|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区
您需要 登录 才可以下载或查看,没有账号?立即注册
×
微软Azure Sphere在端到端的物联网领域树立黄金安全标准
随着越来越多的设备连接到Internet以及威胁增加,迫切需要保护从边缘设备到云的数据流以及硬件的安全。因此,在所有四个层面(硬件,软件,网络和云)中集成安全性对于安全的IoT部署至关重要,我们看到这种方法已在以数据为中心的设备(例如智能手机)中被采用。
有哪些启用硬件安全性的选项?
关键是在芯片组(MCU/ SoC)级别上保护硬件,确保首先保护内部总线的数据。这可以通过将安全元素(SE)(例如物理不可克隆功能PUF,可信平台模块(TPM)或硬件安全模块(HSM))嵌入设备中的系统来完成。此外,将安全密钥区/ PUF中的密钥注入与加密密钥管理一起使用,以确保设备的安全身份,并创建在设备内传输及从设备向云的数据安全管道。
安全硬件将如何帮助Microsoft?
Microsoft是全球领先的端到端物联网平台提供商,通过其Azure IoT平台将数万企业中的数百万个边缘IoT设备连接到Azure云。Microsoft还一直在提供Azure Edge IoT软件,以在边缘实现计算和智能决策。因此,Microsoft必须确保运行其Azure实例的数百万台设备不会受到威胁并安全地连接到其云。
有鉴于此,微软一直在寻求与芯片合作伙伴一起构建安全的芯片,以建立“基于硬件的信任根源”。这将有助于解决克隆和伪造问题,还将通过其唯一的可信身份与其物联网中心平台建立安全认证。
为了实现此目标,早在2018年,Microsoft宣布了Azure Sphere,以构建多层的端到端安全性。从那时起,Microsoft Azure Sphere不断发展并构成三个关键元素:
硬件:Azure Sphere将安全密钥(公用)嵌入由其Pluton安全子系统提供支持的安全MCU / MPU中。
Pluton包括带有随机数发生器(RNG)的安全处理器单元
防篡改和侧信道攻击
其他加密和加密工具
安全启动以实现远程认证和基于证书的安全性
例如,联发科技MT3620包含一个隔离的安全子系统,该子系统具有自己的Arm Cortex-M4F内核,可处理安全启动和安全系统操作。该M4F安全处理器具有128kB安全的TCM和64kB安全的掩码ROM引导加载程序。
软件:Azure Sphere系统:
Azure Sphere OS由一个自定义Linux内核组成,该内核在2.4MB的代码存储上运行,已针对Azure Sphere MCU的闪存和RAM占用空间进行了精心调整,以减少攻击面。
操作系统与云中的Azure Sphere安全服务进行通信,以对所有出站流量进行安全的设备身份验证,网络管理和应用程序管理。
它进行安全监控,以保护内存,闪存和其他MCU资源,从而限制风险暴露。
该操作系统包括Microsoft提供的应用程序运行,限制对文件I/O或Shell的访问。
它还包括一个高级应用程序平台,该平台由Microsoft证书颁发机构(CA)通过受信任的管道进行签名,以维护除特定于设备的应用程序之外的所有软件。
云:Azure Sphere安全服务
Azure Sphere安全服务代理通过基于CA的身份验证,故障报告和OS的自动更新来信任设备到云的通信,检测威胁并更新设备安全性。
因此,云中的Azure Sphere嵌入了一个私钥,该私钥支持非对称加密,并在制造过程中使用成对的公钥对设备进行身份验证。
此外,Azure Sentinel通过人工智能提供云安全性。
所有这三个元素的集成使得具有非对称加密的硬件信任根成为可能。此外,它为从芯片到云的数据安全流创建了一条安全通道,从而确保了静态数据和传输数据的安全性。
下图描述了在Guardian IoT模块上运行的Azure Sphere,用于物联网部署
不断发展的合作伙伴生态系统:
芯片组:
在2018年,意法半导体的STM32是一款安全MCU,嵌入了安全元素并与Azure IoT C SDK集成在一起,可实现与Azure IoT中心的直接和安全连接,并全面支持Azure设备管理。
在2019年中,恩智浦的MX 8系列整合了Microsoft的Azure Sphere安全架构和Pluton安全子系统。
联发科技MT3620支持Azure Sphere
在2019年底,支持LTE-M/NB-IoT的高通9205 LTE多模调制解调器与Microsoft的Azure Sphere集成在一起。
模组
安富利和qiio提供了Avnet Guardian 100和qiio q200 Guardian(附加)模块,用于在缺少连接性和安全性但需要连接到Internet的现有棕场设备上进行改造。
其他模块包括Avnet AES-MS-MT3620,AI-Link WF-M620-RSC1和带有蓝牙选项的USI Wi-Fi模块。
通过这种方法,Microsoft正在构建一种高度可扩展且安全的方法,以车载,管理和连接IoT设备,并确保将数据安全地从设备传输到云。这消除了大多数物联网客户雇用昂贵的安全专业人员的需要。
案例研究:星巴克
星巴克已在北美的所有商店中部署了Azure Sphere。每个星巴克商店都有大约十至十二件设备,每天可运行超过15个小时,并且需要将其连接到云以获取与饮料相关的数据(每饮料生成10到12个数据点,数据量5MB),资产监控和为避免中断而进行的任何预测性维护。这很重要,因为任何设备故障都与商店的绩效,业务和客户满意度成正比。因此,星巴克一直在Microsoft的所有棕地设备上使用Azure Sphere部署的保护模块,以安全地将数据连接和聚合到云中。
芯片到云安全的金牌标准
安全和隐私是物联网的全球关注点,与国家/地区无关。安全性是物联网的主要障碍之一。但是,在过去两年中,由于对威胁及其可扩展解决方案的意识增强,我们已经看到了从芯片到云的安全性。端到端安全性对于将来任何物联网部署的成功至关重要,以保护资产和数据(在大多数情况下甚至更有价值)。
本文作者:Satyajit Sinha,是Counterpoint Technology Market Research的研究分析师,致力于物联网,移动性和网络安全。 Satyajit在信息技术行业拥有6年以上的经验。 在加入Counterpoint Research之前,Satyajit是Equity Research分析师。 |
|