Administrador de seguridad de IoT Edge

Se aplica a: IoT Edge 1.1

El Administrador de seguridad de Azure IoT Edge es un núcleo de seguridad bien delimitado para proteger el dispositivo IoT Edge y todos sus componentes mediante la abstracción de hardware de silicio seguro. El responsable de seguridad es el punto focal para fortalecer la seguridad y proporciona a los fabricantes de equipos originales (OEM) el punto de integración de la tecnología.

El administrador de seguridad abstrae el hardware de silicio seguro en un dispositivo IoT Edge.

El administrador de seguridad de IoT Edge tiene como objetivo defender la integridad del dispositivo IoT Edge y todas las operaciones de software inherentes. El administrador de seguridad transfiere la confianza desde la raíz de confianza de hardware subyacente (si está disponible) para iniciar el entorno de ejecución de IoT Edge y supervisar las operaciones en curso. El administrador de seguridad de IoT Edge es software que funciona junto con el hardware de silicio seguro (donde esté disponible) para ayudar a entregar las garantías de seguridad más altas posible.

Las responsabilidades del administrador de seguridad de IoT Edge incluyen, entre otras:

• Iniciar el dispositivo Azure IoT Edge.
• Control del acceso al hardware de raíz de confianza del dispositivo mediante servicios notariales.
• Supervisión de la integridad de las operaciones de IoT Edge en el entorno de ejecución.
• Recibe la delegación de confianza del módulo de seguridad de hardware (HSM)
• Aprovisionamiento de la identidad del dispositivo y administración de la transición de confianza cuando corresponda.
• Alojar y proteger los componentes de los dispositivos de servicios en la nube como Device Provisioning Service.
• Aprovisione módulos de IoT Edge con identidades únicas.

El administrador de seguridad de IoT Edge consta de tres componentes:

• El servicio de seguridad de IoT Edge
• La capa de abstracción de la plataforma del módulo de seguridad de hardware (HSM PAL)
• HSM o raíz de confianza de silicio de hardware (opcional, pero altamente recomendado).

El demonio de seguridad de IoT Edge

El demonio de seguridad de IoT Edge es responsable de las operaciones de seguridad lógicas del administrador de seguridad. Representa una porción importante de la base informática de confianza del dispositivo IoT Edge.

Principios de diseño

IoT Edge sigue dos principios básicos: maximizar la integridad operativa y minimizar el exceso y los cambios frecuentes.

Maximización de la integridad de las operaciones

El demonio de seguridad de IoT Edge funciona con la mayor integridad posible dentro de la funcionalidad de defensa de cualquier hardware de raíz de confianza determinado. Con una integración correcta, el hardware de raíz de confianza mide y supervisa el demonio de seguridad tanto de forma estática como en tiempo de ejecución para resistir manipulaciones. El acceso físico malintencionado a los dispositivos siempre es una amenaza en IoT. La raíz de confianza de hardware juega un papel importante en la defensa de la integridad del dispositivo IoT Edge. La raíz de confianza de hardware tiene dos variantes:

• Elementos seguros para la protección de información confidencial, como secretos y claves criptográficas.
• Enclaves seguros para la protección de secretos, como claves, y cargas de trabajo confidenciales, como modelos de aprendizaje automático confidenciales y operaciones de medición.

Existen dos tipos de entornos de ejecución para usar la raíz de confianza del hardware:

• El entorno de ejecución estándar o enriquecido (REE) que se basa en el uso de elementos seguros para proteger información confidencial.
• El entorno de ejecución de confianza (TEE) que se basa en el uso de la tecnología de enclave seguro para proteger información confidencial y ofrecer protección para la ejecución de software.

En el caso de los dispositivos que usan enclaves seguros como raíz de confianza de hardware, la lógica confidencial dentro del demonio de seguridad de IoT Edge debe estar dentro del enclave. Las partes no confidenciales del demonio de seguridad pueden estar fuera del entorno de ejecución de confianza. En todos los casos, se recomienda firmemente que los fabricantes de diseño originales (ODM) y los fabricantes de equipos originales (OEM) amplíen la confianza desde su HSM para medir y defender la integridad del demonio de seguridad de IoT Edge durante el arranque y la ejecución.

Reducir el exceso y la rotación

Otro principio básico para el demonio de seguridad de IoT Edge es minimizar las interrupciones. Para obtener el máximo nivel de confianza, el demonio de seguridad de IoT Edge puede acoplarse estrechamente con la raíz de confianza del hardware del dispositivo y operar como código nativo. En estos casos, es común actualizar el software de IoT Edge mediante las rutas seguras de actualización de la raíz de confianza del hardware, en lugar de usar los mecanismos de actualización del sistema operativo, los cuales pueden resultar complicados. La renovación de seguridad es una recomendación para los dispositivos IoT, pero los requisitos excesivos de actualización o las cargas de actualizaciones de gran tamaño pueden expandir de muchas maneras la superficie expuesta a amenazas. Por ejemplo, puede verse tentado a omitir algunas actualizaciones para maximizar la disponibilidad del dispositivo. Por lo tanto, el diseño del demonio de seguridad de IoT Edge es conciso para mantener la base informática de confianza bien aislada pequeña para fomentar actualizaciones frecuentes.

Arquitectura

El demonio de seguridad de IoT Edge aprovecha las ventajas de cualquier tecnología de raíz de confianza de hardware disponible para fortalecer la seguridad. También permite la operación en un entorno dividido entre un entorno de ejecución estándar o enriquecido (REE) y un entorno de ejecución de confianza (TEE) cuando las tecnologías de hardware proporcionan entornos de ejecución de confianza. Las interfaces específicas de rol habilitan los componentes importantes de IoT Edge para garantizar la integridad del dispositivo IoT Edge y sus operaciones.

Interfaz de la nube

La interfaz en la nube permite el acceso a servicios en la nube que complementan la seguridad de los dispositivos. Por ejemplo, esta interfaz permite el acceso al servicio de aprovisionamiento de dispositivos para la administración del ciclo de vida de la identidad del dispositivo.

API de administración

El agente de IoT Edge llama a la API de administración en el momento de crear, iniciar, detener o eliminar un módulo de IoT Edge. El demonio de seguridad almacena "registros" para todos los módulos activos. Estos registros asignan la identidad de un módulo a algunas propiedades del módulo. Por ejemplo, estas propiedades del módulo incluyen el identificador de proceso (pid) del proceso que se ejecuta en el contenedor y el hash del contenido del contenedor de Docker.

Estas propiedades las usa la API de carga de trabajo (que se describe a continuación) para comprobar que el autor de la llamada está autorizado para una acción.

La API de administración es una API con privilegios, a la que solo se puede llamar desde el agente de IoT Edge. Dado que el demonio de seguridad de IoT Edge arranca e inicia el agente de IoT Edge, verifica que el agente de IoT Edge no se haya alterado y después puede crear un registro automático para el agente de IoT Edge. El mismo proceso de atestación que usa la API de carga de trabajo restringe también el acceso a la API de administración solo para el agente de IoT Edge.

API de contenedor

La API de contenedor interactúa con el sistema de contenedor en uso para la administración de módulos, como Moby o Docker.

API de carga de trabajo

La API de carga de trabajo es accesible para todos los módulos. Proporciona una prueba de identidad, ya sea como un token firmado y raíz por HSM o un certificado X509, y el paquete de confianza correspondiente a un módulo. El paquete de confianza contiene certificados de entidad de certificación para todos los demás servidores en los que los módulos deben confiar.

El demonio de seguridad de IoT Edge usa un proceso de atestación para proteger esta API. Cuando un módulo llama a esta API, el sistema de seguridad intenta encontrar un registro para la identidad. Si tiene éxito, utiliza las propiedades del registro para medir el módulo. Si el resultado del proceso de medición coincide con el registro, se genera una nueva prueba de identidad. Los certificados de entidad de certificación correspondientes (agrupación de confianza) se devuelven al módulo. El módulo usa este certificado para conectarse a IoT Hub, otros módulos, o iniciar un servidor. Cuando el certificado o un token firmado se acerca a la expiración, es responsabilidad del módulo solicitar un certificado nuevo.

Integración y mantenimiento

Microsoft mantiene la base de código principal para el demonio de seguridad de IoT Edge en GitHub.

Instalación y actualizaciones

La instalación y las actualizaciones del demonio de seguridad de IoT Edge se administra a través del sistema de administración de paquetes del sistema operativo. Los dispositivos IoT Edge con raíz de confianza de hardware deben proporcionar protección adicional a la integridad del demonio mediante la administración de su ciclo de vida a través de los sistemas de administración de actualizaciones y arranque seguro. Los fabricantes de dispositivos deben explorar estas vías en función de sus respectivas funcionalidades del dispositivo.

Versionamiento

El entorno de ejecución de IoT Edge hace el seguimiento de la versión del demonio de seguridad de IoT Edge y la notifica. La versión se notifica como el atributo runtime.platform.version de la propiedad notificada del módulo del agente de IoT Edge.

Módulo de seguridad de hardware

La capa de abstracción de la plataforma de módulo de seguridad de hardware (HSM PAL) abstrae toda la raíz del hardware de confianza para aislar al desarrollador o usuario de IoT Edge de sus complejidades. Incluye una combinación de la interfaz de programación de aplicaciones (API) y procedimientos de comunicaciones entre dominios, por ejemplo, la comunicación entre un entorno de ejecución estándar y un enclave seguro. La implementación real de HSM PAL depende del hardware seguro específico que esté en uso. Su existencia permite el uso de prácticamente cualquier hardware de silicio seguro.

Hardware de raíz de confianza segura de silicio

El silicio seguro es necesario para delimitar la confianza dentro del hardware del dispositivo IoT Edge. El silicio seguro viene en una gran variedad de formas que incluyen Módulo de plataforma de confianza (TPM), Elemento seguro incrustado (eSE), Arm TrustZone, Intel SGX y tecnologías de silicio seguro personalizadas. Se recomienda usar la raíz de confianza de silicio seguro en dispositivos, dadas las amenazas asociadas con la accesibilidad física de los dispositivos IoT.

El objetivo del administrador de seguridad de IoT Edge es identificar y aislar los componentes que se encargan de defender la seguridad y la integridad de la plataforma de Azure IoT Edge para el sistema de protección personalizado. Los terceros (como fabricantes de dispositivos) deben usar las características de seguridad personalizadas disponibles con su hardware de dispositivo.

Aprenda a proteger el administrador de seguridad de Azure IoT con el Módulo de plataforma segura (TPM) mediante TPM virtuales o de software:

Cree y aprovisione un dispositivo IoT Edge con un TPM virtual en Linux o Linux en Windows.

Pasos siguientes

Para obtener más información sobre la protección de dispositivos IoT Edge, lea las siguientes entradas de blog:

• Protegiendo el borde inteligente
• Plano técnico para resolver de forma segura el difícil aprovisionamiento de dispositivos IoT a gran escala sin intervención
• Resolución de la seguridad de dispositivos IoT a gran escala mediante estándares