Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
IoT Edge 1.5
Внимание
IoT Edge 1.5 LTS — это поддерживаемый выпуск. IoT Edge 1.4 LTS достиг срока окончания службы 12 ноября 2024 года. Если вы используете более ранний выпуск, ознакомьтесь с Update IoT Edge.
Azure IoT Edge поддерживает конфиденциальные приложения, которые выполняются в защищенных анклавах на устройстве. Шифрование обеспечивает безопасность данных при передаче или хранении, анклавы же обеспечивают безопасность данных и рабочих нагрузок во время их использования. IoT Edge поддерживает Open Enclave в качестве стандарта для разработки конфиденциальных приложений.
Безопасность является важным фокусом Интернета вещей (IoT), так как устройства Интернета вещей часто находятся в мире, а не защищены внутри частного объекта. Поскольку эти устройства являются физически доступными для злоумышленников, это делает их подверженными риску незаконного изменения или подделки. IoT Edge устройствам требуется больше доверия и целостности, так как они выполняют чувствительные рабочие нагрузки на границе. В отличие от распространенных датчиков и актуаторов эти интеллектуальные пограничные устройства могут предоставлять конфиденциальные рабочие нагрузки, которые ранее выполнялись только в защищенных облачных или локальных средах.
Диспетчер безопасности IoT Edge решает одну часть проблемы с конфиденциальными вычислениями. Диспетчер безопасности использует аппаратный модуль безопасности (HSM) для защиты нагрузок, связанных с удостоверениями, и процессов в реальном времени устройства IoT Edge.
Другим аспектом конфиденциальных вычислений является защита данных, используемых на краю. Надежная среда выполнения (TEE) — это безопасная изолированная среда на процессоре, иногда называемая анклавом. Конфиденциальное приложение — это приложение, которое выполняется в анклаве. Из-за природы анклавов конфиденциальные приложения защищены от других приложений, которые выполняются на основном процессоре или в TEE.
Конфиденциальные приложения на IoT Edge
Конфиденциальные приложения шифруются во время передачи и в состоянии покоя, а расшифровываются только для выполнения в доверенной среде исполнения. Этот стандарт применяем к конфиденциальным приложениям, развернутым как модули IoT Edge.
Разработчики создают конфиденциальные приложения и упаковывают их в виде модулей IoT Edge. Приложение шифруется перед отправкой в реестр контейнеров. Приложение остается зашифрованным во время процесса развертывания IoT Edge, пока модуль не будет запущен на устройстве IoT Edge. После того как конфиденциальное приложение попадает в TEE устройства, оно расшифровывается и может начать выполнение.
Конфиденциальные приложения на IoT Edge расширяют конфиденциальные вычисления Azure. Рабочие нагрузки, которые выполняются в безопасных анклавах в облаке, можно также развернуть в безопасных анклавах на периферии.
Открытый анклав
Пакет SDK Open Enclave — это проект с открытым исходным кодом, который позволяет разработчикам создавать конфиденциальные приложения для нескольких платформ и сред. Пакет SDK Open Enclave работает в доверенной среде выполнения (TEE) устройства, а API Open Enclave выступает в качестве интерфейса между TEE и средой обработки, отличной от TEE.
Open Enclave поддерживает несколько аппаратных платформ. IoT Edge для поддержки анклавов требуется операционная система Open Portable TEE (OP-TEE OS). Чтобы узнать больше, см. Open Enclave SDK для OP-TEE OS.
Репозиторий Open Enclave содержит примеры, помогающие разработчикам приступить к работе. Для получения дополнительных сведений выберите одну из вводных статей:
Оборудование
В настоящее время TrustBox by Scalys является единственным устройством, поддерживаемым соглашениями об обслуживании производителя для развертывания конфиденциальных приложений в виде модулей IoT Edge. Устройства TrustBox Edge и TrustBox EdgeXL предварительно загружены с помощью пакета SDK Open Enclave и Azure IoT Edge.
Дополнительные сведения см. в статье Начало работы с Open Enclave для Scalys TrustBox.
Разработка и развертывание
Когда вы будете готовы к разработке и развертыванию конфиденциального приложения, пакет SDK Open Enclave может помочь. Вы можете использовать Linux или Windows в качестве компьютера разработки для разработки модулей для TrustBox.
Следующие шаги
Узнайте, как начать разработку конфиденциальных приложений в виде модулей IoT Edge с помощью расширения Open Enclave для Visual Studio Code.