通过

Azure IoT Edge 的安全标准

适用于:IoT Edge 1.5 勾选标记 IoT Edge 1.5

重要

IoT Edge 1.5 LTS 是受支持的版本。 IoT Edge 1.4 LTS 的生命周期结束日期为 2024 年 11 月 12 日。 如果你使用的是较低的版本,请参阅更新 IoT Edge

Azure IoT Edge 解决了将数据和分析迁移到智能边缘时固有的风险。 IoT Edge 安全标准平衡了不同部署方案的灵活性,以及客户期望的 Azure 服务保护。

IoT Edge 在不同的硬件品牌和型号上运行,支持多种操作系统,并且适用于各种部署方案。 IoT Edge 不是针对特定方案提供具体解决方案,而是一个可扩展的安全框架,它基于专为规模设计的基础原则。 部署方案的风险取决于许多因素,包括:

  • 解决方案所有权
  • 部署地域
  • 数据敏感度
  • 隐私
  • 垂直应用程序
  • 法规要求

本文提供 IoT Edge 安全框架的概述。 有关详细信息,请参阅保护智能边缘

标准

标准使审查和实施更加容易,这是安全标志。 安全解决方案必须易于评估信任,不会妨碍部署。 用于保护 Azure IoT Edge 的框架使用经过验证的安全协议来熟悉和重复使用。

身份验证

部署 IoT 解决方案时,你需要知道的是:只能让受信任的执行组件、设备和模块访问你的解决方案。 基于证书的身份验证是 Azure IoT Edge 平台身份验证的主要机制。 此机制源于 Internet 工程任务组 (IETF) 用于管理公钥基础结构 (PKiX) 的一套标准。

与 Azure IoT Edge 设备交互的所有设备、模块和执行组件都应具有唯一的证书标识。 无论交互是物理交互还是通过网络连接,本指南都适用。 并非每个方案或组件都适合基于证书的身份验证,因此安全框架的可扩展性提供了安全替代方法。

有关详细信息,请参阅 Azure IoT Edge 证书使用

授权

最低特权原则指出,系统的用户和组件应该只有权访问其执行角色所要访问的最少量资源和数据。 设备、模块和执行组件应仅访问其权限范围内的资源和数据,并且仅当其体系结构允许时。 某些权限可以通过足够的特权进行配置,而其他权限则在体系结构上强制实施。 例如,某些模块可能有权连接到由世纪互联 IoT 中心运营的 Azure。 但是,没有理由能说明为什么一个 IoT Edge 设备中的模块应访问另一个 IoT Edge 设备中的相同模块。

其他授权方案包括证书签名权限和基于角色的访问控制,或 RBAC。

证明

证明可确保软件位元的完整性,这对于检测和防范恶意软件来说很重要。 Azure IoT Edge 安全框架将证明分为以下三个主要类别:

  • 静态证明
  • 运行时证明
  • 软件证明

静态证明

静态证明在启动时验证设备上所有软件的完整性,包括操作系统、所有运行时和配置信息。 由于静态证明发生在启动期间,因此通常把它称为安全启动。 IoT Edge 设备的安全框架扩展到制造商,并结合安全硬件的功能来确保静态证明过程。 这些过程包括安全启动和安全固件升级。 与硅供应商协作可消除不必要的固件层,并最大限度地减少威胁面。

运行时证明

一旦系统完成安全启动过程,设计良好的系统会检测恶意软件的注入企图,并采取适当的对策。 恶意软件攻击可能利用系统的端口和接口。 如果恶意行动者获取了设备的物理访问权限,他们可能会篡改设备本身,或者使用旁道攻击来获取访问权限。 此类恶意内容(不管是恶意软件还是未经授权的配置更改)不能通过静态证明机制进行检测,因为它是在完成启动过程之后注入的。 基于硬件的对策有助于防止此类威胁。 IoT Edge 的安全框架显式调用对抗运行时威胁的扩展。

软件证明

包括智能边缘系统在内的所有健康系统需要修补程序和升级。 安全性对更新进程非常重要,否则这些进程就可能成为潜在的威胁载体。 IoT Edge 安全框架需要通过测量和签名的包进行更新,以确保包完整性并对其源进行身份验证。 此标准适用于所有操作系统和应用程序软件。

硬件信任根

对于许多智能边缘设备(尤其是潜在恶意行动者可以进行物理访问的设备)来说,硬件安全措施是进行安全保护的最后一道防线。 防篡改硬件对于这种部署而言至关重要。 Azure IoT Edge 鼓励安全芯片硬件提供商协作,提供不同类型的硬件信任根,以适应各种风险状况和部署方案。 硬件信任可能来源于一般安全协议标准,例如受信任的平台模块 (ISO/IEC 11889) 和受信任的计算组的设备标识符组合引擎 (DICE)。 TrustZones 和软件防护扩展 (SGX) 等安全飞地技术也提供硬件信任。

认证

为了帮助客户在采购用于其部署的 Azure IoT Edge 设备时作出明智的决定,IoT Edge 框架需包括认证要求。 这些要求的基础是关于安全声明的认证和关于安全实现的认证。 例如,安全声明认证意味着 IoT Edge 设备使用可以抵御启动攻击的安全硬件。 验证认证意味着已正确实现安全硬件,可以在设备中实现此价值。 该框架将认证负担降至最低,以符合简单性原则。

静态加密

静态加密为已存储的数据提供数据保护。 对静态数据进行的攻击包括:试图获得存储数据的硬件的物理访问机会,然后盗用其中包含的数据。 可以使用存储加密来保护存储在设备上的数据。 Linux 有几种静态加密选项。 请选择最适合需求的选项。 对于 Windows,建议使用 Windows BitLocker 进行静态加密。

扩展性

随着 IoT 技术推动不同类型的业务转型,安全性应当同步发展以应对新出现的方案。 Azure IoT Edge 安全框架从坚实的基础开始,并将扩展性构建到不同的维度,包括:

  • 第一方安全服务,例如 Azure IoT 中心的设备预配服务。
  • 第三方服务,如通过丰富的合作伙伴网络,针对不同垂直应用程序(如工业或医疗)或技术焦点(如网状网络或硅硬件证明服务中的安全监视)的托管安全服务。
  • 旧系统,包括使用备用安全策略进行改造,例如使用证书以外的安全技术进行身份验证和标识管理。
  • 安全硬件,用于吸收新的安全硬件技术以及芯片合作伙伴的贡献。

保护智能边缘需要来自开放社区(由共同关心保护 IoT 驱动)的协作贡献。 这些贡献可能采用的形式是安全的技术或服务。 Azure IoT Edge 安全框架提供可最大范围扩展的坚实基础,在智能边缘中提供与 Azure 云中相同级别的信任和完整性。

后续步骤

阅读有关 Azure IoT Edge 正在保护智能边缘的详细信息。