• 8 min read

Sichere Umsetzung der komplexen, bedarfsorientierten Zero-Touch-Bereitstellung von IoT-Geräten

By Eustace Asanghanwa, Principal Program Manager, Azure IoT
Ein nahtloser und umfassender Ansatz für das sichere Onboarding und den Betrieb von IoT-Geräten mithilfe von zertifikatbasierten Anmeldeinformationen

Aus dem IoT Signals Report 2020 geht hervor, dass 95 Prozent der IoT-Projekte bereits in der PoC-Phase (Proof of Concept) scheitern. Ein erheblicher Anteil davon ist auf mangelnde Skalierbarkeit zurückzuführen, obwohl diese für die Zero-Touch-Bereitstellung oft angepriesen wird. Stellen Sie sich als bessere Alternative vor, dass ein IoT-Lösungsentwickler Geräte vom Originalgerätehersteller (Original Equipment Manufacturer, OEM) erhält und diese nur mit Strom versorgen muss, um Folgendes zu erzielen:

  • Automatisches und sicheres Onboarding bei einem Zertifikatanbieter für die Produktion
  • Empfang der Zertifikatanmeldeinformationen für den Gerätebetrieb
  • Automatische Bereitstellung in Cloud-Anwendungsdiensten
  • Automatisierte Lebenszyklusverwaltung und Erneuerung der Anmeldeinformationen

Dieser nahtlose Prozess ist darüber hinaus für alle Geräte gleich – in der PoC-Phase genau wie in der Produktion. Das Beste daran ist, dass für das Setup nur drei einmalige Aktionen ohne Engineeringanteil durch den Lösungsentwickler erforderlich sind. Genau das haben wir mit unseren Partnern zusammen erreicht und daraufhin diese Anleitung ausgearbeitet.

Nahtlose, sichere und bedarfsorientierte Bereitstellung mit einmaligem Setup in drei Schritten – eine Anleitung für die Zero-Touch-Bereitstellung

Abbildung 1: Nahtlose, sichere und bedarfsorientierte Bereitstellung mit einmaligem Setup in drei Schritten – eine Anleitung für die Zero-Touch-Bereitstellung

Für das Setup muss der Lösungsentwickler lediglich ein Konto mit dem Anbieter für verwaltete Anmeldeinformationen erstellen, die Anweisungen für die Geräteanpassung an den OEM senden und ein Nachweiszertifikat beim Azure Device Provisioning Service (DPS) registrieren. Nach der Aktivierung der Zero-Touch-Bereitstellung müssen diese Aktionen jeweils nur einmal durchgeführt werden, und sie gelten sowohl für die PoC-Phase als auch für umfangreichste Produktionsbereitstellungen. Was der Lösungsentwickler jedoch möglicherweise nicht weiß und auch nicht wissen muss: Durch vorherige komplexe Integrationen entsteht ein Zusammenwirken mehrerer Zertifikatanmeldeinformationen in einer Delegierung der Vertrauensstellung, um die geteilte Eigentümerschaft in der Wertschöpfungskette bei der Geräteherstellung, die Sicherheitshärtung zum Schutz vor Manipulation und die automatische Erneuerung und Lebenszyklusverwaltung für betriebliche Anmeldeinformationen zu bedienen. Eine wirklich skalierbare Zero-Touch-Bereitstellung kann nur erzielt werden, wenn diese komplexen Integrationen vorhanden sind. Andernfalls muss der IoT-Lösungsentwickler diese Aufgabe übernehmen, wodurch die beobachtete hohe Fehlerrate entsteht.

Warum ist die Zero-Touch-Bereitstellung so komplex?

Einfach ausgedrückt ist für die Zero-Touch-Bereitstellung ein enges Verständnis der Bereitstellungsanforderungen für IoT-Geräte erforderlich. Das ist keine Kritik, sondern eine Beobachtung, die für die Weiterentwicklung und Reife hinsichtlich IoT-Verfahren bezeichnend sein kann. Ohne ein genaues Verständnis des Problemfelds kann keine gute Lösung geschaffen werden.

Für eine ganzheitliche Sicht auf die IoT-Bereitstellung und die folgliche Umsetzung einer Zero-Touch-Bereitstellung müssen auch IoT-Projekte in verschiedenen Phasen und die Phasen selbst berücksichtigt werden. Aus Gründen der Einfachheit wird das Projekt in drei Phasen unterteilt: Evaluierung, Bereitstellung und Betrieb. Bedenken Sie dabei jedoch, dass die Wirklichkeit vielschichtiger ist.

Evaluierungsphase

Jedes Projekt beginnt mit der Evaluierungsphase, die auch die Ausarbeitung eines PoC umfasst. Dabei hat der Lösungsentwickler die vollständige Kontrolle über die Entwicklungsumgebung und arbeitet mit einer gleichbleibenden Menge bereits vorhandener Geräte. Aufgrund der vollständigen Kontrolle der Entwicklungsumgebung beinhaltet die Bereitstellung die Einbettung von Anmeldeinformationen in das Gerät. Das sorgt natürlich automatisch für Sicherheit, da nur der Entwickler die Anmeldeinformationen kennt und im alleinigen Besitz des physischen Geräts ist.

Bereitstellungsphase

Als Nächstes folgt die Bereitstellungsphase, die die Geräteherstellung für den Produktionsmaßstab umfasst. In dieser Phase wird die Entwicklungsumgebung auf ein Ökosystem aus Geräteherstellungs- und Lieferkettenpartnern erweitert. Auch die Anzahl der Geräte wird um einige Größenordnungen erhöht. Ein klassisches Merkmal der Bereitstellungsphase ist der Wechsel von der alleinigen Eigentümerschaft durch den Lösungsentwickler zur geteilten Eigentümerschaft mit Partnern. Es sind strenge Sicherheitsmaßnahmen erforderlich, um vertrauliche Informationen in der Lösung zu schützen und die versehentliche Offenlegung von Informationen zu verhindern. Durch diese Maßnahmen wird das Vertrauen bei der Zusammenarbeit verschiedener Partner gestärkt. Zur Aufrechterhaltung der Sicherheit und der Vertrauensstellung muss die Bereitstellung mehrere allen Partnern bekannte Anmeldeinformationen, ein Delegierungsschema der Vertrauensstellung bei Änderungen am Gerätebesitz und eine Sicherheitshärtung zum Schutz vor Manipulation umfassen.

Betriebsphase

In der Betriebsphase erhält der IoT-Lösungsentwickler wieder die Kontrolle. Sie umfasst den Betrieb der Lösung und die Lebenszyklusverwaltung für Anmeldeinformationen und Geräte. In dieser Phase spielt die Bereitstellung vor allem beim Setup eine Rolle, bei dem die Wertschöpfungskette der Herstellungspartner aufgelöst wird, um den Fokus auf den Betrieb zu legen (der Lösungsentwickler erhält also die Kontrolle zurück), die betrieblichen Anmeldeinformationen bereitgestellt und Aktionen für die Lebenszyklusverwaltung (z. B. Erneuerung, Widerruf und Deaktivierung) ermöglicht werden.

Die Bereitstellung von IoT-Geräten ist also ein komplexes Unterfangen, um Sicherheit und Vertrauen in einem offenen Ökosystem zu schaffen. Folglich sind für eine ordnungsgemäße Bereitstellung eine umfassendes Verständnis der Vielschichtigkeit des Problems und die Erkenntnis erforderlich, dass eine gute Lösung nur durch das Zusammenwirken verschiedener Fachgebiete gefunden werden kann. Leider werden bei der Zero-Touch-Bereitstellung meistens nur die Anforderungen der Evaluierungsphase berücksichtigt, während die der Bereitstellungs- und Betriebsphase ignoriert werden, obwohl sie die Grundlage für die Produktion in jeglichem Umfang bilden. Daher ist es nicht verwunderlich, dass die Zero-Touch-Bereitstellung als komplex empfunden wird.

Expertenversammlung

Mit der Lösung komplexer Probleme sollten Fachexperten beauftragt werden. Die Umsetzung der Zero-Trust-Bereitstellung erfordert Fachwissen aus verschiedenen Bereichen. Am wichtigsten dabei sind Experten für den Betrieb einer Public Key-Infrastruktur (PKI), für die Sicherheitshärtung und für die Geräteanpassung bei einem üblichen Geräteherstellungs- und -erwerbsprozess.

Der fachgerechte Betrieb einer PKI ist eine Grundanforderung für die Zero-Touch-Bereitstellung. Ein PKI-Dienst, der für das Onboarding und den Betrieb von IoT-Geräten im großen Stil geeignet ist, muss viele Merkmale erfüllen. Dazu zählen Hochverfügbarkeit, eine weltweite Abdeckung, Zertifikataudits und Aktionen für die Lebenszyklusverwaltung (z. B. Erneuerung und Widerruf). Allem voran sollte der PKI-Dienst dazu beitragen, die Datenhoheitsziele zu erreichen. Eine professionelle PKI ist aus vielen Gründen wichtig. Zum einen fungiert die zugrunde liegende Kryptografie mit asymmetrischen Schlüsseln auch als Grundlage für ein Zero-Trust-Modell bei der Zusammenarbeit zwischen Partnern innerhalb der Wertschöpfungskette für Geräte. Jeder Partner besitzt einen privaten Schlüssel, der niemals offengelegt wird. So wird die Basis für ein exklusives Vertrauensverhältnis gebildet. Zum anderen profitiert IoT-Technologie durch die PKI von der Ausstellung und Lebenszyklusverwaltung von zertifikatbasierten Anmeldeinformationen, die in Unternehmen seit Jahrzehnten praktiziert wird. Zertifikatbasierte Anmeldeinformationen werden höher als andere Anmeldeinformationen geschätzt, da sie auf Kryptografie mit asymmetrischen Schlüsseln basieren und so ein Zero-Trust-Computingmodell im Bereich IoT erzwingen. Der Betrieb einer PKI basiert auf diesen beiden Konzepten, bringt jedoch auch viel Verantwortung mit sich, der nur ausgewiesene Experten gerecht werden können. Zertifizierungsstellen (ZS) besitzen die erforderlichen Fachkenntnisse aus langjähriger Erfahrung im Bereich IT.

Die Sicherheitshärtung ergänzt eine gut geplante und strukturierte PKI um den Schutz vor Manipulation. Ohne Maßnahmen gegen Subversion kann eine Lösung nicht als geschützt bezeichnet werden. Darin besteht jedoch das Ziel des Manipulationsschutzes. Der Manipulationsschutz entsteht aus einer speziellen Art integrierter Komponenten, deren Hauptaufgabe darin besteht, den Normalbetrieb aufrechtzuerhalten oder bei physisch bedingten, umgebungsbedingten oder netzwerkbedingten Problemen vorhersagbar in den Fehlerzustand überzugehen. So wird ein Schutz vor Subversion, Hijacking, Infiltration und Exfiltration erzielt. Diese vor Manipulation geschützten integrierten Komponenten werden häufig als Hardwaresicherheitsmodule oder HSMs bezeichnet. Für die professionelle Herstellung von HSMs für Anwendungen und die Ausarbeitung der zugehörigen Vorschriften ist Fachwissen erforderlich, das nur manche Hersteller von Halbleiterchips nachweisen können.

Die Personalisierung von Geräten durch Anpassung ist das letzte Element einer geschützten Zero-Touch-Bereitstellung und erfordert das Fachwissen eines OEM. Der OEM muss mit den PKI- und HSM-Anbietern zusammenarbeiten, damit bestimmte Ziele erreicht werden können. Erstens muss diese Vertrauensstellung initiiert und ordnungsgemäß an die verschiedenen Eigentümer in der Wertschöpfungskette bei der Geräteherstellung übertragen werden. Zweitens muss das Gerät an die Spezifikationen des Lösungsentwicklers angepasst werden und eine nahtlose Verbindung mit den entsprechenden Cloudlösungen herstellen können. Drittens muss das Onboarding für das Gerät und der Übergang in den Betriebszustand automatisch erfolgen, inklusive der Bereitstellung der richtigen Anmeldeinformationen und der Lebenszyklusverwaltung. Viertens muss das Gerät gegen Identitätsbetrug gehärtet sein. Fünftens und letztens muss der Gerätebeschaffungsprozess einfach bleiben. Die einfache Bereitstellung geschützter Geräte ist ein schwieriger Balanceakt, der Fachwissen und Erfahrung fordert.

Auch die richtige IoT-Produktbasis mit zweckdienlichen Features muss vorhanden sein, um das Fachwissen aus verschiedenen Bereichen zu nutzen und verfügbare Standards anzuwenden. Dieses Ziel wird durch das Sicherheitssubsystem IoT Identity Service für Azure IoT Edge erreicht.

Anleitung

Diese Anleitung wurde in Zusammenarbeit mit einer Zertifizierungsstelle (ZS) bzw. einem PKI-Dienstanbieter (GlobalSign), einem Hersteller für Halbleiterchips und HSMs (Infineon Technologies) und einem OEM und Edgegeräte-Integrator (Eurotech) erstellt. Die technische Integration basiert auf dem modularen Sicherheitssubsystem IoT Identity Service von Azure IoT Edge, bei dem sich die Fachexperten beispielsweise auf den integrierten Clientstandard für Zertifikatanforderungen IETF RFC 7030 Enrollment over Secure Transport (EST), das Trusted Platform Module (TPM) nach ISO/IEC 11889, die PKCS 11-Schnittstellenstandards für die HSM-Integration und die Modularität des Sicherheitssubsystems berufen haben, um die vielen verschiedenen Geräteherstellungsabläufe zu berücksichtigen. Jahrzehntelang bestehende Herstellungslieferketten sollen dabei nicht außer Kraft gesetzt, sondern als wichtige Erfahrungsgrundlage verwendet werden. Durch diese Zusammenarbeit bei der Integration muss der IoT-Lösungsentwickler sich nicht das entsprechende Fachwissen aneignen, zudem ist die Lösung standardmäßig geschützt. Das Ergebnis ist ein hochgradig an die Anforderungen des Lösungsentwicklers angepasstes Gerät, das dieser nur noch einschalten muss.

Integrierte Vertrauensstellung von TPM zur Cloud für Sicherheit und Integrität von der Lieferkette bis zum Dienst

Abbildung 2: Integrierte Vertrauensstellung von TPM zur Cloud für Sicherheit und Integrität von der Lieferkette bis zum Dienst

Die Anleitung dreht sich daher um Fachexperten, die zusammenarbeiten, um ein Problem für den IoT-Lösungsentwickler zu beheben, und dabei die ordnungsgemäße Anwendung verschiedener Technologien gewährleisten, um eine umfassende Lösung für die bedarfsorientierte Zero-Touch-Bereitstellung zu schaffen. Bei dieser Integration geht die Vertrauensstellung von der Quelle der Wertschöpfungskette aus, die das TPM von Infineon Technologies darstellt. GlobalSign kann beispielsweise anhand der Kreuzsignierung früherer TPM-Herstellungszertifikate, die im Rahmen der Vorabüberprüfung für die Ausstellung von Betriebszertifikaten erfolgt ist, autoritativ überprüfen, ob das Ziel-TPM von Infineon Technologies stammt.

Der Lebenszyklus für IoT-Geräteidentitäten umfasst mehrere Anmeldeinformationen.

Abbildung 3: Der Lebenszyklus für IoT-Geräteidentitäten umfasst mehrere Anmeldeinformationen.

Diese Partner haben ein gemeinsames Whitepaper verfasst, das die Sicherheits- und Engineeringprinzipien behandelt, die dieser Lösung zugrunde liegen, um als Anleitung für die Replikation zu dienen.

Wichtigkeit der Standardisierung 

Die Zero-Touch-Bereitstellung ist eine komplexe Angelegenheit, bei der Standardisierung unerlässlich ist. Dieses Komplexität hat mehrere Gründe. Einer davon ist offensichtlich, dass die Ausarbeitung eines Lösungsstandards auf Grundlage verschiedenster Herstellungsabläufe ohne teure Neustrukturierungen und Toolumstellungen nicht einfach ist. Kein Problem bleibt für immer bestehen, und irgendwann wird ein neuer Standard entstehen. Bis dahin können Sie vorhandene Standards (wie TPM, X.509, PKCS 11, EST), Herstellungsabläufe und Wertschöpfungsketten nutzen, um angepasste Technologieansätze für die pragmatische Lösung eines klar definierten, aktuellen Problems zu erstellen. Das ist der Kern dieser Anleitung, die nicht nur eine pragmatische Lösung für den Moment liefert, sondern auch den Rest der Branche dazu aufruft, sich für die Standardisierung zusammenzuschließen.

IoT-Lösungen in die Produktion bringen

Viele IoT-Lösungen, die die Zero-Touch-Bereitstellung beanspruchen, führen in der PoC-Phase zu Fehlern, da sie den Herausforderungen der bedarfsorientierten IoT-Bereitstellung nicht gewachsen sind. Der richtigen Lösung liegt ein umfangreiches Unterfangen zugrunde, das Fachwissen aus verschiedenen Bereichen erfordert. Nur so können die einhergehenden komplexen Herausforderungen gemeistert und eine geschützte, nahtlose und bedarfsorientierte Zero-Touch-Bereitstellung ermöglicht werden. Derartig komplexe Probleme werden häufig gelöst, indem gemeinsam Standards entwickelt werden. Viele Konsortien widmen sich diesem Problem jedoch schon seit mehreren Jahren ohne konkrete Ergebnisse. Das liegt vermutlich daran, dass ein hohes Risiko besteht, aus Compliancegründen eine teure Neustrukturierung für stark unterschiedliche Geräteherstellungsabläufe zu erzwingen. Dieser Blogbeitrag stellt eine umfassende Lösung für die Zero-Touch-Bereitstellung auf Grundlage einer Expertenallianz vor. Diese Anleitung basiert auf vorhandenen Erfahrungswerten und Herstellungsabläufen, um die Erfolgsrate von IoT-Lösungen zu erhöhen, die in die Produktion übergehen.

Für alle Fachexperten in dieser IoT-Wertschöpfungskette ist dies ein Aufruf, die Notwendigkeit der geteilten Verantwortung für geschützte IoT-Lösungsbereitstellungen anzuerkennen. Wenn der Lösungsentwickler erfolgreich ist, gewinnen alle. Schließen Sie also Allianzen, um wirklich geschützte und umfassende Zero-Touch-Bereitstellungen selbst im größten Umfang in die Produktion zu bringen – oder entscheiden Sie sich einfach für Azure. Es ist also eine Erfolgsanleitung.

IoT-Lösungsentwickler sollten ihre OEM-Partner darum bitten, sich wiederum mit ihren Partnern abzustimmen, um Geräte mit den in dieser Anleitung beschriebenen Vorintegrationen zu liefern. So tragen sie dazu bei, dass die sichere Skalierung der Lösung von der PoC-Phase bis zur Produktion vereinfacht wird.

Weitere Informationen

Aus dem IoT Signals Report 2020 geht hervor, dass 95 Prozent der IoT-Projekte bereits in der PoC-Phase (Proof of Concept) scheitern. Ein erheblicher Anteil davon ist auf mangelnde Skalierbarkeit zurückzuführen, obwohl diese für die Zero-Touch-Bereitstellung oft angepriesen wird. Stellen Sie sich als bessere Alternative vor, dass ein IoT-Lösungsentwickler Geräte vom Originalgerätehersteller (Original Equipment Manufacturer, OEM) erhält und diese nur mit Strom versorgen muss, um Folgendes zu erzielen:

Dieser nahtlose Prozess ist darüber hinaus für alle Geräte gleich – in der PoC-Phase genau wie in der Produktion. Das Beste daran ist, dass für das Setup nur drei einmalige Aktionen ohne Engineeringanteil durch den Lösungsentwickler erforderlich sind. Genau das haben wir mit unseren Partnern zusammen erreicht und daraufhin diese Anleitung ausgearbeitet.

Nahtlose, sichere und bedarfsorientierte Bereitstellung mit einmaligem Setup in drei Schritten – eine Anleitung für die Zero-Touch-Bereitstellung

Abbildung 1: Nahtlose, sichere und bedarfsorientierte Bereitstellung mit einmaligem Setup in drei Schritten – eine Anleitung für die Zero-Touch-Bereitstellung

Für das Setup muss der Lösungsentwickler lediglich ein Konto mit dem Anbieter für verwaltete Anmeldeinformationen erstellen, die Anweisungen für die Geräteanpassung an den OEM senden und ein Nachweiszertifikat beim Azure Device Provisioning Service (DPS) registrieren. Nach der Aktivierung der Zero-Touch-Bereitstellung müssen diese Aktionen jeweils nur einmal durchgeführt werden, und sie gelten sowohl für die PoC-Phase als auch für umfangreichste Produktionsbereitstellungen. Was der Lösungsentwickler jedoch möglicherweise nicht weiß und auch nicht wissen muss: Durch vorherige komplexe Integrationen entsteht ein Zusammenwirken mehrerer Zertifikatanmeldeinformationen in einer Delegierung der Vertrauensstellung, um die geteilte Eigentümerschaft in der Wertschöpfungskette bei der Geräteherstellung, die Sicherheitshärtung zum Schutz vor Manipulation und die automatische Erneuerung und Lebenszyklusverwaltung für betriebliche Anmeldeinformationen zu bedienen. Eine wirklich skalierbare Zero-Touch-Bereitstellung kann nur erzielt werden, wenn diese komplexen Integrationen vorhanden sind. Andernfalls muss der IoT-Lösungsentwickler diese Aufgabe übernehmen, wodurch die beobachtete hohe Fehlerrate entsteht.

Warum ist die Zero-Touch-Bereitstellung so komplex?

Einfach ausgedrückt ist für die Zero-Touch-Bereitstellung ein enges Verständnis der Bereitstellungsanforderungen für IoT-Geräte erforderlich. Das ist keine Kritik, sondern eine Beobachtung, die für die Weiterentwicklung und Reife hinsichtlich IoT-Verfahren bezeichnend sein kann. Ohne ein genaues Verständnis des Problemfelds kann keine gute Lösung geschaffen werden.

Für eine ganzheitliche Sicht auf die IoT-Bereitstellung und die folgliche Umsetzung einer Zero-Touch-Bereitstellung müssen auch IoT-Projekte in verschiedenen Phasen und die Phasen selbst berücksichtigt werden. Aus Gründen der Einfachheit wird das Projekt in drei Phasen unterteilt: Evaluierung, Bereitstellung und Betrieb. Bedenken Sie dabei jedoch, dass die Wirklichkeit vielschichtiger ist.

Evaluierungsphase

Jedes Projekt beginnt mit der Evaluierungsphase, die auch die Ausarbeitung eines PoC umfasst. Dabei hat der Lösungsentwickler die vollständige Kontrolle über die Entwicklungsumgebung und arbeitet mit einer gleichbleibenden Menge bereits vorhandener Geräte. Aufgrund der vollständigen Kontrolle der Entwicklungsumgebung beinhaltet die Bereitstellung die Einbettung von Anmeldeinformationen in das Gerät. Das sorgt natürlich automatisch für Sicherheit, da nur der Entwickler die Anmeldeinformationen kennt und im alleinigen Besitz des physischen Geräts ist.

Bereitstellungsphase

Als Nächstes folgt die Bereitstellungsphase, die die Geräteherstellung für den Produktionsmaßstab umfasst. In dieser Phase wird die Entwicklungsumgebung auf ein Ökosystem aus Geräteherstellungs- und Lieferkettenpartnern erweitert. Auch die Anzahl der Geräte wird um einige Größenordnungen erhöht. Ein klassisches Merkmal der Bereitstellungsphase ist der Wechsel von der alleinigen Eigentümerschaft durch den Lösungsentwickler zur geteilten Eigentümerschaft mit Partnern. Es sind strenge Sicherheitsmaßnahmen erforderlich, um vertrauliche Informationen in der Lösung zu schützen und die versehentliche Offenlegung von Informationen zu verhindern. Durch diese Maßnahmen wird das Vertrauen bei der Zusammenarbeit verschiedener Partner gestärkt. Zur Aufrechterhaltung der Sicherheit und der Vertrauensstellung muss die Bereitstellung mehrere allen Partnern bekannte Anmeldeinformationen, ein Delegierungsschema der Vertrauensstellung bei Änderungen am Gerätebesitz und eine Sicherheitshärtung zum Schutz vor Manipulation umfassen.

Betriebsphase

In der Betriebsphase erhält der IoT-Lösungsentwickler wieder die Kontrolle. Sie umfasst den Betrieb der Lösung und die Lebenszyklusverwaltung für Anmeldeinformationen und Geräte. In dieser Phase spielt die Bereitstellung vor allem beim Setup eine Rolle, bei dem die Wertschöpfungskette der Herstellungspartner aufgelöst wird, um den Fokus auf den Betrieb zu legen (der Lösungsentwickler erhält also die Kontrolle zurück), die betrieblichen Anmeldeinformationen bereitgestellt und Aktionen für die Lebenszyklusverwaltung (z. B. Erneuerung, Widerruf und Deaktivierung) ermöglicht werden.

Die Bereitstellung von IoT-Geräten ist also ein komplexes Unterfangen, um Sicherheit und Vertrauen in einem offenen Ökosystem zu schaffen. Folglich sind für eine ordnungsgemäße Bereitstellung eine umfassendes Verständnis der Vielschichtigkeit des Problems und die Erkenntnis erforderlich, dass eine gute Lösung nur durch das Zusammenwirken verschiedener Fachgebiete gefunden werden kann. Leider werden bei der Zero-Touch-Bereitstellung meistens nur die Anforderungen der Evaluierungsphase berücksichtigt, während die der Bereitstellungs- und Betriebsphase ignoriert werden, obwohl sie die Grundlage für die Produktion in jeglichem Umfang bilden. Daher ist es nicht verwunderlich, dass die Zero-Touch-Bereitstellung als komplex empfunden wird.

Expertenversammlung

Mit der Lösung komplexer Probleme sollten Fachexperten beauftragt werden. Die Umsetzung der Zero-Trust-Bereitstellung erfordert Fachwissen aus verschiedenen Bereichen. Am wichtigsten dabei sind Experten für den Betrieb einer Public Key-Infrastruktur (PKI), für die Sicherheitshärtung und für die Geräteanpassung bei einem üblichen Geräteherstellungs- und -erwerbsprozess.

Der fachgerechte Betrieb einer PKI ist eine Grundanforderung für die Zero-Touch-Bereitstellung. Ein PKI-Dienst, der für das Onboarding und den Betrieb von IoT-Geräten im großen Stil geeignet ist, muss viele Merkmale erfüllen. Dazu zählen Hochverfügbarkeit, eine weltweite Abdeckung, Zertifikataudits und Aktionen für die Lebenszyklusverwaltung (z. B. Erneuerung und Widerruf). Allem voran sollte der PKI-Dienst dazu beitragen, die Datenhoheitsziele zu erreichen. Eine professionelle PKI ist aus vielen Gründen wichtig. Zum einen fungiert die zugrunde liegende Kryptografie mit asymmetrischen Schlüsseln auch als Grundlage für ein Zero-Trust-Modell bei der Zusammenarbeit zwischen Partnern innerhalb der Wertschöpfungskette für Geräte. Jeder Partner besitzt einen privaten Schlüssel, der niemals offengelegt wird. So wird die Basis für ein exklusives Vertrauensverhältnis gebildet. Zum anderen profitiert IoT-Technologie durch die PKI von der Ausstellung und Lebenszyklusverwaltung von zertifikatbasierten Anmeldeinformationen, die in Unternehmen seit Jahrzehnten praktiziert wird. Zertifikatbasierte Anmeldeinformationen werden höher als andere Anmeldeinformationen geschätzt, da sie auf Kryptografie mit asymmetrischen Schlüsseln basieren und so ein Zero-Trust-Computingmodell im Bereich IoT erzwingen. Der Betrieb einer PKI basiert auf diesen beiden Konzepten, bringt jedoch auch viel Verantwortung mit sich, der nur ausgewiesene Experten gerecht werden können. Zertifizierungsstellen (ZS) besitzen die erforderlichen Fachkenntnisse aus langjähriger Erfahrung im Bereich IT.

Die Sicherheitshärtung ergänzt eine gut geplante und strukturierte PKI um den Schutz vor Manipulation. Ohne Maßnahmen gegen Subversion kann eine Lösung nicht als geschützt bezeichnet werden. Darin besteht jedoch das Ziel des Manipulationsschutzes. Der Manipulationsschutz entsteht aus einer speziellen Art integrierter Komponenten, deren Hauptaufgabe darin besteht, den Normalbetrieb aufrechtzuerhalten oder bei physisch bedingten, umgebungsbedingten oder netzwerkbedingten Problemen vorhersagbar in den Fehlerzustand überzugehen. So wird ein Schutz vor Subversion, Hijacking, Infiltration und Exfiltration erzielt. Diese vor Manipulation geschützten integrierten Komponenten werden häufig als Hardwaresicherheitsmodule oder HSMs bezeichnet. Für die professionelle Herstellung von HSMs für Anwendungen und die Ausarbeitung der zugehörigen Vorschriften ist Fachwissen erforderlich, das nur manche Hersteller von Halbleiterchips nachweisen können.

Die Personalisierung von Geräten durch Anpassung ist das letzte Element einer geschützten Zero-Touch-Bereitstellung und erfordert das Fachwissen eines OEM. Der OEM muss mit den PKI- und HSM-Anbietern zusammenarbeiten, damit bestimmte Ziele erreicht werden können. Erstens muss diese Vertrauensstellung initiiert und ordnungsgemäß an die verschiedenen Eigentümer in der Wertschöpfungskette bei der Geräteherstellung übertragen werden. Zweitens muss das Gerät an die Spezifikationen des Lösungsentwicklers angepasst werden und eine nahtlose Verbindung mit den entsprechenden Cloudlösungen herstellen können. Drittens muss das Onboarding für das Gerät und der Übergang in den Betriebszustand automatisch erfolgen, inklusive der Bereitstellung der richtigen Anmeldeinformationen und der Lebenszyklusverwaltung. Viertens muss das Gerät gegen Identitätsbetrug gehärtet sein. Fünftens und letztens muss der Gerätebeschaffungsprozess einfach bleiben. Die einfache Bereitstellung geschützter Geräte ist ein schwieriger Balanceakt, der Fachwissen und Erfahrung fordert.

Auch die richtige IoT-Produktbasis mit zweckdienlichen Features muss vorhanden sein, um das Fachwissen aus verschiedenen Bereichen zu nutzen und verfügbare Standards anzuwenden. Dieses Ziel wird durch das Sicherheitssubsystem IoT Identity Service für Azure IoT Edge erreicht.

Anleitung

Diese Anleitung wurde in Zusammenarbeit mit einer Zertifizierungsstelle (ZS) bzw. einem PKI-Dienstanbieter (GlobalSign), einem Hersteller für Halbleiterchips und HSMs (Infineon Technologies) und einem OEM und Edgegeräte-Integrator (Eurotech) erstellt. Die technische Integration basiert auf dem modularen Sicherheitssubsystem IoT Identity Service von Azure IoT Edge, bei dem sich die Fachexperten beispielsweise auf den integrierten Clientstandard für Zertifikatanforderungen IETF RFC 7030 Enrollment over Secure Transport (EST), das Trusted Platform Module (TPM) nach ISO/IEC 11889, die PKCS 11-Schnittstellenstandards für die HSM-Integration und die Modularität des Sicherheitssubsystems berufen haben, um die vielen verschiedenen Geräteherstellungsabläufe zu berücksichtigen. Jahrzehntelang bestehende Herstellungslieferketten sollen dabei nicht außer Kraft gesetzt, sondern als wichtige Erfahrungsgrundlage verwendet werden. Durch diese Zusammenarbeit bei der Integration muss der IoT-Lösungsentwickler sich nicht das entsprechende Fachwissen aneignen, zudem ist die Lösung standardmäßig geschützt. Das Ergebnis ist ein hochgradig an die Anforderungen des Lösungsentwicklers angepasstes Gerät, das dieser nur noch einschalten muss.

Integrierte Vertrauensstellung von TPM zur Cloud für Sicherheit und Integrität von der Lieferkette bis zum Dienst

Abbildung 2: Integrierte Vertrauensstellung von TPM zur Cloud für Sicherheit und Integrität von der Lieferkette bis zum Dienst

Die Anleitung dreht sich daher um Fachexperten, die zusammenarbeiten, um ein Problem für den IoT-Lösungsentwickler zu beheben, und dabei die ordnungsgemäße Anwendung verschiedener Technologien gewährleisten, um eine umfassende Lösung für die bedarfsorientierte Zero-Touch-Bereitstellung zu schaffen. Bei dieser Integration geht die Vertrauensstellung von der Quelle der Wertschöpfungskette aus, die das TPM von Infineon Technologies darstellt. GlobalSign kann beispielsweise anhand der Kreuzsignierung früherer TPM-Herstellungszertifikate, die im Rahmen der Vorabüberprüfung für die Ausstellung von Betriebszertifikaten erfolgt ist, autoritativ überprüfen, ob das Ziel-TPM von Infineon Technologies stammt.

Der Lebenszyklus für IoT-Geräteidentitäten umfasst mehrere Anmeldeinformationen.

Abbildung 3: Der Lebenszyklus für IoT-Geräteidentitäten umfasst mehrere Anmeldeinformationen.

Diese Partner haben ein gemeinsames Whitepaper verfasst, das die Sicherheits- und Engineeringprinzipien behandelt, die dieser Lösung zugrunde liegen, um als Anleitung für die Replikation zu dienen.

Wichtigkeit der Standardisierung 

Die Zero-Touch-Bereitstellung ist eine komplexe Angelegenheit, bei der Standardisierung unerlässlich ist. Dieses Komplexität hat mehrere Gründe. Einer davon ist offensichtlich, dass die Ausarbeitung eines Lösungsstandards auf Grundlage verschiedenster Herstellungsabläufe ohne teure Neustrukturierungen und Toolumstellungen nicht einfach ist. Kein Problem bleibt für immer bestehen, und irgendwann wird ein neuer Standard entstehen. Bis dahin können Sie vorhandene Standards (wie TPM, X.509, PKCS 11, EST), Herstellungsabläufe und Wertschöpfungsketten nutzen, um angepasste Technologieansätze für die pragmatische Lösung eines klar definierten, aktuellen Problems zu erstellen. Das ist der Kern dieser Anleitung, die nicht nur eine pragmatische Lösung für den Moment liefert, sondern auch den Rest der Branche dazu aufruft, sich für die Standardisierung zusammenzuschließen.

IoT-Lösungen in die Produktion bringen

Viele IoT-Lösungen, die die Zero-Touch-Bereitstellung beanspruchen, führen in der PoC-Phase zu Fehlern, da sie den Herausforderungen der bedarfsorientierten IoT-Bereitstellung nicht gewachsen sind. Der richtigen Lösung liegt ein umfangreiches Unterfangen zugrunde, das Fachwissen aus verschiedenen Bereichen erfordert. Nur so können die einhergehenden komplexen Herausforderungen gemeistert und eine geschützte, nahtlose und bedarfsorientierte Zero-Touch-Bereitstellung ermöglicht werden. Derartig komplexe Probleme werden häufig gelöst, indem gemeinsam Standards entwickelt werden. Viele Konsortien widmen sich diesem Problem jedoch schon seit mehreren Jahren ohne konkrete Ergebnisse. Das liegt vermutlich daran, dass ein hohes Risiko besteht, aus Compliancegründen eine teure Neustrukturierung für stark unterschiedliche Geräteherstellungsabläufe zu erzwingen. Dieser Blogbeitrag stellt eine umfassende Lösung für die Zero-Touch-Bereitstellung auf Grundlage einer Expertenallianz vor. Diese Anleitung basiert auf vorhandenen Erfahrungswerten und Herstellungsabläufen, um die Erfolgsrate von IoT-Lösungen zu erhöhen, die in die Produktion übergehen.

Für alle Fachexperten in dieser IoT-Wertschöpfungskette ist dies ein Aufruf, die Notwendigkeit der geteilten Verantwortung für geschützte IoT-Lösungsbereitstellungen anzuerkennen. Wenn der Lösungsentwickler erfolgreich ist, gewinnen alle. Schließen Sie also Allianzen, um wirklich geschützte und umfassende Zero-Touch-Bereitstellungen selbst im größten Umfang in die Produktion zu bringen – oder entscheiden Sie sich einfach für Azure. Es ist also eine Erfolgsanleitung.

IoT-Lösungsentwickler sollten ihre OEM-Partner darum bitten, sich wiederum mit ihren Partnern abzustimmen, um Geräte mit den in dieser Anleitung beschriebenen Vorintegrationen zu liefern. So tragen sie dazu bei, dass die sichere Skalierung der Lösung von der PoC-Phase bis zur Produktion vereinfacht wird.

Weitere Informationen