邊線的機密運算
適用於: IoT Edge 1.5 IoT Edge 1.4
重要
IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 為支援的版本。 IoT Edge 1.4 LTS 於 2024 年 11 月 12 日結束生命週期。 如果您是舊版,請參閱更新 IoT Edge。
Azure IoT Edge 支援在裝置上安全記憶體保護區內執行的機密應用程式。 加密可為傳輸中或待用資料提供安全性,而記憶體保護區可在使用資料和工作負載的過程中提供安全性。 IoT Edge 支援以 Open Enclave 作為開發機密應用程式的標準。
安全性是物聯網 (IoT) 的重要焦點,因為 IoT 裝置通常遍布世界各地,而不是在私人設施內受到保護。 這樣的暴露程度讓裝置面臨竄改和偽造的風險,因為有心分子可存取它們的實體。 IoT Edge 裝置對信任和完整性的需求更高,因為它們允許在邊緣執行敏感性工作負載。 不同於常見的感應器和傳動器,這些智慧邊緣裝置可能會暴露先前只在受保護雲端或內部部署環境中執行的敏感性工作負載。
IoT Edge 安全性管理員解決了一項機密運算難題。 安全性管理員使用硬體安全性模組 (HSM),以保護 IoT Edge 裝置的身分識別工作負載和進行中的程序。
機密運算的另一個層面是保護邊緣的使用中資料。 信任的執行環境 (TEE) 是處理器上的安全隔離環境,有時也稱為記憶體保護區。 機密應用程式是在記憶體保護區中執行的應用程式。 記憶體保護區本質上會保護機密應用程式,以防止受到主要處理器或 TEE 中執行的其他應用程式影響。
IoT Edge 上的機密應用程式
機密應用程式會在傳輸中和待用時加密,而且只會為了在受信任的執行環境中執行而解密。 此標準適用於部署為 IoT Edge 模組的機密應用程式。
開發人員會建立機密應用程式並封裝為 IoT Edge 模組。 應用程式會在推送至容器登錄之前加密。 應用程式會在整個 IoT Edge 部署程式中保持加密,直到模組在 IoT Edge 裝置上啟動為止。 一旦機密應用程式位於裝置的 TEE 內,就會解密並開始執行。
IoT Edge 上的機密應用程式是 Azure 機密運算的邏輯延伸模組。 在雲端安全記憶體保護區內執行的工作負載,也可以部署為在邊緣的安全記憶體保護區內執行。
Open Enclave
Open Enclave SDK 是一個開放原始碼專案,協助開發人員為多個平台和環境建立機密應用程式。 Open Enclave SDK 會在裝置的受信任執行環境中運作,而 Open Enclave API 則是 TEE 與非 TEE 處理環境之間的介面。
Open Enclave 支援多個硬體平台。 IoT Edge 的記憶體保護區支援目前需要 Open Portable TEE 作業系統 (OP-TEE OS)。 若要深入瞭解,請參閱適用於 OP-TEE OS 的 Open Enclave SDK。
Open Enclave 存放庫也包含可協助開發人員入門的範例。 如需詳細資訊,請選擇以下其中一篇簡介文章:
硬體
目前,Scalys 的 TrustBox 是製造商服務合約唯一支援的裝置,可用於將機密應用程式部署為 IoT Edge 模組。 TrustBox 建置在 TrustBox Edge 和 TrustBox EdgeXL 裝置上,兩者都已預先載入 Open Enclave SDK 和 Azure IoT Edge。
如需詳細資訊,請參閱開始使用 Scalys TrustBox 的 Open Enclave。
開發與部署
當您準備好開發及部署機密應用程式時,適用於 Visual Studio Code 的 Microsoft Open Enclave 擴充功能可提供協助。 您可以使用 Linux 或 Windows 作為開發機器來開發 TrustBox 的模組。
下一步
了解如何使用適用於 Visual Studio Code 的 Open Enclave 擴充功能,以 IoT Edge 模組的形式開始開發機密應用程式。