Postupy zabezpečení pro výrobce zařízení Azure IoT

Vzhledem k tomu, že více výrobců vydává zařízení IoT, je užitečné identifikovat pokyny k běžným postupům. Tento článek shrnuje doporučené postupy zabezpečení, které je potřeba vzít v úvahu při výrobě zařízení pro použití se službou Azure IoT Device Provisioning Service (DPS).

  • Výběr možností ověřování zařízení
  • Instalace certifikátů na zařízeníCh IoT
  • Integrace čipu TPM (Trusted Platform Module) do výrobního procesu

Výběr možností ověřování zařízení

Konečným cílem jakékoli míry zabezpečení zařízení IoT je vytvořit zabezpečené řešení IoT. Problémy, jako jsou omezení hardwaru, náklady a úroveň odborných znalostí zabezpečení, ale mají vliv na možnosti, které zvolíte. Váš přístup k zabezpečení má dále vliv na to, jak se vaše zařízení IoT připojují ke cloudu. Přestože existuje několik prvků zabezpečení IoT, které je potřeba vzít v úvahu, klíčovým prvkem, na který každý zákazník narazí, je typ ověřování, který se má použít.

Tři běžně používané typy ověřování jsou certifikáty X.509, čip TPM (Trusted Platform Modules) a symetrické klíče. Existují i jiné typy ověřování, ale většina zákazníků, kteří vytvářejí řešení v Azure IoT, používá jeden z těchto tří typů. Zbytek tohoto článku zkoumá výhody a nevýhody použití jednotlivých typů ověřování.

Certifikát X.509

Certifikáty X.509 jsou typem digitální identity, kterou můžete použít k ověřování. Standard certifikátu X.509 je zdokumentovaný v IETF RFC 5280. V Azure IoT existují dva způsoby ověřování certifikátů:

  • Miniatura. Algoritmus kryptografického otisku se spouští na certifikátu, který vygeneruje šestnáctkový řetězec. Vygenerovaný řetězec je jedinečný identifikátor certifikátu.
  • Ověřování certifikační autority založené na úplném řetězu Řetěz certifikátů je hierarchický seznam všech certifikátů potřebných k ověření certifikátu koncové entity (EE). K ověření certifikátu EE je nutné ověřit každý certifikát v řetězu včetně důvěryhodné kořenové certifikační autority.

Výhody pro X.509:

  • X.509 je nejbezpečnější typ ověřování podporovaný v Azure IoT.
  • X.509 umožňuje vysokou úroveň kontroly pro účely správy certifikátů.
  • Mnoho dodavatelů je k dispozici pro poskytování řešení ověřování založených na X.509.

Nevýhody pro X.509:

  • Řada zákazníků se možná bude muset spoléhat na externí dodavatele svých certifikátů.
  • Správa certifikátů může být nákladná a přidává se k celkovým nákladům na řešení.
  • Správa životního cyklu certifikátů může být obtížná, pokud logistika není dobře promyšlená.

Čip TPM (Trusted Platform Module)

TPM, označovaný také jako ISO/IEC 11889, je standard pro bezpečné generování a ukládání kryptografických klíčů. TPM také odkazuje na virtuální nebo fyzické vstupně-výstupní zařízení, které komunikuje s moduly, které implementují standard. Zařízení TPM může existovat jako samostatný hardware, integrovaný hardware, modul založený na firmwaru nebo softwarový modul.

Mezi čipy TPM a symetrickými klíči existují dva klíčové rozdíly:

  • Čipy TPM můžou také ukládat certifikáty X.509.
  • Ověření identity TPM v DPS používá ověřovací klíč TPM (EK), který je formou asymetrického ověřování. Při asymetrickém ověřování se veřejný klíč používá k šifrování a k dešifrování se používá samostatný privátní klíč. Naproti tomu symetrické klíče používají symetrické ověřování, kde se privátní klíč používá pro šifrování i dešifrování.

Profesionálové pro TPM:

  • Čipy TPM jsou součástí standardního hardwaru na mnoha zařízeních s Windows s integrovanou podporou operačního systému.
  • Ověření identity ČIPEM TPM je snazší zabezpečit než ověření symetrického klíče založeného na tokenu SAS (Shared Access Signature).
  • Můžete snadno vypršet a obnovit nebo vrátit přihlašovací údaje zařízení. Služba DPS automaticky vrátí přihlašovací údaje služby IoT Hub vždy, když je zařízení TPM splatné kvůli opětovnému zřízení.

Nevýhody pro TPM:

  • Čipy TPM jsou složité a můžou být obtížně použitelné.
  • Vývoj aplikací pomocí čipů TPM je obtížné, pokud nemáte fyzický čip TPM nebo emulátor kvality.
  • Možná budete muset přepracovat desku zařízení tak, aby zahrnovala čip TPM v hardwaru.
  • Pokud kód EK zahrnete na čip TPM, zničí identitu čipu TPM a vytvoří novou. I když fyzický čip zůstane stejný, má ve vašem řešení IoT novou identitu.

Symetrický klíč

U symetrických klíčů se stejný klíč používá k šifrování a dešifrování zpráv. V důsledku toho je stejný klíč známý jak zařízení, tak službě, která ho ověřuje. Azure IoT podporuje připojení symetrických klíčů založených na tokenech SAS. Ověřování symetrického klíče vyžaduje významnou odpovědnost vlastníka za zabezpečení klíčů a dosažení stejné úrovně zabezpečení pomocí ověřování X.509. Pokud používáte symetrické klíče, doporučeným postupem je chránit klíče pomocí modulu hardwarového zabezpečení (HSM).

Profesionálové pro symetrický klíč:

  • Použití symetrických klíčů je nejjednodušší a nejnižší způsob, jak začít s ověřováním.
  • Použití symetrických klíčů zjednodušuje proces, protože není k dispozici nic dalšího k vygenerování.

Nevýhody symetrického klíče:

  • Symetrické klíče zabírají značné úsilí k zabezpečení klíčů. Stejný klíč se sdílí mezi zařízením a cloudem, což znamená, že klíč musí být chráněný na dvou místech. Naproti tomu výzva s certifikáty TPM a X.509 ukazuje vlastnictví veřejného klíče bez odhalení privátního klíče.
  • Symetrické klíče usnadňují dodržování špatných postupů zabezpečení. Běžnou tendenci symetrických klíčů je pevně zakódovat nešifrované klíče na zařízeních. I když je tento postup pohodlný, ponechá klíče zranitelné. Určité riziko můžete zmírnit bezpečným uložením symetrického klíče do zařízení. Pokud je ale vaše priorita v konečném důsledku zabezpečení spíše než pohodlí, použijte k ověřování certifikáty X.509 nebo TPM.

Sdílený symetrický klíč

Existuje varianta ověřování symetrického klíče označovaného jako sdílený symetrický klíč. Tento přístup zahrnuje použití stejného symetrického klíče ve všech zařízeních. Doporučujeme se vyhnout používání sdílených symetrických klíčů na vašich zařízeních.

Pro pro sdílený symetrický klíč:

  • Snadné implementace a levné produkce ve velkém měřítku.

Nevýhody pro sdílený symetrický klíč:

  • Vysoce zranitelné vůči útoku. Výhoda snadné implementace je výrazně převažovaná nad rizikem.
  • Pokud získá sdílený klíč, může vaše zařízení zosobnit kdokoli.
  • Pokud spoléháte na sdílený symetrický klíč, který se stane ohroženým, pravděpodobně ztratíte kontrolu nad zařízeními.

Nastavení správné volby pro vaše zařízení

Pokud chcete zvolit metodu ověřování, nezapomeňte zvážit výhody a náklady jednotlivých přístupů pro váš jedinečný výrobní proces. U ověřování zařízení obvykle existuje inverzní vztah mezi tím, jak je daný přístup zabezpečený a jak pohodlný je.

Instalace certifikátů na zařízeníCh IoT

Pokud k ověřování zařízení IoT používáte certifikáty X.509, najdete v této části pokyny k integraci certifikátů do výrobního procesu. Budete muset učinit několik rozhodnutí. Patří mezi ně rozhodnutí o běžných proměnných certifikátů, kdy generovat certifikáty a kdy je nainstalovat.

Pokud používáte hesla, můžete se zeptat, proč nemůžete používat stejný certifikát ve všech svých zařízeních stejným způsobem, jakým byste mohli používat stejné heslo na všech svých zařízeních. Za prvé, použití stejného hesla všude je nebezpečné. Tato praxe odhalila společnosti hlavním útokům DDoS, včetně těch, které před několika lety vzaly DNS na východním pobřeží USA. Nikdy nepoužívejte stejné heslo všude, i s osobními účty. Za druhé, certifikát není heslo, je to jedinečná identita. Heslo je jako tajný kód, který může kdokoli použít k otevření dveří v zabezpečené budově. Je to něco, co víte, a můžete dát heslo komukoli, aby získal vstup. Certifikát je jako řidičská licence s vaší fotkou a další podrobnosti, které můžete ukázat strážci, aby se dostal do zabezpečené budovy. Je to svázané s tím, kdo jste. Za předpokladu, že stráž přesně odpovídá lidem s licencemi řidiče, můžete k získání vstupu použít pouze svoji licenci (identitu).

Proměnné spojené s rozhodováním o certifikátech

Podívejte se na následující proměnné a na to, jak každá z nich ovlivňuje celkový výrobní proces.

Odkud pochází kořen certifikátu důvěryhodnosti

Správa infrastruktury veřejných klíčů (PKI) může být nákladná a složitá. Zvlášť pokud vaše společnost nemá zkušenosti se správou infrastruktury veřejných klíčů. Máte následující možnosti:

  • Použijte pki třetí strany. Od externího dodavatele certifikátů si můžete koupit zprostředkující podpisové certifikáty. Nebo můžete použít privátní certifikační autoritu (CA).
  • Použijte místní pkI. Můžete udržovat vlastní systém PKI a generovat vlastní certifikáty.
  • Použijte službu zabezpečení Azure Sphere. Tato možnost platí jenom pro zařízení Azure Sphere.

Kde jsou uloženy certifikáty

Existuje několik faktorů, které ovlivňují rozhodování o tom, kde se ukládají certifikáty. Mezi tyto faktory patří typ zařízení, očekávané ziskové marže (jestli si můžete dovolit zabezpečené úložiště), možnosti zařízení a stávající bezpečnostní technologie na zařízení, které můžete použít. Zvažte následující možnosti:

  • V modulu hardwarového zabezpečení (HSM). Použití HSM se důrazně doporučuje. Zkontrolujte, jestli řídicí panel vašeho zařízení už má nainstalovaný HSM. Pokud víte, že nemáte HSM, obraťte se na výrobce hardwaru a identifikujte HSM, který vyhovuje vašim potřebám.
  • Na bezpečném místě na disku, jako je důvěryhodné spouštěcí prostředí (TEE).
  • V místním systému souborů nebo v úložišti certifikátů. Například úložiště certifikátů systému Windows.

Připojení ivity v továrně

Připojení ivnost v továrně určuje, jak a kdy budete certifikáty instalovat na zařízení. možnosti Připojení ivity jsou následující:

  • Připojení. Optimální je připojení, zjednodušuje proces generování certifikátů místně.
  • Žádné připojení. V takovém případě použijete podepsaný certifikát od certifikační autority k místní a offline vygenerování certifikátů zařízení.
  • Žádné připojení. V takovém případě můžete získat certifikáty, které byly vygenerovány předem. Nebo můžete pomocí offline infrastruktury veřejných klíčů generovat certifikáty místně.

Požadavek na audit

V závislosti na typu zařízení, která vytváříte, můžete mít zákonný požadavek na vytvoření záznamu auditu o tom, jak se na vašich zařízeních instalují identity zařízení. Auditování přidává významné provozní náklady. Takže ve většině případů to udělejte jenom v případě potřeby. Pokud si nejste jistí, jestli se vyžaduje audit, obraťte se na právní oddělení vaší společnosti. Možnosti auditování jsou:

  • Nejedná se o citlivé odvětví. Nevyžaduje se žádné auditování.
  • Citlivé odvětví. Certifikáty by měly být nainstalovány v zabezpečené místnosti podle požadavků na certifikaci dodržování předpisů. Pokud potřebujete zabezpečenou místnost pro instalaci certifikátů, pravděpodobně už víte, jak se certifikáty instalují do vašich zařízení. A pravděpodobně už máte zavedený auditní systém.

Délka platnosti osvědčení

Stejně jako licence řidiče mají certifikáty datum vypršení platnosti nastavené při jejich vytvoření. Tady jsou možnosti pro délku platnosti certifikátu:

  • Prodloužení není povinné. Tento přístup používá dlouhou dobu prodloužení, takže během životnosti zařízení nebudete muset certifikát obnovovat. I když je takový přístup pohodlný, je také rizikový. Riziko můžete snížit pomocí zabezpečeného úložiště, jako je HSM na vašich zařízeních. Doporučeným postupem je ale vyhnout se používání dlouhodobých certifikátů.
  • Vyžaduje se prodloužení. Certifikát budete muset prodloužit během životnosti zařízení. Délka platnosti certifikátu závisí na kontextu a budete potřebovat strategii pro prodloužení platnosti certifikátu. Strategie by měla zahrnovat, kde získáváte certifikáty a jaký typ nad-air funkčnosti musí vaše zařízení používat v procesu obnovení.

Kdy generovat certifikáty

Možnosti připojení k internetu ve vaší továrně ovlivní váš proces generování certifikátů. Při generování certifikátů máte několik možností:

  • Předem načtené certifikáty. Někteří dodavatelé HSM nabízejí prémiovou službu, ve které dodavatel HSM nainstaluje certifikáty pro zákazníka. Za prvé zákazníkům udělí dodavateli HSM přístup k podpisovým certifikátům. Dodavatel HSM pak nainstaluje certifikáty podepsané tímto podpisem do každého modulu HSM, který zákazník koupí. Vše, co zákazník musí udělat, je nainstalovat hsM do zařízení. I když tato služba přidává náklady, pomáhá zjednodušit výrobní proces. A řeší otázku, kdy nainstalovat certifikáty.
  • Certifikáty generované zařízením. Pokud vaše zařízení generují certifikáty interně, musíte z něj extrahovat veřejný certifikát X.509, abyste ho mohli zaregistrovat do DPS.
  • Připojení továrna. Pokud má vaše továrna připojení, můžete certifikáty zařízení vygenerovat vždy, když je potřebujete.
  • Offline továrna s vlastní pkI Pokud vaše továrna nemá připojení a používáte vlastní pkI s offline podporou, můžete certifikáty vygenerovat, když je potřebujete.
  • Offline továrna s infrastrukturami veřejných klíčů třetích stran Pokud vaše továrna nemá připojení a používáte pkI třetí strany, musíte certifikáty vygenerovat předem. A bude nutné vygenerovat certifikáty z umístění, které má připojení.

Kdy nainstalovat certifikáty

Po vygenerování certifikátů pro zařízení IoT je můžete nainstalovat do zařízení.

Pokud používáte předem načtené certifikáty s HSM, proces se zjednoduší. Jakmile se modul hardwarového zabezpečení nainstaluje do zařízení, bude k němu mít přístup kód zařízení. Pak zavoláte rozhraní API HSM pro přístup k certifikátu, který je uložený v modulu HSM. Tento přístup je pro váš výrobní proces nejvhodnější.

Pokud nepoužíváte předem načtený certifikát, musíte certifikát nainstalovat jako součást produkčního procesu. Nejjednodušším přístupem je instalace certifikátu do MODULU HARDWAROVÉHO ZABEZPEČENÍ současně s bleskem počáteční image firmwaru. Váš proces musí přidat krok pro instalaci image na každé zařízení. Po tomto kroku můžete před zabalením a odesláním zařízení spustit konečné kontroly kvality a jakékoli další kroky.

K dispozici jsou softwarové nástroje, které umožňují spustit proces instalace a provést konečnou kontrolu kvality v jednom kroku. Tyto nástroje můžete upravit tak, aby vygenerovaly certifikát, nebo abyste certifikát získali z předem generovaného úložiště certifikátů. Software pak může nainstalovat certifikát tam, kde ho potřebujete nainstalovat. Softwarové nástroje tohoto typu umožňují provozovat výrobu kvality výroby ve velkém měřítku.

Jakmile na svých zařízeních máte nainstalované certifikáty, v dalším kroku se dozvíte, jak zaregistrovat zařízení ve službě DPS.

Integrace čipu TPM do výrobního procesu

Pokud k ověřování zařízení IoT používáte čip TPM, najdete v této části pokyny. Pokyny se týkají široce používaných zařízení TPM 2.0, která mají podporu klíče HMAC (hash-based message authentication code). Specifikace ČIPU TPM pro čipy TPM je standard ISO, který udržuje důvěryhodná výpočetní skupina. Další informace o TPM naleznete v specifikacích TPM 2.0 a ISO/IEC 11889.

Převzetí vlastnictví čipu TPM

Důležitým krokem při výrobě zařízení s čipem TPM je převzetí vlastnictví čipu TPM. Tento krok je povinný, abyste mohli zadat klíč vlastníkovi zařízení. Prvním krokem je extrakce ověřovacího klíče (EK) ze zařízení. Dalším krokem je ve skutečnosti nárok na vlastnictví. Jak toho dosáhnete, závisí na tom, jaký čip TPM a operační systém používáte. V případě potřeby se obraťte na výrobce čipu TPM nebo vývojáře operačního systému zařízení a zjistěte, jak získat vlastnictví.

Ve výrobním procesu můžete extrahovat EK a nárokovat vlastnictví v různých časech, což zvyšuje flexibilitu. Mnoho výrobců tuto flexibilitu využívá přidáním modulu hardwarového zabezpečení (HSM) k vylepšení zabezpečení svých zařízení. Tato část obsahuje pokyny k extrakci klíče EK, kdy nárokovat vlastnictví čipu TPM a co je potřeba vzít v úvahu při integraci těchto kroků do časové osy výroby.

Důležité

Následující doprovodné materiály předpokládají, že používáte diskrétní, firmware nebo integrovaný čip TPM. V místech, kde je to možné, přidávají pokyny poznámky k používání ne diskrétního nebo softwarového čipu TPM. Pokud používáte softwarový čip TPM, můžou existovat další kroky, které tyto pokyny nezahrnují. Softwarové čipy TPM mají celou řadu implementací, které jsou nad rámec tohoto článku. Obecně je možné integrovat softwarový čip TPM do následující obecné výrobní časové osy. I když je software emulovaný čip TPM vhodný pro vytváření prototypů a testování, nemůže poskytovat stejnou úroveň zabezpečení jako diskrétní, firmware nebo integrovaný čip TPM. Obecně se vyhýbejte použití softwarového čipu TPM v produkčním prostředí.

Časová osa obecné výroby

Následující časová osa ukazuje, jak TPM prochází produkčním procesem a končí v zařízení. Každý výrobní proces je jedinečný a tato časová osa zobrazuje nejběžnější vzory. Časová osa nabízí pokyny, kdy provést určité akce s klíči.

Krok 1: Čip TPM se vyrábí

  • Pokud si čipy TPM koupíte od výrobce pro použití ve vašich zařízeních, podívejte se, jestli za vás extrahují veřejné ověřovací klíče (EK_pubs). Je užitečné, pokud výrobce poskytne seznam EK_pubs s expedovanými zařízeními.

    Poznámka:

    Pomocí zásad sdíleného přístupu ve službě zřizování můžete výrobci TPM udělit přístup k zápisu do seznamu registrací. Tento přístup jim umožní přidat čipy TPM do seznamu registrací za vás. Ale to je v rané fázi výrobního procesu a vyžaduje důvěru výrobce ČIPU TPM. Udělejte to na vlastní nebezpečí.

  • Pokud vyrábíte čipy TPM pro prodej výrobcům zařízení, zvažte poskytnutí seznamu EK_pubs zákazníkům spolu s jejich fyzickými čipy TPM. Poskytnutí EK_pubs zákazníkům ukládá krok v procesu.

  • Pokud vyrábíte čipy TPM pro použití s vlastními zařízeními, určete, který bod v procesu je nejpohodlnější k extrakci EK_pub. EK_pub můžete extrahovat na libovolném ze zbývajících bodů časové osy.

Krok 2: Čip TPM se nainstaluje do zařízení

V tomto okamžiku v produkčním procesu byste měli vědět, se kterou instancí DPS bude zařízení použito. V důsledku toho můžete přidat zařízení do seznamu registrací pro automatizované zřizování. Další informace o automatickém zřizování zařízení najdete v dokumentaci služby DPS.

  • Pokud jste nevyextrahovali EK_pub, je teď vhodná doba k tomu.
  • V závislosti na procesu instalace čipu TPM je tento krok také vhodný čas převzít vlastnictví čipu TPM.

Krok 3: Zařízení má nainstalovaný firmware a software

V tomto okamžiku v procesu nainstalujte klienta DPS spolu s oborem ID a globální adresou URL pro zřizování.

  • Teď je poslední šance extrahovat EK_pub. Pokud na zařízení nainstaluje software třetí strana, je vhodné nejprve extrahovat EK_pub.
  • Tento bod ve výrobním procesu je ideální k převzetí vlastnictví čipu TPM.

    Poznámka:

    Pokud používáte softwarový čip TPM, můžete ho nainstalovat. Extrahujte EK_pub současně.

Krok 4: Zařízení je zabalené a odesláno do skladu

Zařízení může někdy být v skladu až rok před nasazením a zřízením pomocí DPS. Pokud se zařízení nachází ve skladu po dlouhou dobu před nasazením, zákazníci, kteří zařízení nasazují, možná budou muset aktualizovat firmware, software nebo vypršela platnost přihlašovacích údajů.

Krok 5: Zařízení je nainstalováno do umístění

Jakmile zařízení dorazí do konečného umístění, prochází automatizovaným zřizováním pomocí DPS.

Další informace najdete v tématu zřizování a ověření identity TPM.

Zdroje informací

Kromě doporučených postupů zabezpečení v tomto článku poskytuje Azure IoT prostředky, které vám pomůžou při výběru zabezpečeného hardwaru a vytváření zabezpečených nasazení IoT: