邊緣的機密運算

適用於： IoT Edge 1.5 IoT Edge 1.4

重要

支援 IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 版本。 IoT Edge 1.4 LTS 於 2024 年 11 月 12 日結束生命週期。 如果您是舊版，請參閱更新 IoT Edge。

Azure IoT Edge 支援在裝置上安全記憶體保護區內執行的機密應用程式。 加密可在傳輸中或待用時提供數據的安全性，但記憶體保護區在使用中時為數據和工作負載提供安全性。 IoT Edge 支援 Open Enclave 作為開發機密應用程式的標準。

安全性是物聯網（IoT）的重要焦點，因為IoT裝置通常在世界各地，而不是在私人設施內受到保護。 這種暴露會使裝置面臨竄改和偽造的風險，因為它們實際可供不良執行者存取。 IoT Edge 裝置更需要信任和完整性，因為它們允許在邊緣執行敏感性工作負載。 與常見的感測器和執行器不同，這些智慧邊緣裝置可能會暴露先前只在受保護雲端或內部部署環境中執行的敏感性工作負載。

IoT Edge 安全性管理員解決了一項機密運算挑戰。 安全性管理員會使用硬體安全性模組 （HSM） 來保護IoT Edge裝置的身分識別工作負載和進行中的程式。

機密運算的另一個層面是保護邊緣使用中的數據。 信任的執行環境 （TEE） 是處理器上安全的隔離環境，有時稱為記憶體保護區。 機密應用程式是在記憶體保護區中執行的應用程式。 由於記憶體保護區的性質，機密應用程式會受到保護，免於在主要處理器或 TEE 中執行的其他應用程式。

IoT Edge 上的機密應用程式

機密應用程式會在傳輸和待用時加密，且只會解密以在受信任的執行環境中執行。 此標準適用於部署為IoT Edge模組的機密應用程式。

開發人員會建立機密應用程式，並將其封裝為IoT Edge模組。 應用程式會在推送至容器登錄之前先加密。 應用程式會在整個IoT Edge部署程式中保持加密，直到模組在IoT Edge裝置上啟動為止。 一旦機密應用程式位於裝置的 TEE 內，就會解密並開始執行。

IoT Edge 上的機密應用程式是 Azure 機密運算的邏輯延伸模組。 您也可以部署在雲端中安全記憶體保護區內執行的工作負載，以在邊緣的安全記憶體保護區內執行。

開啟記憶體保護區

Open Enclave SDK 是一個 開放原始碼 專案，可協助開發人員為多個平台和環境建立機密應用程式。 Open 記憶體保護區 SDK 會在裝置的受信任執行環境中運作，而 Open 記憶體保護區 API 則是 TEE 與非 TEE 處理環境之間的介面。

Open Enclave 支援多個硬體平臺。 記憶體保護區的IoT Edge支援目前需要開放式可攜式 TEE 作業系統 （OP-TEE OS）。 若要深入瞭解，請參閱 Open Enclave SDK for OP-TEE OS。

Open Enclave 存放庫也包含範例，可協助開發人員開始使用。 如需詳細資訊，請選擇其中一篇簡介文章：

• 在 Linux 上建置開放式記憶體保護區 SDK 範例
• 在 Windows 上建置開放式記憶體保護區 SDK 範例

硬體

目前， Scalys 的 TrustBox 是唯一支援製造商服務協議的裝置，可部署機密應用程式作為 IoT Edge 模組。 TrustBox 建置在 TrustBox Edge 和 TrustBox EdgeXL 裝置上，兩者都已預先載入 Open Enclave SDK 和 Azure IoT Edge。

如需詳細資訊，請參閱 開始使用 Scalys TrustBox 的 Open 記憶體保護區。

開發和部署

當您準備好開發及部署機密應用程式時，適用於Visual StudioCode的 Microsoft Open Enclave 擴充功能可以協助。 您可以使用 Linux 或 Windows 作為開發電腦來開發 TrustBox 的模組。

下一步

瞭解如何使用適用於 Visual Studio Code 的 Open Enclave 擴充功能，以 IoT Edge 模組的形式開始開發機密應用程式。