Plano técnico para resolver de forma segura el difícil aprovisionamiento de dispositivos IoT a gran escala sin intervención

Publicado el 13 abril, 2021

Principal Program Manager, Azure IoT

El informe Señales de IoT de 2020 revela que el 95 % de los proyectos de IoT fracasa en la prueba de concepto (PoC). En un gran número de casos, se debe a la incapacidad de escalarse, a pesar de que se promocione ampliamente el aprovisionamiento sin intervención. Imagine, sin embargo, la siguiente alternativa ganadora: un fabricante de soluciones de IoT recibe un lote de dispositivos del fabricante de equipos originales (OEM) y lo único que hace es capacitarlos para conseguir lo siguiente:

  • Incorporación automática y segura a un proveedor de certificados de producción.
  • Recepción de credenciales operativas basadas en certificados para el dispositivo.
  • Aprovisionamiento automático en servicios de aplicaciones en la nube.
  • Automatización de la renovación y la administración del ciclo de vida de las credenciales.

Además, este proceso sin fisuras es el mismo para todos los dispositivos, ya sean una prueba de concepto o la pieza un millón en producción, y lo mejor es que, para configurarlos, solo es necesario que el fabricante de soluciones realice una sola vez tres acciones que no son de ingeniería. Esto es exactamente lo que hemos logrado con nuestros asociados y que ahora presentamos en forma de plano técnico.

Implementación a gran escala de forma fluida y segura con tres sencillos pasos que se realizan una sola vez: plano técnico de una solución de aprovisionamiento sin intervención.

Figura 1: Implementación a gran escala de forma fluida y segura con tres sencillos pasos que se realizan una sola vez: plano técnico de una solución de aprovisionamiento sin intervención.

Para la configuración, todo lo que el fabricante de soluciones tiene que hacer es crear una cuenta en el proveedor de credenciales administradas, proporcionar las instrucciones de personalización de los dispositivos al fabricante OEM y registrar un certificado de atestación en Azure Device Provisioning Service (DPS). Solo tiene que realizar estos pasos una única vez para habilitar una experiencia de aprovisionamiento sin intervención que sea válida tanto para las pruebas de concepto como para las implementaciones en producción a gran escala. Lo que el fabricante de soluciones quizá no sabe, y no necesita saber, es que las complejas integraciones previas incluyen una interacción de varias credenciales basadas en certificados en una delegación de confianza para dar cabida a la naturaleza de custodia múltiple de la cadena de valor de la fabricación de dispositivos, el refuerzo de la seguridad contra alteraciones y la preparación para la renovación y la administración del ciclo de vida automáticas de las credenciales operativas. El verdadero aprovisionamiento escalable sin intervención solo puede producirse después de llevarse a cabo estas integraciones complejas. De lo contrario, la carga recae en el fabricante de soluciones de Internet de las cosas (IoT) y, de ahí, la elevada tasa de fracaso observada.

Pero, ¿por qué es tan difícil el aprovisionamiento sin intervención?

Dicho en pocas palabras, el aprovisionamiento sin intervención requiere una comprensión exacta de las necesidades de aprovisionamiento de los dispositivos IoT. Esto no es una crítica, sino una observación que podría ser indicativa de la evolución y la madurez de las prácticas de IoT. Nunca podrá surgir una solución verdadera si no se tiene una correcta comprensión del problema.

Un visión integral del aprovisionamiento de IoT debe reconocer los proyectos de IoT que están formados por fases, y estas fases deben tenerse en cuenta a la hora de diseñar una experiencia de aprovisionamiento sin intervención. Para verlo de una manera sencilla, vamos a dividir un proyecto en tres fases: de evaluación, de implementación y operativa, pero sabiendo que cada fase podría dividirse aún más.

Fase de evaluación

En la fase de evaluación, se inician los proyectos y se crea una prueba de concepto. Se caracteriza por el hecho de que el fabricante de soluciones tiene el control total del entorno de desarrollo y trabaja con dispositivos que ya existían en cantidades unitarias. Al tener el control total del entorno de desarrollo, el aprovisionamiento implica insertar una credencial en el dispositivo. Esto permite al fabricante estar tranquilo en términos de seguridad, porque solo él conoce la credencial y es el único que tiene físicamente el dispositivo.

Fase de implementación

Después, viene la fase de implementación, que implica la fabricación de los dispositivos a escala de producción. Esta fase amplía el entorno de desarrollo a un ecosistema de asociados de fabricación de dispositivos y cadena de suministro. También aumenta exponencialmente el número de dispositivos. Una característica clara de la fase de implementación es un cambio de control, que pasa de la propiedad total del fabricante de soluciones a la propiedad compartida con los asociados. La seguridad exige medidas firmes que eviten el uso compartido accidental de datos para proteger así la información confidencial dentro de la solución, lo que permite una mayor confianza en las interacciones con los asociados. Para mantener la seguridad y la confianza, el aprovisionamiento debe incluir varias credenciales que estén en conocimiento de los asociados, un esquema de delegación de confianza a medida que cambia la custodia del dispositivo y el refuerzo de la seguridad para evitar alteraciones.

Fase operativa

La fase operativa devuelve el control al fabricante de soluciones de IoT y conlleva la gestión de la solución y la administración del ciclo de vida de las credenciales y los dispositivos. El rol del aprovisionamiento en esta fase es la configuración, que se separa de la cadena de valor de los asociados de fabricación para centrarse en el uso (de ahí que el fabricante de soluciones recupere el control), aprovisiona las credenciales operativas y habilita acciones de administración del ciclo de vida como la renovación, la revocación y la retirada.

Por tanto, el aprovisionamiento de dispositivos IoT es una tarea compleja en cuanto a la seguridad y a la generación de confianza dentro de un ecosistema abierto. Un aprovisionamiento correcto requiere, por consiguiente, una comprensión total de la naturaleza polifacética del problema y el reconocimiento de que una solución completa requerirá varias áreas de conocimiento. Lamentablemente, la mayoría de las ofertas de aprovisionamiento sin intervención solo abordan las necesidades de la fase de evaluación e ignoran las necesidades de las fases de implementación y operativa, que son necesarias para la producción a gran escala. No es de extrañar que la experiencia de aprovisionamiento sin intervención sea difícil.

Llamar a los expertos

Los problemas complejos se solucionan mejor con expertos en la materia. La solución para lograr un aprovisionamiento de Confianza cero requiere pericia en muchos campos, donde destacan los expertos en la gestión de infraestructuras de clave pública (PKI), el refuerzo de la seguridad y la personalización de dispositivos en un proceso estándar de fabricación y adquisición de dispositivos.

Gestionar una infraestructura de clave pública de forma experta es un requisito fundamental para el aprovisionamiento sin intervención. Un servicio de PKI adecuado para la incorporación y la gestión de dispositivos IoT a gran escala debe tener, entre otros muchos atributos, alta disponibilidad, debe proporcionar cobertura mundial, habilitar auditorías de certificados y ofrecer acciones de administración del ciclo de vida, como la renovación y la revocación. Por encima de todo, el servicio de PKI debe ayudar a alcanzar los objetivos de soberanía de los datos. Una PKI gestionada por expertos es importante por muchas razones. En primer lugar, la criptografía de clave asimétrica subyacente proporciona la base para un modelo de Confianza cero de colaboración con asociados dentro de la cadena de valor de un dispositivo. El hecho de que cada asociado tenga una clave privada que nunca comparte proporciona la base para una confianza exclusiva. En segundo lugar, la PKI permite que la IoT se beneficie de décadas de experiencia en la práctica de la TI empresarial emitiendo y administrando el ciclo de vida de las credenciales de dispositivos basadas en certificados. Las credenciales basadas en certificados se valoran más que otras formas alternativas de credenciales porque también se basan en la criptografía de claves asimétricas para aplicar un modelo de computación de Confianza cero en IoT. La gestión de una PKI se basa en estos dos conceptos y requiere una gran responsabilidad que solo expertos dedicados pueden ofrecer. Las entidades de certificación poseen los conocimientos necesarios gracias a su larga trayectoria en TI.

El refuerzo de la seguridad complementa una PKI bien planeada y estructurada para resistir posibles alteraciones. No se puede decir que una solución está protegida si no dispone de medidas contra la subversión, que son el objetivo de la resistencia a las alteraciones. La resistencia a las alteraciones se deriva de una clase muy especial de circuitos integrados cuyo objetivo principal es funcionar con normalidad o dejar de hacerlo de forma predecible ante cualquier adversidad, ya sea física, ambiental o de red. El resultado es la mitigación de la posibilidad de subversión, secuestro, infiltración y filtración. Estos circuitos integrados resistentes a alteraciones se conocen normalmente como módulos de seguridad de hardware o, simplemente, HSM. El arte perfeccionado de producir y prescribir módulos HSM adecuados requiere conocimientos que solo tienen algunos fabricantes de semiconductores de silicio.

La personalización de los dispositivos es el último elemento para lograr un aprovisionamiento sin intervención seguro y exige un gran dominio de la materia por parte del fabricante OEM. El fabricante OEM debe trabajar en colaboración con los proveedores de PKI y HSM para asegurar que se alcancen determinados objetivos. En primer lugar, que se inicie la confianza y se pase correctamente entre los diversos responsables de la custodia en la cadena de valor de la fabricación de dispositivos. En segundo lugar, que se personalice el dispositivo según las especificaciones de los fabricantes de soluciones y para que se conecte sin problemas a las soluciones en la nube adecuadas. En tercer lugar, que el dispositivo se incorpore automáticamente y pase a estar operativo con el aprovisionamiento y la administración del ciclo de vida de las credenciales adecuados. En cuarto lugar, que el dispositivo esté protegido contra la suplantación. Por último, que el proceso de adquisición de dispositivos continúe siendo sencillo. La creación de dispositivos protegidos que, a su vez, sean sencillos es un equilibrio difícil de lograr que requiere pericia y experiencia.

Por último, se necesita una base de productos de IoT adecuada, con características diseñadas específicamente, para aprovechar los conocimientos en los diferentes campos y, exclusivamente, mediante el uso de estándares cuando estén disponibles. El subsistema de seguridad del servicio de identidad de IoT para Azure IoT Edge cumple este objetivo.

Plano técnico

Para elaborar este plano técnico, hemos colaborado con el proveedor de servicios de PKI y entidad de certificación Global Sign, el fabricante de semiconductores y módulos HSM Infineon Technologies y el integrador de dispositivos perimetrales y OEM Eurotech. La integración técnica se basa en el subsistema de seguridad modular del servicio de identidad de IoT para Azure IoT Edge, donde los expertos en la materia han aprovechado características como el estándar de cliente integrado IETF RFC 7030 Enrollment over Secure Transport (EST) para las solicitudes de certificados, los estándares de interfaz Módulo de plataforma de confianza (TPM) ISO/IEC 11889 y PKCS#11 para la integración de módulos HSM, y la modularidad del subsistema de seguridad para dar cabida a la diversidad de flujos de fabricación de dispositivos actuales, que es un aspecto muy importante que debe tenerse en cuenta. El objetivo no es acabar con las cadenas de suministro de fabricación actuales que existen desde hace décadas, sino aprovecharlas. Esta colaboración evita que el fabricante de soluciones de IoT tenga que adquirir conocimientos específicos y asegura una solución que está protegida de forma predeterminada. El resultado es un dispositivo muy personalizado para el fabricante de soluciones de IoT, que lo único que tiene que hacer cuando lo recibe es encenderlo.

Confianza integrada desde el TPM hasta la nube para lograr seguridad e integridad desde la cadena de suministro hasta los servicios.

Figura 2: Confianza integrada desde el TPM hasta la nube para lograr seguridad e integridad desde la cadena de suministro hasta los servicios.

Por tanto, el plano técnico trata sobre expertos en la materia que colaboran con el fin de resolver el problema para el fabricante de soluciones de IoT y, al hacerlo, garantizan la correcta aplicación de varias tecnologías para obtener una solución completa de aprovisionamiento sin intervención a gran escala. Para esta integración, la confianza se inicia realmente en el origen de la cadena de valor, que es el TPM de Infineon Technologies. Por ejemplo, Global Sign puede comprobar con autoridad que el TPM de destino lo ha fabricado realmente Infineon Technologies, gracias a la firma cruzada de certificados de fabricación del TPM anterior como parte de la comprobación previa para la emisión de certificados operativos.

El ciclo de vida de la identidad de los dispositivos IoT implica varias credenciales.

Figura 3: El ciclo de vida de la identidad de los dispositivos IoT implica varias credenciales.

Esta alianza de asociados ha elaborado un documento técnico conjunto que describe los principios de seguridad e ingeniería que subyacen en esta solución, con el fin de ofrecer un plano técnico para su replicación.

Por qué es importante la normalización 

El aprovisionamiento sin intervención es un problema difícil que realmente requiere normalización. La dificultad puede deberse a varios motivos, pero una razón obvia es cómo crear un estándar de solución sobre una base muy diversa de flujos de fabricación sin obligar a una costosa reestructuración ni un cambio de herramientas. Ningún problema dura para siempre y, algún día, surgirá un estándar. Hasta entonces, ¿por qué no utilizar los estándares (como TPM, X.509, PKCS#11, EST), los flujos de fabricación y las cadenas de valor actuales para crear microcosmos de alineaciones tecnológicas y resolver de forma pragmática un problema claro y presente? Esta es la esencia del plano técnico que, además de proporcionar una solución pragmática provisional, es una llamada al resto del sector para que se una en la normalización.

Incorporar las soluciones de IoT a producción

Muchas soluciones que se dice que ofrecen aprovisionamiento sin intervención en IoT conducen a errores en la prueba de concepto, porque no pueden resolver la dificultad que subyace en el aprovisionamiento de IoT a gran escala. La solución adecuada requiere una iniciativa completa que debe contar con expertos en diferentes materias para superar complejos desafíos y ofrecer un aprovisionamiento sin intervención seguro y fluido a gran escala. Los problemas complejos de esta naturaleza se resuelven a menudo uniendo fuerzas en la normalización. Sin embargo, muchos consorcios han abordado este problema durante varios años sin resultados tangibles, presumiblemente porque existe un alto riesgo de forzar una costosa e insostenible reestructuración de flujos de fabricación de dispositivos muy diversos por motivos de cumplimiento. Esta entrada ofrece una solución completa para el aprovisionamiento sin intervención elaborada por una alianza de expertos que se presenta aquí como un plano técnico basado en experiencias y flujos de fabricación actuales, con el fin de aumentar la tasa de éxito de las soluciones de IoT que se incorporan a producción.

Esta es una llamada a todos los expertos en la materia de la cadena de valor de IoT para que reconozcan la necesidad de una responsabilidad compartida en las implementaciones de soluciones de IoT protegidas. Todos ganamos cuando al fabricante de soluciones le salen las cosas bien, así que colaboremos todos para lograr un aprovisionamiento sin intervención completo y realmente seguro en entornos de producción a gran escala o, simplemente, únase a nosotros en Azure. Es el plano técnico para que todo vaya bien.

A todos los fabricantes de soluciones de IoT les decimos que pidan a sus asociados OEM que colaboren con asociados para ofrecer dispositivos con las integraciones previas descritas en este plano técnico, con el fin de simplificar la experiencia de escalado seguro de las soluciones, desde la prueba de concepto hasta producción.

Más información