Azure IoT Edge 的安全标准

适用于:“是”图标 IoT Edge 1.1 “是”图标 IoT Edge 1.2

Azure IoT Edge 可以解决将数据和分析结果转移到智能边缘所带来的风险。 IoT Edge 安全标准可以平衡不同部署方案的灵活性,同时提供所有 Azure 服务预期会提供的保护。

IoT Edge 在不同的硬件品牌和型号上运行,支持多种操作系统,并且适用于各种部署方案。 IoT Edge 是一个可扩展的安全框架,它基于针对规模设计的有充分根据的原则,而不是为特定的场景提供具体解决方案。 部署方案的风险取决于许多因素,包括:

  • 解决方案所有权
  • 部署地域
  • 数据敏感度
  • 隐私
  • 垂直应用程序
  • 法规要求

本文提供 IoT Edge 安全框架的概述。 有关详细信息,请参阅保护智能边缘

标准

标准使审查和实施更简单,两者是安全性的标志。 安全解决方案应有助于通过评估中的审查,从而建立信任,并且不应成为部署的障碍。 确保 Azure IoT Edge 安全的框架设计源自经过时间考验和行业认可的安全协议,以便利用熟悉的功能并重复使用。

身份验证

部署 IoT 解决方案时,你需要知道的是:只能让受信任的执行组件、设备和模块访问你的解决方案。 基于证书的身份验证是 Azure IoT Edge 平台身份验证的主要机制。 此机制源于 Internet 工程任务组 (IETF) 用于管理公钥基础结构 (PKiX) 的一套标准。

与 Azure IoT Edge 设备交互的所有设备、模块和执行组件都应具有唯一的证书标识。 无论交互是物理交互还是通过网络连接,本指南都适用。 不是每个方案或组件都可适用于基于证书的身份验证,因为安全框架的扩展性提供了安全的备用方法。

有关详细信息,请参阅 Azure IoT Edge 证书使用

授权

最低特权原则指出,系统的用户和组件应该只有权访问其执行角色所要访问的最少量资源和数据。 设备、模块和执行组件应该只能在架构方面允许时,访问其权限范围内的资源和数据。 一些权限可以使用足够的特权进行配置,而其他权限在体系结构上强制执行。 例如,某些模块在获得授权后可以连接到 Azure IoT 中心。 但是,没有理由能说明为什么一个 IoT Edge 设备中的模块应访问另一个 IoT Edge 设备中的相同模块。

其他授权方案包括证书签名权限和基于角色的访问控制 (RBAC)。

证明

证明可确保软件位元的完整性,这对于检测和防范恶意软件来说很重要。 Azure IoT Edge 安全框架将证明分为以下三个主要类别:

  • 静态证明
  • 运行时证明
  • 软件证明

静态证明

静态证明在启动时验证设备上所有软件的完整性,包括操作系统、所有运行时和配置信息。 由于静态证明发生在启动期间,因此通常把它称为安全启动。 IoT Edge 设备的安全框架扩展到制造商,并结合安全硬件的功能来确保静态证明过程。 这些过程包括安全启动和安全固件升级。 与芯片供应商的密切协作减少了多余的固件层,从而尽量减小受攻击面。

运行时证明

一旦系统完成安全启动过程,设计良好的系统会检测恶意软件的注入企图,并采取适当的对策。 恶意软件攻击可能利用系统的端口和接口。 如果恶意行动者获取了设备的物理访问权限,他们可能会篡改设备本身,或者使用旁道攻击来获取访问权限。 此类恶意内容(不管是恶意软件还是未经授权的配置更改)不能通过静态证明机制进行检测,因为它是在完成启动过程之后注入的。 设备硬件提供或强制实施的对策有助于抵御这种威胁。 IoT Edge 的安全框架显式调用对抗运行时威胁的扩展。

软件证明

包括智能边缘系统在内的所有健康系统需要修补程序和升级。 安全性对更新进程非常重要,否则这些进程就可能成为潜在的威胁载体。 IoT Edge 的安全框架要求通过已测量且已签名的包进行更新,以确保包的完整性并对包的源进行身份验证。 此标准适用于所有操作系统和应用程序软件。

硬件信任根

对于许多智能边缘设备(尤其是潜在恶意行动者可以进行物理访问的设备)来说,硬件安全措施是进行安全保护的最后一道防线。 防篡改硬件对于这种部署而言至关重要。 Azure IoT Edge 鼓励安全芯片硬件提供商协作,提供不同类型的硬件信任根,以适应各种风险状况和部署方案。 硬件信任可能来源于一般安全协议标准,例如受信任的平台模块 (ISO/IEC 11889) 和受信任的计算组的设备身份合成引擎 (DICE)。 TrustZones 等安全 enclave 技术也提供硬件信任。

认证

为了帮助客户在采购用于其部署的 Azure IoT Edge 设备时作出明智的决定,IoT Edge 框架需包括认证要求。 这些要求的基础是关于安全声明的认证和关于安全实现的认证。 例如,安全声明认证意味着 IoT Edge 设备使用可以抵御启动攻击的安全硬件。 验证认证意味着已正确实现安全硬件,可以在设备中实现此价值。 为了符合简单性原则,该框架会尽量减轻认证负担。

扩展性

随着 IoT 技术推动不同类型的业务转型,安全性应当同步发展以应对新出现的方案。 Azure IoT Edge 安全框架有着坚实的基础,在此之上扩展到不同的维度,包括:

  • 第一方安全服务,如 Azure IoT 中心的设备预配服务。
  • 第三方服务,如通过丰富的合作伙伴网络,针对不同垂直应用程序(如工业或医疗)或技术焦点(如网状网络或硅硬件证明服务中的安全监视)的托管安全服务。
  • 旧系统,用于包括使用备用安全策略的更新,比如使用安全技术而不是证书进行身份验证和身份管理。
  • 安全硬件,用于吸收新的安全硬件技术以及芯片合作伙伴的贡献。

最后,若要保护智能边缘,开放社区中的成员必须在确保 IoT 安全这一共同利益的驱动下一起努力。 这些贡献可能采用的形式是安全的技术或服务。 Azure IoT Edge 安全框架提供可最大范围扩展的坚实基础,在智能边缘中提供与 Azure 云中相同级别的信任和完整性。

后续步骤

阅读有关 Azure IoT Edge 正在保护智能边缘的详细信息。