Passer la navigation

Blueprint - Comment résoudre en toute sécurité le problème d’inaccessibilité du provisionnement sans contact des appareils IoT à grande échelle

Publié le 13 avril, 2021

Principal Program Manager, Azure IoT

Le rapport 2020 IoT Signals révèle que 95 % des projets IoT échouent à l’étape de la preuve de concept (PoC), principalement en raison de l’impossibilité d’effectuer une mise à l’échelle en dépit de l’existence de nombreuses revendications faisant l’article d’un provisionnement sans contact. Imaginez plutôt l’alternative gagnante suivante : un éditeur de solution IoT reçoit un lot d’appareils de la part de son fabricant d’ordinateurs (OEM) et il lui suffit de les allumer pour bénéficier des avantages suivants :

  • Intégration automatique et sécurisée à un fournisseur de certificats de production.
  • Réception des informations d’identification du certificat opérationnel de l’appareil.
  • Provisionnement automatique dans les services d’application cloud.
  • Automatisation de la gestion du cycle de vie et du renouvellement des informations d’identification.

De plus, ce processus fluide est le même pour tous les appareils, qu’il s’agisse d’un appareil de preuve de concept ou du millionième appareil en production. En fait, l’installation ne requiert que trois actions ponctuelles simples hors ingénierie de la part du créateur de solution. C’est exactement ce que nous avons fait avec les partenaires et nous vous présentons maintenant cette approche sous forme de blueprint.

Déployez en toute sécurité et de façon fluide à grande échelle à partir d’une installation unique en trois étapes simples : blueprint solutionnant le provisionnement sans contact

Figure 1 : Déployez en toute sécurité et de façon fluide à grande échelle à partir d’une installation unique en trois étapes simples : un blueprint solutionnant le provisionnement sans contact

Tout ce que le créateur de solution a à faire pour l’installation est de créer un compte avec le fournisseur d’informations d’identification géré, de remettre les instructions de personnalisation de l’appareil au fabricant OEM et d’inscrire un certificat d’attestation auprès du service IoT Hub Device Provisioning. Il effectue chacune de ces actions une seule fois pour activer une expérience de provisionnement sans contact qui adaptée aux déploiements de production et de preuve de concept à grande échelle. Ce que le créateur de solution ne sait peut-être pas, c’est que les intégrations complexes précédentes se composent de l’interaction entre plusieurs informations d’identification de certificat dans une délégation de confiance afin de prendre en charge la nature mutualisée de la chaîne de valeur de fabrication des appareils, le renforcement de la sécurité pour s’opposer aux falsifications ainsi que la gestion du cycle de vie et le renouvellement automatique des informations d’identification opérationnelles. Un véritable provisionnement sans contact scalable peut être obtenu uniquement après ces intégrations complexes. Sinon, la charge revient au créateur de solution IoT (Internet of Things), ce qui aboutit au taux d’échec élevé observé.

Mais pourquoi le provisionnement sans contact est-il si hors d’atteinte ?

Pour simplifier, lors du provisionnement sans contact, vous devez disposer d’une bonne compréhension des besoins de provisionnement des appareils IoT. Il ne s’agit pas d’une critique, mais plutôt d’une observation qui peut être un indicateur d’évolution et de maturité dans les pratiques IoT. Une véritable solution n’émergera jamais sans une bonne compréhension du problème.

Une vue holistique du provisionnement IoT doit reconnaître les projets IoT qui existent en plusieurs phases et doit tenir compte de ces phases lors de la conception d’une expérience de provisionnement sans contact. Pour simplifier, nous allons décomposer le projet en trois phases, à savoir l’évaluation, le déploiement et le fonctionnement, en sachant que ces phases peuvent être encore plus nombreuses.

La phase d’évaluation

La phase d’évaluation lance chaque projet et implique la création d’une preuve de concept. Elle est caractérisée par le fait que le créateur de solution dispose d’un contrôle total de l’environnement de développement et utilise des appareils préexistants en quantités unitaires. Afin d’obtenir un contrôle total de l’environnement de développement, le provisionnement implique l’incorporation d’informations d’identification dans l’appareil. Cela permet au créateur d’être rassuré par la sécurité, car il est le seul à avoir connaissance des informations d’identification et il est le seul à posséder physiquement l’appareil.

La phase de déploiement

Vient ensuite la phase de déploiement qui implique la fabrication des appareils pour une utilisation en production. Cette phase étend l’environnement de développement en écosystème de partenaires de la chaîne logistique et de fabrication d’appareils. Elle étend également les quantités d’appareils de plusieurs ordres de grandeur. Un changement de contrôle (qui passe de la propriété complète du créateur de solution à la propriété partagée avec les partenaires) est une des principales caractéristiques de la phase de déploiement. La sécurité exige des actions fortes pour protéger les informations confidentielles au sein de la solution en empêchant le partage accidentel des informations, ce qui accroît la confiance dans les interactions avec les partenaires. Pour maintenir la sécurité et la confiance, le provisionnement doit impliquer de transmettre plusieurs informations d’identification aux partenaires, un schéma de délégation d’approbation lorsque l’appareil change de propriétaire et un renforcement de la sécurité pour empêcher la falsification.

La phase opérationnelle

La phase opérationnelle rend le contrôle au créateur de solution IoT et implique l’exploitation de la solution et la gestion du cycle de vie des informations d’identification et des appareils. Le rôle du provisionnement dans cette phase est la configuration qui dissocie la chaîne de valeur des partenaires de fabrication pour se concentrer sur les opérations (et donc la façon dont le créateur de solution regagne le contrôle), qui provisionne des informations d’identification opérationnelles et qui active des actions de gestion du cycle de vie telles que le renouvellement, la révocation et la suppression.

Le provisionnement des appareils IoT est donc une entreprise complexe visant à garantir la sécurité et à créer une relation de confiance dans un écosystème ouvert. Par conséquent, réussir le provisionnement exige une compréhension complète de la nature à facettes multiples du problème et de reconnaître qu’une solution complète nécessitera plusieurs domaines d’expertise. Malheureusement, la plupart des revendications en lien avec le provisionnement sans contact répondent uniquement aux besoins de la phase d’évaluation et ignorent les besoins des phases de déploiement et opérationnelles qui sont nécessaires à la production à grande échelle. Il n’est donc pas étonnant que l’expérience du provisionnement sans contact soit hors d’atteinte.

Faire appel à des experts

Les problèmes complexes sont résolus de façon optimale par des experts du domaine. La résolution de la problématique du provisionnement sans contact nécessite l’expertise dans dans de nombreux domaines, notamment des experts en exploitation d’infrastructure à clé publique (PKI), en renforcement de la sécurité et en personnalisation des appareils dans un processus standard de fabrication et d’acquisition d’appareils.

La mise en service d’une infrastructure à clé publique d’une main experte est un impératif fondamental du provisionnement sans contact. Un service PKI adapté à l’intégration et au fonctionnement des appareils IoT à grande échelle, parmi de nombreux attributs, doit être hautement disponible, fournir une couverture globale, activer les audits de certificats et fournir des actions de gestion du cycle de vie telles que le renouvellement et la révocation. Au-delà, le service PKI doit aider à atteindre les objectifs de souveraineté des données. Une infrastructure à clé publique spécialisée est importante pour de nombreuses raisons. Tout d’abord, le chiffrement à clé asymétrique sous-jacent constitue la base d’un modèle d’approbation Confiance Zéro de la collaboration entre partenaires dans la chaîne de valeur des appareils. Le fait que chaque partenaire conserve une clé privée qu’il ne partage jamais fournit la base d’une confiance exclusive. Deuxièmement, l’infrastructure à clé publique permet à l’IoT de bénéficier de dizaines d’années d’expérience en gestion de l’émission et du cycle de vie des informations d’identification d’appareils basés sur des certificats. Les informations d’identification basées sur les certificats sont évaluées par rapport à d’autres formes d’informations d’identification, car elles s’appuient également sur le chiffrement à clé asymétrique pour appliquer un modèle Confiance Zéro de computing dans l’IoT. L’utilisation d’une infrastructure à clé publique s’appuie sur ces deux concepts et requiert des responsabilités importantes que seuls des experts peuvent offrir. Les autorités de certification (CA) possèdent l’expertise requise issue de longues pratiques en technologies IT.

Le renforcement de la sécurité complète une infrastructure à clé publique bien planifiée et structurée qui permet d’empêcher la falsification. Il ne s’agit pas d’une solution sécurisée sans contre-mesure à la subversion qui est l’objectif de la résistance aux falsifications. La résistance aux falsifications est dérivée d’une classe très spéciale de circuits intégrés dont l’objectif principal est de fonctionner normalement ou d’échouer de manière prévisible sous tous les types d’adversité, (physiques, environnementaux ou en réseau). Le résultat est l’atténuation de la subversion, du détournement, de l’infiltration et de l’exfiltration. Ces circuits intégrés résistants aux falsifications sont communément appelés modules de sécurité matériels ou simplement HSM. L’art bien rodé de la production et de la prescription de modules HSM d’application appropriés exige une expertise qui est l’apanage d’un sous-ensemble de fabricants de silicium semi-conducteurs.

La personnalisation de l’appareil via la personnalisation est le dernier élément permettant d’obtenir un provisionnement sans contact sécurisé. Cette personnalisation exige l’expertise du fabricant OEM. Ce dernier doit travailler conjointement avec les fournisseurs d’infrastructures à clé publique et de modules HSM pour garantir les objectifs suivants. Tout d’abord, cette confiance implique divers dépositaires dans la chaîne de valeur de fabrication des appareils. Deuxièmement, l’appareil est personnalisé pour les spécifications des créateurs de solutions et se connecte de façon fluide aux solutions cloud appropriées. Troisièmement, l’appareil s’intègre automatiquement et passe aux états opérationnels, avec la gestion du cycle de vie des informations d’identification et leur provisionnement approprié. Quatrièmement, l’appareil est renforcé contre l’emprunt d’identité. Enfin, le processus de provisionnement des appareils reste simple. Fournir en toute simplicité des appareils sécurisés nécessite un équilibre complexe entre expertise et expérience.

Enfin, il faut la bonne base de produits IoT, avec des fonctionnalités conçues dans un but bien précis, pour tirer parti de l’expertise des différents domaines et exclusivement via l’utilisation de normes lorsque celles-ci sont disponibles. Le sous-système de sécurité du service d’identité IoT pour Azure IoT Edge atteint cet objectif.

Le blueprint

Pour ce blueprint, nous nous sommes associés à Global Sign, fournisseur de services d’autorité de certification et d’infrastructure PKI, à Infineon Technologies, fabricant de semi-conducteurs et de modules HSM et à Eurotech, intégrateur d’appareils de périphérie et OEM. L’intégration technique s’appuie sur le sous-système de sécurité du service d’identité IoT modulaire d’Azure IoT Edge où les experts ont utilisé des fonctionnalités telles que la norme client intégrée IETF RFC 7030 Enrollment over Secure Transport (EST) pour les demandes de certificats, les normes d’interface ISO/IEC 11889 Trusted Platform Module (TPM) et PKCS#11 pour l’intégration HSM et la modularité du sous-système de sécurité pour prendre en charge la diversité des flux de fabrication d’appareils existants, ce qui est très important à prendre en compte. L’objectif n’est pas de bouleverser les anciennes chaînes d’approvisionnement de fabrication existantes, mais de s’appuyer sur leurs expériences respectives. Cette intégration à plusieurs évite au créateur de solution IoT d’obtenir l’expertise requise et garantit une solution qui est sécurisée par défaut. Le résultat est un appareil hautement personnalisé pour le créateur de solution IoT qui n’a besoin que de l’activer à réception.

Confiance intégrée du module de plateforme sécurisée au cloud pour la sécurité et l’intégrité, de la chaîne d’approvisionnement aux services.

Figure 2 : Confiance intégrée du module de plateforme sécurisée au cloud pour la sécurité et l’intégrité, de la chaîne d’approvisionnement aux services.

Le blueprint requiert donc l’association d’experts du domaine afin de résoudre le problème pour le créateur de solution IoT et ainsi de garantir l’application correcte de diverses technologies pour une solution complète de provisionnement sans contact à grande échelle. Pour cette intégration, la confiance trouve véritablement son origine dans la source de la chaîne de valeur qui est le TPM Infineon Technologies. Par exemple, Global Sign peut vérifier que le module de plateforme sécurisée cible est en fait un produit fabriqué par Infineon Technologies en raison de la signature croisée des certificats de fabrication TPM dans le cadre des vérifications préalables effectuées avant l’émission de certificats opérationnels.

Le cycle de vie des identités des appareils IoT implique plusieurs informations d’identification.

Figure 3 : Le cycle de vie des identités des appareils IoT implique plusieurs informations d’identification.

Cette alliance de partenaires a rédigé un livre blanc commun qui décrit les principes de sécurité et d’ingénierie qui sous-tendent cette solution dans l’esprit de la présentation d’un blueprint pour réplication.

Pourquoi la normalisation est importante 

Le provisionnement sans contact est un problème complexe qui nécessite véritablement une normalisation. La difficulté peut avoir plusieurs origines, mais une origine évidente est celle posée par la création d’une norme de solution sur une base très diversifiée de flux de fabrication sans forcer la restructuration et un reoutillage coûteux. Aucun problème ne dure à tout jamais et un jour, une norme émergera. En attendant, pourquoi ne pas se baser sur des normes existantes (telles que TPM, X.509, PKCS#11, EST), des flux de fabrication et des chaînes de valeur pour créer des microcosmes d’alignements technologiques et résoudre de manière pragmatique un problème clair ? Cest l’essence du blueprint qui, en plus de fournir une solution pragmatique provisoire, est un appel destiné au reste du secteur afin que la normalisation soit acceptée par tous.

Amener les solutions IoT en production

De nombreuses solutions qui revendiquent le provisionnement sans contact dans l’IoT mènent à des échecs de la preuve de concept, car elles ne parviennent pas à résoudre les problèmes qui sous-tendent le provisionnement IoT à grande échelle. La solution appropriée nécessite un engagement complet qui doit utiliser l’expertise de plusieurs domaines pour surmonter des défis complexes et fournir un provisionnement sécurisé et fluide à grande échelle. Les problèmes complexes de cette nature sont souvent résolus par l’union des forces dans un objectif de normalisation. Toutefois, de nombreux consortiums se sont confronté à ce problème pendant plusieurs années sans résultats tangibles, le risque probable et élevé étant de forcer des flux de fabrication d’appareil très diversifiés aboutissant à une restructuration coûteuse intenable à des fins de conformité. Ce blog offre une solution complète pour le provisionnement sans contact par une alliance d’experts présentée ici sous forme de blueprint qui s’appuie sur les expériences et les flux de fabrication existants pour augmenter le taux de réussite des solutions IoT en production.

Pour tous les experts du domaine dans la chaîne de valeur IoT, il s’agit d’un appel visant à reconnaître la nécessité d’une responsabilité partagée lors des déploiements de solutions IoT sécurisées. Nous sommes tous gagnants lorsque le créateur de solution réussit. Aussi, formons des alliances pour obtenir un provisionnement sans contact vraiment sécurité et complet en production et à grande échelle. Vous avez également la possibilité de nous rejoindre tout simplement dans Azure. Un blueprint pour un succès garanti.

Si vous êtes créateurs de solutions IoT, demandez à vos partenaires OEM de s’aligner avec des partenaires et de fournir des appareils avec les pré-intégrations décrites dans ce blueprint afin de simplifier l’expérience de mise à l’échelle sécurisée de la solution de la preuve de concept à la production.

En savoir plus