¿Qué es Microsoft Azure Sphere? Todo lo que necesitas saber


Microsoft bloquea el Online de las cosas con su propio Linux.

El Internet de las cosas (IoT) es en gran medida un salvaje oeste moderno. Los dispositivos están conectados a redes sin considerar la seguridad, ofreciendo a los malos actores una puerta de entrada tentadora a sus sistemas. Además, esos dispositivos rara vez se actualizan, ejecutan el mismo firmware inseguro que el día en que se implementaron. Eso hace que sea cuestión de cuándo, si no, te comprometes.

¿Cómo podemos asegurar los dispositivos y asegurarnos de que permanezcan seguros? Ahí es donde Esfera azur – Microsoft&#39s plataforma IoT de defensa en profundidad que combina hardware, application y la nube para proteger sus dispositivos y su crimson, entra en juego. Inicialmente anunciado en mayo de 2018, Azure Sphere finalmente ha alcanzado Disponibilidad general, con hardware y software program listos para usar.

Comience con el silicio

En el corazón de Azure Sphere hay un microcontrolador basado en Arm reforzado, diseñado para entregar lo que Microsoft llama «Las siete propiedades de los dispositivos altamente seguros«. Se trata de una raíz de confianza basada en components, defensa en profundidad, una pequeña base informática confiable, compartimentación dinámica, autenticación basada en certificados, informe de errores y seguridad renovable. Adoptar un enfoque obstinado para el diseño de components y software program como este es sensato , ya que garantiza que todos los usuarios de Azure Sphere estén en la misma página y que utilicen el mismo modelo de seguridad.

El primer microcontrolador certificado por Azure Sphere es MediaTek&#39s MT3620. Basado en el diseño Cortex-A7 de Arm, es un chip lo suficientemente potente como para ejecutar un sistema operativo basado en Linux. Eso significa que no es el dispositivo más barato del mercado, más Raspberry Pi que Arduino. Microsoft ha anunciado hardware adicional de NXP y Qualcomm, ofreciéndole una selección de proveedores y microcontroladores con diferentes capacidades: NXP agrega compatibilidad con IA y gráficos, mientras que Qualcomm agrega conectividad celular.

Una placa de desarrollo basada en MediaTek MT3620, la primera MCU (Unidad de microcontrolador) certificada por Azure Sphere.

«data-credit =» Imagen: MediaTek «rel =» noopener noreferrer nofollow «>azure-sphere-mediatek-mt3620.jpg "src =" https://tr2.cbsistatic.com/hub/i/2020/03/26/988c3962-85ee-4050-be8a-4395f7914483/azure-sphere-mediatek-mt3620 .jpg

Una placa de desarrollo basada en MediaTek MT3620, la primera MCU (Unidad de microcontrolador) certificada por Azure Sphere.

Imagen: MediaTek

Junto con sus capacidades principales de Cortex-A7 y wi-fi, el MT3620 de MediaTek tiene dos núcleos Cortex-M4F adicionales para administrar E / S y muchas otras características del dispositivo. Todo el chip es bloqueado por el propio subsistema de seguridad de Microsoft, Pluton, con un Cortex-M4F separado para administrar el arranque seguro y monitorear las operaciones del sistema. Pluton no es accesible para el usuario: es el enlace entre el components y el servicio Azure Sphere alojado en la nube.

Arquitectura de una MCU de Azure Sphere: múltiples núcleos, cada uno en un dominio de confianza diferente, con la raíz de la confianza que reside en el subsistema de seguridad Pluton de Microsoft.

«data-credit =» Imagen: Microsoft «rel =» noopener noreferrer nofollow «>azure-sphere-pluton.jpg "src =" https://tr2.cbsistatic.com/hub/i/2020/03/26/217ed633-a05e-49b3-8b1c-82beb5fc3bbd/azure-sphere-pluton.jpg

Arquitectura de una MCU de Azure Sphere: múltiples núcleos, cada uno en un dominio de confianza diferente, con la raíz de la confianza que reside en el subsistema de seguridad Pluton de Microsoft.

Imagen: Microsoft

Pluton es donde Sphere maneja la seguridad del dispositivo. El núcleo es donde la plataforma ejecuta sus procesos criptográficos, incluido su propio generador de números aleatorios basado en hardware y herramientas para administrar tanto el cifrado de la red como las operaciones de arranque seguras y medidas. Puede ofrecer una forma de detectar la manipulación del application y del sistema operativo. Cuando se inicia un dispositivo Azure Sphere, el núcleo de Pluton garantiza que los diversos componentes de la plataforma tengan firmas digitales correctas, siempre que sea posible utilizando la certificación remota para confirmar que el computer software que se inicia es seguro. Una vez que el dispositivo está en funcionamiento, Pluton continúa monitoreando las operaciones.

Luego agregue software

Azure Sphere fue la primera incursión pública de Microsoft en el mundo de Linux. Ya había estado utilizando su propia distribución de Linux como parte de la crimson de Azure, pero el núcleo personalizado de Sphere y el application creado a su alrededor están destinados a una distribución mucho más amplia. No solo eso, es donde se ejecutará su program. Microsoft proporciona las bibliotecas que necesita su código, dándole acceso al hardware del microcontrolador Sphere, con redes, almacenamiento y comunicaciones. Para mantener el dispositivo seguro, son la única forma de interactuar con el hardware: no hay acceso a archivos de uso typical ni shell. Solo puede interactuar con su dispositivo a través de los componentes de Azure del servicio Azure Sphere o de los servicios de depuración en un dispositivo que esté conectado a la Computer system de un desarrollador.
Las aplicaciones se crean en C, utilizando el SDK de Azure Sphere en Visual Studio o Visible Studio Code. Si prefiere Linux, puede desarrollar en Visual Studio Code en Ubuntu 18.04, y tanto Windows como Ubuntu pueden usar herramientas de línea de comandos incluidas con el SDK. Puede escribir aplicaciones de alto nivel o código de tiempo true de bajo nivel, dependiendo de cómo planee usar los microcontroladores Sphere.

Y finalmente, un toque de nube.

Una de las características clave de la plataforma Azure Sphere es su servicio seguro de implementación de aplicaciones. Cada dispositivo de Azure Sphere tiene su propia ID única que se almacena en el dispositivo. Registrará cada dispositivo que tenga como parte de un producto, con su propia ID que se administra a través del servicio en la nube. Un dispositivo solo puede ser parte de un solo producto, con productos que agrupan muchos dispositivos. Puede pensar en la ID del dispositivo como el número de serie personal de sus microcontroladores, y un producto como, por ejemplo, la tostadora inteligente que se basa en el hardware y el program de Esfera.

Un escenario de Azure Sphere: los dispositivos equipados con MCU (lavavajillas DW100 en este ejemplo) se comunican a través de una aplicación de alto nivel (que se ejecuta en MCU) con el Servicio de seguridad de Azure Sphere y con los servicios en la nube del fabricante.

«data-credit =» Imagen: Microsoft «rel =» noopener noreferrer nofollow «>azure-sphere-backdrop.jpg "src =" https://tr4.cbsistatic.com/hub/i/2020/03/26/54e8a89f-fec7-4aed-ae49-9946c7dba1d4/azure-sphere-scenario.jpg

Un escenario de Azure Sphere: los dispositivos equipados con MCU (lavavajillas DW100 en este ejemplo) se comunican a través de una aplicación de alto nivel (que se ejecuta en MCU) con el Servicio de seguridad de Azure Sphere y con los servicios en la nube del fabricante.

Imagen: Microsoft

Una característica útil es la capacidad de configurar Grupos de dispositivos. Estos le ayudan a administrar las implementaciones, lo que le permite limitar algunos dispositivos para el desarrollo, algunos para la prueba y la mayoría para la producción. Hay cinco grupos de dispositivos predeterminados, cada uno con diferentes capacidades, lo que le permite implementar versiones de vista previa del sistema operativo Azure Sphere en algunos dispositivos, por ejemplo, y controlar cuáles obtienen las versiones de las aplicaciones. Las aplicaciones se asignan a grupos de dispositivos y se implementan automáticamente, por lo que puede construir el proceso de implementación en un ciclo de vida de desarrollo de software existente, utilizando ramas de application separadas para desarrollo y prueba, con la implementación ultimate desencadenada por una fusión en una rama de producción separada.

En el corazón de una implementación de Azure Sphere hay una imagen binaria. Este es un binario firmado criptográficamente que está empaquetado listo para su entrega al grupo de dispositivos elegido. Una vez entregada, una imagen solo se puede reemplazar, no se puede cambiar. Las imágenes solo pueden ser implementadas por un administrador de Azure Sphere, por lo que debe mantener baja la cantidad de administradores de su equipo para reducir el riesgo.

VER: Microsoft Azure: una guía interna (PDF gratuito) (TechRepublic)

Las implementaciones son administradas por el servicio en la nube Azure Sphere, utilizando la misma infraestructura que Home windows Update. Si bien los dispositivos Azure Sphere están destinados a aplicaciones y servicios de IoT más complejos que muchos de los microcontroladores más pequeños del mercado, todavía existe la posibilidad de que las implementaciones sean de cientos de miles, o incluso millones, de dispositivos. Construir un servicio de implementación y actualización de program desde cero no es práctico, por lo que tiene sentido usar Home windows Update, con su seguridad de extremo a extremo y su escalabilidad comprobada.

Eliminar gran parte del riesgo de IoT debería hacer de Azure Sphere una alternativa atractiva a otras plataformas de IoT, permitiéndole usar components seguro y garantizar que esté actualizado para su software program y el sistema operativo del dispositivo. Desarrollar herramientas y servicios familiares también debería ayudar, facilitando la entrega de las aplicaciones que estos dispositivos necesitan.

Ver también



Enlace a la noticia unique