administrador de seguridad de Azure IoT Edge

Se aplica a: IoT Edge 1.5

El administrador de seguridad de Azure IoT Edge es un núcleo de seguridad bien limitado que protege el dispositivo IoT Edge y sus componentes mediante la abstracción de hardware de silicio seguro. El administrador de seguridad se centra en el fortalecimiento de la seguridad y proporciona un punto de integración tecnológica a los fabricantes de equipos originales (OEM).

El administrador de seguridad abstrae hardware de silicio seguro en un dispositivo IoT Edge y proporciona un marco de extensibilidad para servicios de seguridad adicionales.

El administrador de seguridad IoT Edge defiende la integridad del dispositivo IoT Edge y sus operaciones de software. El administrador de seguridad realiza la transición de confianza de la raíz de hardware subyacente del hardware de confianza (si está disponible) para arrancar el entorno de ejecución de IoT Edge y supervisar las operaciones en curso. El administrador de seguridad de IoT Edge funciona con hardware de silicio seguro (si está disponible) para ofrecer las mayores garantías de seguridad posibles.

El administrador de seguridad de IoT Edge también proporciona un marco seguro para las extensiones de servicio de seguridad a través de módulos de nivel de host. Estos servicios incluyen la supervisión y las actualizaciones de seguridad que requieren agentes dentro del dispositivo con acceso con privilegios a algunos componentes del dispositivo. El marco de extensibilidad garantiza que estas integraciones siempre mantengan la seguridad general del sistema.

El administrador de seguridad de IoT Edge es responsable de tareas como:

• Inicializar el dispositivo Azure IoT Edge
• Control del acceso en la raíz de confianza de hardware de dispositivo a través de servicios notariales.
• Supervisión de la integridad de las operaciones de IoT Edge en tiempo de ejecución
• Aprovisionamiento de la identidad del dispositivo y administración de la transición de confianza cuando sea necesario
• Asegúrese de que los agentes cliente para servicios como Device Update para IoT Hub y Microsoft Defender for IoT se ejecuten de forma segura.

El administrador de seguridad de IoT Edge tiene tres componentes:

• entorno de ejecución del módulo de IoT Edge
• Abstracciones del módulo de seguridad de hardware (HSM) a través de implementaciones estándar como PKCS#11 y Módulo de plataforma segura (TPM)
• Raíz de confianza en silicio de hardware o HSM (opcional, pero altamente recomendado)

Cambios en la versión 1.2 y posteriores

En las versiones 1.0 y 1.1 de IoT Edge, un componente denominado demonio de seguridad gestiona las operaciones lógicas de seguridad del administrador de seguridad. En la versión 1.2, varias responsabilidades clave pasan al subsistema de seguridad Azure IoT Identity Service. Después de que estas tareas de seguridad se desplacen del demonio de seguridad, su nombre no se ajusta a su rol. Para reflejar mejor lo que hace este componente en la versión 1.2 y posteriores, se cambia el nombre al entorno de ejecución del módulo.

Tiempo de ejecución del módulo IoT Edge

El entorno de ejecución del módulo IoT Edge delega la confianza en el subsistema de seguridad del Azure IoT Identity Service, para proteger el entorno de ejecución del contenedor IoT Edge. Un servicio, ahora delegado a Azure IoT Identity Service, es el servicio automatizado de inscripción y renovación de certificados a través de un servidor EST. Para ver cómo funciona y crear un servidor EST de ejemplo creado para un dispositivo IoT Edge, pruebe el tutorial Inscripción de configuración a través del servidor de transporte seguro para Azure IoT Edge tutorial.

El entorno de ejecución del módulo es el responsable de las operaciones lógicas de seguridad del administrador de seguridad. Representa una parte significativa de la base informática de confianza del dispositivo IoT Edge. El entorno de ejecución del módulo usa servicios de seguridad del servicio de identidad de IoT, que a su vez está protegido por la elección del módulo de seguridad de hardware (HSM) del fabricante del dispositivo. Se recomienda encarecidamente el uso de HSM para la protección de dispositivos.

Principios de diseño

IoT Edge sigue dos principios básicos: maximizar la integridad operativa y minimizar la sobrecarga y el cambio constante.

Maximización de la integridad de las operaciones

El entorno de ejecución del módulo IoT Edge opera con la máxima integridad posible dentro de la capacidad de defensa de cualquier raíz de confianza específica. Con una integración correcta, el hardware de raíz de confianza mide y supervisa el demonio de seguridad de manera estática y en el entorno de ejecución para resistir manipulaciones.

El acceso físico malintencionado a los dispositivos siempre es una amenaza en IoT. La raíz de confianza de hardware desempeña un papel importante en la defensa de la integridad del dispositivo IoT Edge. La raíz de confianza de hardware tiene dos variantes:

• Elementos seguros para la protección de información confidencial, como secretos y claves criptográficas.
• Enclaves seguros para la protección de secretos, como claves, y cargas de trabajo confidenciales, como modelos de aprendizaje automático confidenciales y operaciones de medición.

Existen dos tipos de entornos de ejecución para usar la raíz de confianza del hardware:

• El entorno de ejecución estándar o enriquecido (REE) que se basa en el uso de elementos seguros para proteger información confidencial.
• El entorno de ejecución de confianza (TEE) que se basa en el uso de la tecnología de enclave seguro para proteger información confidencial y ofrecer protección para la ejecución de software.

En el caso de los dispositivos que usan enclaves seguros como raíz de confianza de hardware, la lógica confidencial dentro del entorno de ejecución del módulo de IoT Edge debe estar dentro del enclave. Las partes no confidenciales del entorno de ejecución del módulo pueden estar fuera de TEE. En todos los casos, recomendamos encarecidamente que los fabricantes originales de diseño (ODM) y los fabricantes de equipos originales (OEM) amplíen la confianza de su HSM para medir y defender la integridad del entorno de ejecución del módulo IoT Edge en el arranque y en tiempo de ejecución.

Minimización del sobredimensionamiento y la renovación

Otro principio básico para el tiempo de ejecución del módulo IoT Edge es minimizar la inestabilidad. Para obtener el mayor nivel de confianza, el entorno de ejecución del módulo de IoT Edge puede asociarse estrechamente con la raíz de confianza del hardware del dispositivo y funcionar como código nativo. En estos casos, es habitual actualizar el software de IoT Edge a través de las rutas seguras de actualización de la raíz de confianza del hardware en lugar de los mecanismos de actualización del sistema operativo, lo cual puede ser más complicado. La renovación de seguridad es una recomendación para los dispositivos IoT, pero los requisitos excesivos de actualización o las cargas de actualizaciones de gran tamaño pueden expandir de muchas maneras la superficie expuesta a amenazas. Por ejemplo, puede verse tentado a omitir algunas actualizaciones para maximizar la disponibilidad del dispositivo. Por lo tanto, el diseño del entorno de ejecución del módulo de IoT Edge es conciso para mantener pequeña la base informática de confianza bien aislada para fomentar actualizaciones frecuentes.

Arquitectura

El entorno de ejecución del módulo IoT Edge aprovecha cualquier tecnología de confianza de hardware disponible para mejorar la seguridad. También permite la operación de mundo dividido entre un entorno de ejecución estándar/enriquecido (REE) y un entorno de ejecución de confianza (TEE) cuando las tecnologías de hardware ofrecen un entorno de ejecución de confianza. Las interfaces específicas de rol permiten que los componentes principales de IoT Edge aseguren la integridad del dispositivo IoT Edge y sus operaciones.

Interfaz de la nube

La interfaz en la nube permite el acceso a servicios en la nube que complementan la seguridad de los dispositivos. Por ejemplo, esta interfaz permite el acceso al servicio Device Provisioning para la administración del ciclo de vida de la identidad del dispositivo.

API de administración

El agente de IoT Edge llama a la API de administración al crear, iniciar, detener o quitar un módulo de IoT Edge. El entorno de ejecución del módulo almacena "registros" para todos los módulos activos. Estos registros asignan la identidad de un módulo a algunas propiedades del módulo. Por ejemplo, estas propiedades del módulo incluyen el identificador de proceso (pid) del proceso que se ejecuta en el contenedor y el hash del contenido del contenedor de Docker.

La API de carga de trabajo usa estas propiedades para comprobar que el autor de la llamada está autorizado para una acción.

La API de administración es una API con privilegios, que solo se puede llamar desde el agente de IoT Edge. Dado que el entorno de ejecución del módulo IoT Edge arranca e inicia el agente de IoT Edge, verifica que el agente de IoT Edge no haya sido manipulado, a continuación puede crear un registro implícito para el agente de IoT Edge. El mismo proceso de atestación que usa la API de carga de trabajo también restringe el acceso a la API de administración solo al agente de IoT Edge.

API de contenedores

La API de contenedor interactúa con el sistema de contenedor en uso para la administración de módulos, como Moby o Docker.

API de carga de trabajo

La API de carga de trabajo es accesible para todos los módulos. Proporciona una prueba de identidad, ya sea en forma de un token firmado con raíz de HSM o un certificado X509, y el paquete de confianza correspondiente a un módulo. El paquete de confianza contiene certificados de entidad de certificación para todos los otros servidores en que deben confiar los módulos.

El entorno de ejecución del módulo IoT Edge usa un proceso de atestación para proteger esta API. Cuando un módulo llama a esta API, el entorno de ejecución del módulo intenta encontrar un registro para la identidad. Si tiene éxito, utiliza las propiedades del registro para medir el módulo. Si el resultado del proceso de medición coincide con el registro, se genera una nueva prueba de identidad. Los certificados de entidad de certificación correspondientes (conjunto de confianza) se devuelven al módulo. El módulo usa este certificado para conectarse a IoT Hub, otros módulos o iniciar un servidor. Cuando el certificado o un token firmado se acerca a la expiración, es responsabilidad del módulo solicitar un certificado nuevo.

Integración y mantenimiento

Microsoft mantiene la base de código principal para el entorno de ejecución del módulo IoT Edge y el servicio de identidad Azure IoT en GitHub.

Al leer el código base de IoT Edge, recuerde que el entorno de ejecución de módulos evolucionó desde el demonio de seguridad. El código base todavía puede contener referencias al demonio de seguridad.

Instalación y actualizaciones

La instalación y las actualizaciones del entorno de ejecución del módulo IoT Edge se administran mediante el sistema de administración de paquetes del sistema operativo. Dispositivos IoT Edge con raíz de confianza de hardware deben ofrecer un refuerzo adicional a la integridad del tiempo de ejecución del módulo mediante la gestión de su ciclo de vida a través de los sistemas de gestión de arranque seguro y actualizaciones. Los fabricantes de dispositivos deben explorar estas vías en función de sus respectivas funcionalidades del dispositivo.

Control de versiones

El entorno de ejecución de IoT Edge realiza un seguimiento e informa de la versión del entorno de ejecución del módulo IoT Edge. La versión se notifica como el atributo runtime.platform.version de la propiedad notificada del módulo del agente de IoT Edge.

Módulo de seguridad de hardware

El administrador de seguridad de IoT Edge usa los estándares de interfaz Trusted Platform Module y PKCS#11 para integrar módulos de seguridad de hardware (HSM). Estos estándares permiten integrar casi cualquier HSM, incluidos los de interfaces propietarias. Use HSM para reforzar la seguridad.

Hardware de raíz de confianza de silicio seguro

Los anclajes de silicio seguros brindan confianza en el hardware de dispositivos IoT Edge. Secure Silicon incluye módulo de plataforma segura (TPM), elemento seguro incrustado (eSE), Arm TrustZone, Intel SGX y tecnologías de silicio seguras personalizadas. El uso de una raíz de confianza de silicio segura en los dispositivos es importante debido a las amenazas asociadas con el acceso físico a los dispositivos IoT.

El administrador de seguridad de IoT Edge identifica y aísla los componentes que protegen la seguridad e integridad de la plataforma de Azure IoT Edge para la protección personalizada. Los creadores de dispositivos y otros terceros pueden usar características de seguridad personalizadas disponibles con su hardware de dispositivo.

Aprenda a proteger el administrador de seguridad de Azure IoT con el módulo de plataforma segura (TPM) mediante el uso de TPM virtuales o software:

Cree y aprovisione un dispositivo IoT Edge con un TPM virtual en Linux o Linux en Windows.

Pasos siguientes

• Comprender el marco de seguridad de IoT Edge
• Aprende sobre los certificados de IoT Edge