Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
IoT Edge 1.5
Внимание
IoT Edge 1.5 LTS является поддерживаемым выпуском. IoT Edge 1.4 LTS заканчивается жизнью с 12 ноября 2024 года. Если вы используете более ранний выпуск, см. статью Обновление IoT Edge.
Azure IoT Edge поддерживает конфиденциальные приложения, которые работают в безопасных анклавах на устройстве. Шифрование обеспечивает безопасность данных при передаче или хранении, анклавы же обеспечивает безопасность данных и рабочих нагрузок во время их использования. IoT Edge поддерживает Open Enclave в качестве стандарта для разработки конфиденциальных приложений.
Безопасность является важным фокусом Интернета вещей (IoT), так как устройства Интернета вещей часто находятся в мире, а не защищены внутри частного объекта. Поскольку эти устройства являются физически доступными для злоумышленников, это делает их подверженными риску незаконного изменения или подделки. Устройствам IoT Edge нужно больше доверия и целостности, потому что они выполняют конфиденциальные рабочие процессы на периферии. В отличие от распространенных датчиков и актуаторов эти интеллектуальные пограничные устройства могут предоставлять конфиденциальные рабочие нагрузки, которые ранее выполнялись только в защищенных облачных или локальных средах.
Диспетчер безопасности IoT Edge решает одну из задач, связанных с конфиденциальными вычислениями. Диспетчер безопасности использует аппаратный модуль безопасности (HSM) для защиты рабочих нагрузок идентификации и текущих процессов устройства IoT Edge.
Другим аспектом конфиденциальных вычислений является защита данных, используемых на краю. Надежная среда выполнения (TEE) — это безопасная изолированная среда на процессоре, иногда называемая анклавом. Конфиденциальное приложение — это приложение, которое выполняется в анклаве. Из-за природы анклавов конфиденциальные приложения защищены от других приложений, которые выполняются на основном процессоре или в TEE.
Конфиденциальные приложения на IoT Edge
Конфиденциальные приложения шифруются во время передачи и в состоянии покоя, а расшифровываются только для выполнения в доверенной среде исполнения. Этот стандарт относится к конфиденциальным приложениям, развернутым в виде модулей IoT Edge.
Разработчики создают конфиденциальные приложения и упаковывают их в виде модулей IoT Edge. Приложение шифруется перед отправкой в реестр контейнеров. Приложение остается зашифрованным на протяжении всего процесса развертывания IoT Edge, пока модуль не будет запущен на устройстве IoT Edge. После того как конфиденциальное приложение попадает в TEE устройства, оно расшифровывается и может начать выполнение.
Конфиденциальные приложения в IoT Edge расширяют конфиденциальные вычисления Azure. Рабочие нагрузки, которые выполняются в безопасных анклавах в облаке, можно также развернуть для запуска в безопасных анклавах в пограничной среде.
Открытый анклав
Пакет SDK Open Enclave — это проект с открытым исходным кодом, который позволяет разработчикам создавать конфиденциальные приложения для нескольких платформ и сред. Пакет SDK Open Enclave работает в доверенной среде выполнения (TEE) устройства, а API Open Enclave выступает в качестве интерфейса между TEE и средой обработки, отличной от TEE.
Open Enclave поддерживает несколько аппаратных платформ. Для поддержки анклавов IoT Edge требуется операционная система Open Portable TEE (OP-TEE OS). Дополнительные сведения см. в статье Пакет SDK для OP-TEE OS.
Репозиторий Open Enclave содержит примеры, помогающие разработчикам приступить к работе. Для получения дополнительных сведений выберите одну из вводных статей:
- Создание примеров с пакетом SDK Open Enclave в Linux
- Создание примеров с пакетом SDK Open Enclave в Windows
Оборудование
В настоящее время TrustBox от Scalys является единственным устройством, поддерживаемым соглашениями на обслуживание производителя для развертывания конфиденциальных приложений в виде модулей IOT Edge. Служба TrustBox основана на устройствах TrustBox Edge и TrustBox EdgeXL, которые предварительно загружены с помощью пакета SDK Open Enclave и Azure IoT Edge.
Дополнительные сведения см. в статье Начало работы с Open Enclave для Scalys TrustBox.
Разработка и развертывание
Когда вы будете готовы к разработке и развертыванию конфиденциального приложения, вам в этом может помочь расширение Microsoft Open Enclave для Visual Studio Code. Для разработки модулей для TrustBox можно использовать Linux или Windows в качестве компьютера для разработки.
Следующие шаги
Узнайте, как начать разработку конфиденциальных приложений в качестве модулей IoT Edge с расширением Open Enclave для Visual Studio Code.