Ich freue mich, die Verfügbarkeit der Public Preview des Azure Sphere-Sicherheitsdiensts, des Azure Sphere-Betriebssystems und der Visual Studio-Entwicklungsumgebung für Azure Sphere bekannt geben zu können. Die heutige Ankündigung markiert einen wichtigen Meilenstein in Microsofts Bemühungen, eine umfassende Lösung für den Schutz aller IoT-Geräte zu bieten. Gleichzeitig mit diesen Veröffentlichungen ist auch das Azure Sphere-Development Kit ab sofort von Seeed Studio erhältlich. Das Development Kit umfasst eine Entwicklungsumgebung, die mit der ersten für Azure Sphere zertifizierten MPU – der MT3620 von MediaTek – erstellt wurde und alles enthält, was Sie für den Einstieg in die Entwicklung von Azure Sphere-Anwendungen benötigen.

Die sieben Regeln: Standards für die Sicherheit verbundener Geräte

2017 haben Galen Hunt, George Letey und ich das Whitepaper „The seven properties of highly secure devices“ (Die sieben Eigenschaften hochsicherer Geräte) veröffentlicht. Jahre zuvor hatten wir anhand von Trends in der Hardwareherstellung erkannt, dass innerhalb des nächsten Jahrzehnts Milliarden von MPU-gesteuerten Geräten zu verbundenen Geräten werden würden. Wir haben ein Team zusammengestellt und damit begonnen, Untersuchungen anzustellen, Software zu entwickeln und umfassend über die Sicherheit von MPU-Geräten nachzudenken. Die Ergebnisse dieser Untersuchungen waren sehr unbefriedigend. Vorhandene Lösungen behandelten Sicherheit lediglich als zusätzliche Überlegung oder „Zusatzfeature“, und es gab praktisch keine Komplettlösungen. Ein Gerätehersteller musste sich für eine Hardwareplattform entscheiden, die Software (Firmware, Betriebssystem, Anwendungen) zusammenstückeln oder komplett selbst entwickeln, eigene Dienste für die Anwendung von Updates und die Verwaltung dieser Geräte einsetzen und dazu noch ein herausragendes Sicherheitskonzept für Hardware, Software und diese Dienste entwerfen.

Die sieben Eigenschaften definieren den Standard, der für sichere Verbindungen von IoT-Geräten mit dem Internet eingehalten werden muss. Alle sieben Eigenschaften sind erforderlich. Wird nur eine Eigenschaft nicht erfüllt, kann das katastrophale Risiken für das Gerät bedeuten – oder schlimmer: Es kann eine Situation entstehen, bei der die Reaktion auf kritische Sicherheitsereignisse schwierig und kostenintensiv wird. Die Eigenschaften dienen auch als praktisches Framework für die Bewertung der IoT-Sicherheit. Vor der Einführung dieses Frameworks wurde meist einfach gefragt: „Ist meine IoT-Lösung sicher?“, und die Antwort vom Lieferanten lautete immer „Ja“. Sicherheit ist jedoch weder ein Kontrollkästchen noch ein singulärer Zustand. Sie umfasst ein ganzes Spektrum, das von der Erkennung von Angriffen auf die Plattform und der Funktion des Geräts abhängt. Nach unserer Argumentation müssen ab dem Zeitpunkt, zu dem ein Gerät mit dem öffentlichen Internet verbunden wird, alle Eigenschaften erfüllt sein, damit eine Lösung dauerhaft geschützt werden kann. Durch die Darlegung dieser Eigenschaften kann jeder seinen Lieferanten und Lösungsanbietern die einfache Frage „Erfüllen Sie alle sieben Eigenschaften?“ stellen. Das Framework mit diesen Eigenschaften verschiebt eine solche Unterhaltung von absoluten Aussagen („Es ist sicher.“) zu spezifischen. Wir halten diese Eigenschaften für sehr wichtig und arbeiten hart daran, dass Azure Sphere diese hohe Hürde, die wir uns selbst gestellt haben, auch erfüllt. Hier finden Sie eine Zusammenfassung der sieben Eigenschaften und ihrer Implementierung in Azure Sphere:

• Ohne einen Hardware-Vertrauensanker ist es möglich, Geräte zu imitieren, Schadsoftware einzuschleusen und Verschlüsselungsalgorithmen zu beeinflussen oder vorherzusagen. Das Sicherheitssubsystem Pluton von Azure Sphere beschleunigt kryptografische Aufgaben, implementiert einen echten Zufallszahlengenerator und bietet Unterstützung für das sichere Starten (per ECDSA) und Remotenachweise. Alle diese Features sind komplett in der Hardware implementiert, sodass ihre Funktion immun gegen Sicherheitsrisiken in der Software ist.
• Dass ein Sicherheitsrisiko das gesamte Gerät betrifft, nimmt in dem Maß zu, in dem die vertrauenswürdige Rechenbasis wächst. Eine kleine vertrauenswürdige Rechenbasis (Trusted Computing Base, TCB) ist für die Gerätesicherheit unerlässlich. Die TCB von Azure Sphere umfasst ausschließlich die Pluton-Runtime und die Azure Sphere-Sicherheitsüberwachung. Und sie stellt weiterhin die Trennung zwischen dem Kernel des Linux-Betriebssystems von Azure Sphere und den Anwendungen sicher.
• Ein typisches Runtimebetriebssystem (RTOS) verlinkt im Betriebssystem oder der Runtime auf dieselbe Binärnutzlast wie die Funktionen für Verbindungen, Sicherheit und Anwendungen. Eine tiefgehende Verteidigungsstrategie zwingt Angreifer dazu, mehrere Sicherheitsrisiken über mehrere Softwareschichten zu kombinieren, um ein System kompromittieren zu können. Azure Sphere verwendet Trust Zone und ein modernes Betriebssystemdesign mit einem vollständig separaten Binärkernel des Betriebssystems, um diese Schichtenarchitektur zu erreichen.
• Dynamische Depots stellen sicher, dass Ausfälle oder Fehler in einem Programm nicht andere Programme kompromittieren können. Außerdem vereinfachen sie die Bereitstellung von Änderungen mit nur minimalem Entwicklungsaufwand. Azure Sphere nutzt Cortex-A mit einer MMU und ermöglicht es dem benutzerdefinierten Linux-Kernel, eine prozessspezifische Isolation umzusetzen.
• Die zertifikatbasierte gegenseitige Authentifizierung macht Kennwörter überflüssig und garantiert zum einen, dass ein Gerät den Dienst, mit dem es kommuniziert (also Azure), identifizieren kann, und zum anderen, dass die Clouddienste die Geräteidentität verifizieren können. Azure Sphere-MPUs und -Dienste gehen noch weit über Zertifikate hinaus, indem sie Remotenachweise nutzen, um nicht nur zu überprüfen, ob ein Gerät mit der Originalsoftware gestartet wurde, sondern auch, ob das Gerät nur aktuelle Software ausführt.
• Erneuerbare Sicherheit sorgt dafür, dass Softwareprobleme nach ihrer Erkennung behoben und auf den Geräten bereitgestellt werden können. Jedes Azure Sphere-Gerät empfängt für mindestens 10 Jahre Softwareupdates für die eigene Firmware, das Betriebssystem und die Anwendungen, damit das Gerät garantiert auf dem neuesten Stand bleibt. Das Verbinden eines Geräts ohne erneuerbare Sicherheit ist wie das Fahren in der Wüste mit nur einer Tankfüllung. Irgendwann werden Sie liegen bleiben.
• Und schließlich stellen Fehlerberichte sicher, dass Angriffe beim Auftreten erkannt werden, sodass die erneuerbare Sicherheit angewandt werden kann, bevor sich Angriffe zu Katastrophen entwickeln. Fehlerberichte und erneuerbare Sicherheit bilden zusammen einen Erfolgszyklus. Reine Fehlerberichte ohne erneuerbare Sicherheit machen es schwierig, auf entdeckte Angriffe zu reagieren. Bei erneuerbarer Sicherheit ohne Fehlerberichte fehlen Echtzeitinformationen zur Geräteintegrität, sodass es länger dauert, neue Angriffe zu erkennen und abzuwehren.

Schützen von IoT mit Azure Sphere

Die Veröffentlichung der sieben Eigenschaften markierte einen Wendepunkt bei der MPU-basierten IoT-Sicherheit bei Microsoft. Wir haben erkannt, dass wir über die Definition der sieben Eigenschaften hinausgehen müssen, um eine End-to-End-Lösung entwickeln zu können. Wir haben das Produkt mit dem Namen Azure Sphere im April bekannt gegeben.

Die Azure Sphere-Lösung umfasst drei Komponenten: Azure Sphere-zertifizierte MPUs, das Azure Sphere-Betriebssystem und den Azure Sphere-Sicherheitsdienst. Diese Komponenten bilden zusammen eine einzige, umfassende Plattform zum Schutz von IoT-Geräten, die alle 7 Eigenschaften für Gerätehersteller und Endbenutzer verfügbar macht. Das MT3620 ist die erste Azure Sphere-MPU, und mit der Public Preview öffnen wir unser Programm für alle Gerätehersteller, damit diese Prototypen neuer Geräte erstellen und Feedback geben können. Das Entwicklerfeedback aus dem Public Preview-Programm ist sehr wichtig für das Technikerteam, um Features für die Entwicklung zu identifizieren und zu ermitteln, wie schnell diese zur Markteinführung gebracht werden können. Wir freuen uns darauf, von Ihnen zu hören.

Wir werden uns in den nächsten Monaten eingehender mit jeder der sieben Eigenschaften und ihrer jeweiligen Integration in die Azure Sphere-Plattformhardware, -Gerätesoftware und -Clouddienste beschäftigen. Darüber hinaus werden wir auch die Funktionalität der Plattform über reguläre Software- und SDK-Releases erweitern. Freuen Sie sich schon bald auf News zum Azure Sphere-Releasezyklus und der Planung für neue Features und Softwareupdates. Bis dahin genießen Sie einfach Azure Sphere – wir haben unsere Reise begonnen und freuen uns, zu hören, was Sie mit Azure Sphere alles erreichen.

Besuchen Sie unsere Website. Sie finden dort die Dokumentation und weitere Informationen zu den ersten Schritten mit Ihrem Azure Sphere-Development Kit.

Lesen Sie mehr darüber, wie Kunden wie E.ON Azure Sphere dazu verwenden, neue, verbundene Anwendungsfälle umzusetzen und zu schützen.