Důvěrné výpočetní operace na hraničních zařízeních
Platí pro: 
IoT Edge 1.5 IoT Edge 1.4
Důležité
Podporované verze ioT Edge 1.5 LTS a IoT Edge 1.4 LTS. IoT Edge 1.4 LTS je konec životnosti 12. listopadu 2024. Pokud používáte starší verzi, podívejte se na článek Aktualizace IoT Edge.
Azure IoT Edge podporuje důvěrné aplikace, které běží v rámci zabezpečených enkláv na zařízení. Šifrování zajišťuje zabezpečení dat během přenosu nebo neaktivních uložených dat, ale enklávy poskytují zabezpečení dat a úloh při použití. IoT Edge podporuje open enklávu jako standard pro vývoj důvěrných aplikací.
Zabezpečení je důležitým zaměřením na Internet věcí (IoT), protože zařízení IoT jsou často na světě často mimo zabezpečení, nikoli v privátním zařízení. Tato expozice vystavuje zařízení riziku manipulace a padělání, protože jsou fyzicky přístupná špatným aktérům. Zařízení IoT Edge mají ještě větší potřebu důvěryhodnosti a integrity, protože umožňují spouštět citlivé úlohy na hraničních zařízeních. Na rozdíl od běžných senzorů a poháněcích zařízení mohou tato inteligentní hraniční zařízení potenciálně odhalit citlivé úlohy, které se dříve spouštěly pouze v rámci chráněných cloudových nebo místních prostředí.
Správce zabezpečení IoT Edge řeší jednu část výzvy důvěrného computingu. Správce zabezpečení používá modul hardwarového zabezpečení (HSM) k ochraně úloh identit a průběžných procesů zařízení IoT Edge.
Dalším aspektem důvěrných výpočtů je ochrana dat používaných na hraničních zařízeních. Důvěryhodné spouštěcí prostředí (TEE) je zabezpečené izolované prostředí procesoru a někdy se označuje jako enkláva. Důvěrná aplikace je aplikace, která běží v enklávě. Z důvodu povahy enkláv jsou důvěrné aplikace chráněné před jinými aplikacemi běžícími v hlavním procesoru nebo v TEE.
Důvěrné aplikace ve službě IoT Edge
Důvěrné aplikace se šifrují při přenosu a v klidovém stavu a dešifrují se jenom pro spouštění v důvěryhodném spouštěcím prostředí. Tento standard platí pro důvěrné aplikace nasazené jako moduly IoT Edge.
Vývojář vytvoří důvěrnou aplikaci a zabalí ji jako modul IoT Edge. Aplikace se před odesláním do registru kontejneru zašifruje. Aplikace zůstane v průběhu procesu nasazení IoT Edge zašifrovaná, dokud se modul nespustit na zařízení IoT Edge. Jakmile je důvěrná aplikace v rámci TEE zařízení, dešifruje se a může začít s prováděním.
Důvěrné aplikace ve službě IoT Edge představují logické rozšíření důvěrného výpočetního prostředí Azure. Úlohy, které běží v rámci zabezpečených enkláv v cloudu, je možné nasadit také tak, aby běžely v rámci zabezpečených enkláv na hraničních zařízeních.
Otevřít enklávu
Open Enclave SDK je opensourcový projekt, který vývojářům pomáhá vytvářet důvěrné aplikace pro více platforem a prostředí. Sada Open Enclave SDK funguje v rámci důvěryhodného spouštěcího prostředí zařízení, zatímco rozhraní API Open Enclave funguje jako rozhraní mezi TEE a prostředím pro zpracování mimo TEE.
Open Enclave podporuje více hardwarových platforem. Podpora ioT Edge pro enklávy v současné době vyžaduje operační systém OPEN Portable TEE (OP-TEE OS). Další informace najdete v tématu Open Enclave SDK pro operační systém OP-TEE.
Úložiště Open Enclave obsahuje také ukázky, které vývojářům pomůžou začít. Další informace najdete v jednom z úvodních článků:
Hardware
TrustBox by Scalys je v současné době jediným zařízením podporovaným ve smlouvách o poskytování služeb výrobce pro nasazování důvěrných aplikací jako modulů IoT Edge. TrustBox je založený na zařízeních TrustBox Edge a TrustBox EdgeXL, která jsou předem načtená pomocí sady Open Enclave SDK a Azure IoT Edge.
Další informace naleznete v tématu Začínáme s otevřením enklávy pro Scalys TrustBox.
Vývoj a nasazení
Až budete připraveni vyvíjet a nasazovat důvěrné aplikace, může vám pomoct rozšíření Microsoft Open Enclave pro Visual Studio Code. Jako vývojový počítač můžete použít Linux nebo Windows k vývoji modulů pro TrustBox.
Další kroky
Zjistěte, jak začít vyvíjet důvěrné aplikace jako moduly IoT Edge s rozšířením Open Enclave pro Visual Studio Code.