Azure で IoT を実現する Things Connec tivity Data Insight Action IoT Edge IoT Hub Data Factory Azure Storage Azure Data Lake Store SQL Database SQL Data Warehouse Cosmos DB Stream Analytics Machine Learning HDInsight (Hadoop) Cognitive Services Azure Data Lake Analytics Microsoft Power BI DPS Event Hub Functions Azure Monitor Logic Apps
膨大なデバイスの接続 通信 管理とビッグデータ
IoT における脅威 ざっくり普通のクラウドと同じ 乗っ取りロジック改竄不正アクセス盗聴 なりすまし 盗聴改竄 なりすまし サーバー / クラウド
参考 IoT Security Architecture https://docs.microsoft.com/en-us/azure/iot-fundamentals/iot-security-architecture 参考 - Microsoft Security Development Lifecycle https://www.microsoft.com/en-us/securityengineering/sdl/
セキュアなデバイス接続 IoT Device IoT Device
Device Stream Connection over point 443 Streaming Endpoint Connection over point 443 IoT Hub を介して セキュアに SSH 接続可能セキュリティ情報の最小限化 SSHD (daemon) Device Device Local Proxy Service Local Proxy Service SSH (client) その他のアクセスは拒否! Connection over point 22 (default for SSH) Connection over point 2222 (arbitrary port) 8
Highly-secured connected devices に要求される 7 つの特徴 Hardware Root of Trust デバイスアイデンティティとソフトウェアの一貫性はハードウェアで保障されているか? Defense in Depth たとえセキュリティ機構が破られても 保護可能なままか? Small Trusted Computing Base デバイスの TCB は アプリその他のコードのバグから守られているか? Dynamic Compartments Certificate-Based Authentication Failure Reporting Renewable Security デバイス導入後にセキュリティ保持機構を改善することが可能か? デバイスは認証でパスワードの代わりに証明書を使うか? デバイスは障害や異常をレポートするか? デバイスは自動的にソフトウェアのアップデートを行うか? Microsoft Corporation = Silicon support required = OS support required = Cloud Service support required
幾つかの特徴は ハードウェアでしか対処できない Hardware Root of Trust 偽造暗号キーの生成防止はハードウェアで デバイスのアイデンティティとソフトウェアの一貫性はハードウェアで確保されるか? o ハードウェアがデバイスアイデンティティを 守る o o ハードウェアがセキュアブートを提供 ハードウェアがシステムの一貫性を証明 Microsoft Corporation
幾つかの特徴は ハードウェア ソフトウェア両方に依存 Dynamic Compartments どんな障害の波及も内部バリアがブロックする デバイスは配置後にセキュリティプロテクションを改善できるか? o o ハードウェアがバリアを生成 ソフトウェアがコンパートメントを生成 Microsoft Corporation
Renewable Security デバイスセキュリティを 新たに出現した脅威やセキュリティ侵害に対して リニューアル デバイスは自動的にソフトウェアアップデート可能か? 幾つかの特徴は ハードウェア ソフトウェアに加え クラウドも必要 o o o クラウドがアップデートを供給 ソフトウェアがアップデートを適用 クラウドはロールバックを防ぐ Microsoft Corporation
Microsoft The Seven Properties of Highly Secure Devices https://www.microsoft.com/en-us/research/publication/seven-properties-highly-secure-devices/ Microsoft Corporation
Azure Sphere はエンドツーエンドのソリューション Azure Sphere 対応 MCU 接続性と信頼された Hardware Root of Trust を提供するマイクロソフトのセキュリティテクノロジーが組み込まれた状態でシリコンパートナーから提供される Microsoft Corporation Azure Sphere OS 新しい IoT エクスペリエンスを実現する 信頼されたプラットフォーム を作るために 10 年間のライフタイムを提供する Azure Sphere Security Service 全ての Azure Sphere デバイスをガードする ; D2D D2C 通信に対する信頼されたブローカー 新たな脅威の検知 デバイスセキュリティの更新を提供
Azure Sphere MCU Connected Intelligent Edge に対し secured root of trust を創出 コネクテッドビルトインされたネットワーク機能 セキュアードビルトインされたマイクロソフトのシリコンセキュリティ技術 Microsoft Pluton セキュリティサブシステムを内包 クロスオーバーリアルタイム処理は Cortex-M アプリは Cortex-A で実行 Microsoft Pluton Security Subsystem Firewall Firewall Firewall ARM Cortex-A Optimized for low power Firewall Firewall Firewall GPIO PWM TDM FLASH 4MB SRAM 4MB Multiplexed I/O I2S UART Network Connection Wi-Fi in first chips I2C ARM Cortex-M For real-time processing SPI ADC Microsoft Corporation
The Azure Sphere OS IoT セキュリティ MCU アジリティ向けに最適化 OS Layer 4 OS Layer 3 OS Layer 2 OS Layer 1 Hardware Azure Sphere OS アーキテクチャ App Containers for POSIX (on Cortex-A) App Containers for I/O (on Cortex-Ms) On-chip Cloud Services HLOS Kernel Security Monitor Azure Sphere MCUs セキュアアプリケーションコンテナーコードを アジリティ ロバストネス セキュリティ向けにコンパートメント化 オンチップクラウドサービスアップデート 認証 接続機能を提供 カスタム Linux カーネルシリコンの進化への最適化とコードの再利用セキュリティモニター一貫性と保持とクリティカルリソースへのアクセスをガード Microsoft Corporation
Azure Sphere Security Service 全ての Azure Sphereデバイスを接続 保護する 保護するデバイスと顧客を 全ての通信に対する証明書ベースの認証で保護する 検知する新たに出現したセキュリティへの脅威を デバイス上の障害を自動化されたプロセスで検知する 対応する完全に自動化されたデバイス上の OS アップデート機能で脅威に対応する 許可する Azure Sphere で強化されたデバイスへの ソフト ウェアの容易なアップデートを許可する Microsoft Corporation
Pluton セキュリティ概要
Azure Sphere を使う Azure Active Directory
IoT セキュリティの基盤
Active Directory Android Azure Active Directory MacOS ios Windows
その先へ
一連の作業の流れの正当性を保証する
連なるトランザクションチェーンで正当性を保持 T T
最後に
自分のペースで学べるサイト https://docs.microsoft.com/ja-jp/learn/ https://www.microsoft.com/handsonlabs
de:code 2019 階催! https://seeedjp.github.io/rebutton/ http://matsujirushi.hatenablog.jp/entry/2019/01/23/171257 Seeed ReButton で検索