”
隨着越來越多的設備連接到Internet以及威脅增加,迫切需要保護從邊緣設備到雲的數據流以及硬件的安全。因此,在所有四個層面(硬件,軟件,網絡和雲)中集成安全性對於安全的IoT部署至關重要,我們看到這種方法已在以數據為中心的設備(例如智能手機)中被採用。
有哪些啓用硬件安全性的選項?
關鍵是在芯片組(MCU/ SoC)級別上保護硬件,確保首先保護內部總線的數據。這可以通過將安全元素(SE)(例如物理不可克隆功能PUF,可信平台模塊(TPM)或硬件安全模塊(HSM))嵌入設備中的系統來完成。此外,將安全密鑰區/ PUF中的密鑰注入與加密密鑰管理一起使用,以確保設備的安全身份,並創建在設備內傳輸及從設備向雲的數據安全管道。
安全硬件將如何幫助Microsoft?
Microsoft是全球領先的端到端物聯網平台提供商,通過其Azure IoT平台將數萬企業中的數百萬個邊緣IoT設備連接到Azure雲。Microsoft還一直在提供Azure Edge IoT軟件,以在邊緣實現計算和智能決策。因此,Microsoft必須確保運行其Azure實例的數百萬台設備不會受到威脅並安全地連接到其雲。
有鑑於此,微軟一直在尋求與芯片合作伙伴一起構建安全的芯片,以建立“基於硬件的信任根源”。這將有助於解決克隆和偽造問題,還將通過其唯一的可信身份與其物聯網中心平台建立安全認證。
為了實現此目標,早在2018年,Microsoft宣佈了Azure Sphere,以構建多層的端到端安全性。從那時起,Microsoft Azure Sphere不斷髮展並構成三個關鍵元素:
硬件:Azure Sphere將安全密鑰(公用)嵌入由其Pluton安全子系統提供支持的安全MCU / MPU中。
Pluton包括帶有隨機數發生器(RNG)的安全處理器單元
防篡改和側信道攻擊
其他加密和加密工具
安全啓動以實現遠程認證和基於證書的安全性
例如,聯發科技MT3620包含一個隔離的安全子系統,該子系統具有自己的Arm Cortex-M4F內核,可處理安全啓動和安全系統操作。該M4F安全處理器具有128kB安全的TCM和64kB安全的掩碼ROM引導加載程序。
軟件:Azure Sphere系統:
Azure Sphere OS由一個自定義Linux內核組成,該內核在2.4MB的代碼存儲上運行,已針對Azure Sphere MCU的閃存和RAM佔用空間進行了精心調整,以減少攻擊面。
操作系統與雲中的Azure Sphere安全服務進行通信,以對所有出站流量進行安全的設備身份驗證,網絡管理和應用程序管理。
它進行安全監控,以保護內存,閃存和其他MCU資源,從而限制風險暴露。
該操作系統包括Microsoft提供的應用程序運行,限制對文件I/O或Shell的訪問。
它還包括一個高級應用程序平台,該平台由Microsoft證書頒發機構(CA)通過受信任的管道進行簽名,以維護除特定於設備的應用程序之外的所有軟件。
雲:Azure Sphere安全服務
Azure Sphere安全服務代理通過基於CA的身份驗證,故障報告和OS的自動更新來信任設備到雲的通信,檢測威脅並更新設備安全性。
因此,雲中的Azure Sphere嵌入了一個私鑰,該私鑰支持非對稱加密,並在製造過程中使用成對的公鑰對設備進行身份驗證。
此外,Azure Sentinel通過人工智能提供雲安全性。
所有這三個元素的集成使得具有非對稱加密的硬件信任根成為可能。此外,它為從芯片到雲的數據安全流創建了一條安全通道,從而確保了靜態數據和傳輸數據的安全性。
下圖描述了在Guardian IoT模塊上運行的Azure Sphere,用於物聯網部署
不斷髮展的合作伙伴生態系統:
芯片組:
在2018年,意法半導體的STM32是一款安全MCU,嵌入了安全元素並與Azure IoT C SDK集成在一起,可實現與Azure IoT中心的直接和安全連接,並全面支持Azure設備管理。
在2019年中,恩智浦的MX 8系列整合了Microsoft的Azure Sphere安全架構和Pluton安全子系統。
聯發科技MT3620支持Azure Sphere
在2019年底,支持LTE-M/NB-IoT的高通9205 LTE多模調制解調器與Microsoft的Azure Sphere集成在一起。
模組
安富利和qiio提供了Avnet Guardian 100和qiio q200 Guardian(附加)模塊,用於在缺少連接性和安全性但需要連接到Internet的現有棕場設備上進行改造。
其他模塊包括Avnet AES-MS-MT3620,AI-Link WF-M620-RSC1和帶有藍牙選項的USI Wi-Fi模塊。
通過這種方法,Microsoft正在構建一種高度可擴展且安全的方法,以車載,管理和連接IoT設備,並確保將數據安全地從設備傳輸到雲。這消除了大多數物聯網客户僱用昂貴的安全專業人員的需要。
案例研究:星巴克
星巴克已在北美的所有商店中部署了Azure Sphere。每個星巴克商店都有大約十至十二件設備,每天可運行超過15個小時,並且需要將其連接到雲以獲取與飲料相關的數據(每飲料生成10到12個數據點,數據量5MB),資產監控和為避免中斷而進行的任何預測性維護。這很重要,因為任何設備故障都與商店的績效,業務和客户滿意度成正比。因此,星巴克一直在Microsoft的所有棕地設備上使用Azure Sphere部署的保護模塊,以安全地將數據連接和聚合到雲中。
芯片到雲安全的金牌標準
安全和隱私是物聯網的全球關注點,與國家/地區無關。安全性是物聯網的主要障礙之一。但是,在過去兩年中,由於對威脅及其可擴展解決方案的意識增強,我們已經看到了從芯片到雲的安全性。端到端安全性對於將來任何物聯網部署的成功至關重要,以保護資產和數據(在大多數情況下甚至更有價值)。
本文作者:Satyajit Sinha,是Counterpoint Technology Market Research的研究分析師,致力於物聯網,移動性和網絡安全。 Satyajit在信息技術行業擁有6年以上的經驗。 在加入Counterpoint Research之前,Satyajit是Equity Research分析師。