ve diğer kısıtlamaları desteklemez.
Uygulama özellikleri
Uygulama özellikleri , bir uygulamanın gerektirdiği kaynaklardır. Uygulama özellikleri arasında, uygulamanın kullandığı GPIO ve UART çevre birimleri, bağlandığı İnternet konakları ve Wi-Fi yapılandırmasını değiştirme izni bulunur. Her uygulamanın bu kaynakları tanımlayan bir uygulama bildirimi olmalıdır.
İmzalama gereksinimleri
Azure Sphere cihazına dağıtılan tüm görüntü paketleri imzalanmalıdır. Azure Sphere SDK'sı ve [az sphere image-package](.. /reference/az sphere-image-package.md) komut imzalama görüntüsü paketleri, SDK imzalama anahtarı kullanılarak test için kullanılır. Azure Sphere cihazları bu anahtara yalnızca appDevelopment cihaz özelliği de mevcutsa güvenir.
Azure Sphere Güvenlik Hizmeti, görüntü paketlerini buluta yüklediğinizde imzalar. Üretim imzalı görüntü paketleri dışarıdan yüklenebilir veya buluttan yüklenebilir.
Cihaz özellikleri
Cihaz özelliği , kullanıcının cihaza özgü bir etkinlik gerçekleştirmesine olanak tanır. Cihaz özellikleri Azure Sphere Güvenlik Hizmeti tarafından verilir ve Azure Sphere yongasında flash bellekte depolanır. Varsayılan olarak Azure Sphere yongalarının cihaz özelliği yoktur.
appDevelopment cihaz özelliği, cihazın güvendiği imzalama türünü değiştirir. Azure Sphere cihazları varsayılan olarak üretim imzalı görüntü paketlerine güvenir ancak SDK imzalı görüntü paketlerine güvenmez. Sonuç olarak, SDK imzalı görüntü paketini bu özelliğe sahip olmayan bir Azure Sphere cihazına dışarıdan yükleyemezsiniz. Ancak appDevelopment özelliği mevcut olduğunda cihaz SDK imzalı görüntü paketlerine güvenir. Buna ek olarak, kullanıcının bir uygulamayı başlatmasına, durdurmasına, hata ayıklamasına veya cihazdan kaldırmasına olanak tanır. Özetle, şunları yapabilmeniz için önce uygulama geliştirme özelliğinin cihazda mevcut olması gerekir:
- Visual Studio veya azsphere image-package komutu tarafından oluşturulmuş bir görüntü paketini dışarıdan yükleyin.
- Görüntü paketinin nasıl imzalandığından bağımsız olarak Azure Sphere cihazından bir görüntü paketini başlatın, durdurun, hata ayıklayıp kaldırın.
az sphere device enable-development komutu appDevelopment özelliğini oluşturur ve uygular ve cihazın bulut uygulaması güncelleştirmelerini almasını engeller.