Een beproefde chip-naar-cloud blauwdruk die beheerders van IoT-apparaten en systeemintegrators mogelijkheden biedt
Een IoT-systeem en de bijbehorende apparaten veilig online brengen is geen sinecure. Het is nog steeds een ingewikkeld proces, waarbij organisaties die de apparaten beheren vaak oplossingen van meerdere leveranciers samen moeten voegen. Het vereist deskundigheid in verschillende gespecialiseerde domeinen:
- een Hardware Security Module (HSM) – gewoonlijk een Trusted Platform Module (TPM) om de vertrouwensketen te beginnen met een goedkeuringssleutel en alle gebruikersgegevens te beveiligen
- een IoT Public Key Infrastructure (PKI) voor op certificaten gebaseerde identiteit, authenticatie en encryptie
- een fabrikant van IoT/IIoT-apparaten om de blauwdruk tijdens de productie te integreren
- een cloudserviceprovider om toestellen en hun gegevens op schaal te beheren
Tot nu toe moesten bouwers van IoT-oplossingen die veilige IoT-apparaten wilden lanceren, elke component in de IoT-vertrouwensketen onderzoeken en een proof of concept (PoC) ontwikkelen dat vóór de productie gevalideerd moest worden. Ze moesten op zoek gaan naar de juiste middelen, integreren met elk onafhankelijk domein en hopen dat elk domein interoperabel was met de andere. Soms kostte dat buitensporig veel tijd. Andere keren waren er extra middelen en expertise nodig die in hun budget voor lanceringen of in hun interne teams van ontwikkelaars ontbraken. Er kwamen enorme kosten bij, die vaak onbetaalbaar waren, en bijna altijd kon het ‘proof of concept’ niet worden opgeschaald. Problemen rond het beheer van certificaatreferenties, de beveiliging van certificaten en productieactiviteiten konden niet worden opgelost, waardoor de organisatie niet van PoC naar productie kon overgaan.
Het ongelukkige resultaat was dat er IoT-apparaten werden gelanceerd zonder dat ze beveiligd waren, waardoor zowel de exploitanten van de apparaten als de eindgebruikers gevaar liepen. En zoals iedereen in de IoT-industrie weet, is het risico dat ontstaat door ongeautoriseerde en onbeveiligde apparaten een echte zorg. Het brengt gevolgen met zich mee op operationeel en financieel gebied, en mogelijk ook op het gebied van naleving en regelgeving, die een organisatie kunnen verlammen.
Het IoT-beveiligingsprobleem identificeren
Met het oog op deze unieke uitdagingen hebben vier internationale en onafhankelijke IoT-domeinexperts samengewerkt om een oplossing te ontwikkelen: Infineon, GlobalSign, Eurotech en Microsoft Azure. Het resultaat is opmerkelijk: klanten kunnen nu een Industrial IoT gateway van Eurotech kopen met een geïntegreerde PKI-identiteit van GlobalSign die beschermd wordt door een Infineon TPM, en in staat is tot automatische aanmelding bij de Azure cloud.
Alle bedrijven hadden voordien vertrouwensrelaties opgebouwd met de meeste partners in dit samenwerkingsverband, waardoor de groep in staat was innovatie te bevorderen. Elk bedrijf bracht de nodige expertise in om een IoT-apparaat letterlijk van chip-tot-cloud te beveiligen. Het was een stapsgewijs proces, waarbij succesvolle afzonderlijke integraties als basis werden gebruikt. De uitbreiding van de integraties tot alle partners was het sleutelelement dat het geheel samenbracht. Ze begonnen met een proof of concept, volgden de industriestandaarden, werkten multi-vendor integraties uit en integreerden best practices om een beproefde methodologie te leveren die zowel door systeemintegrators als door exploitanten van IoT-apparaten kan worden toegepast.
Wereldwijde experts bundelen capaciteiten om de beveiliging van IoT-apparaten te verbeteren
Infineon, een in Duitsland gevestigde fabrikant van halfgeleiders, HSM en TPM, is een leider in op hardware gebaseerde beveiliging. Infineon en GlobalSign hebben een lange geschiedenis van samenwerking. Onlangs hebben ze de handen ineengeslagen om de betrouwbaarheid van identiteiten van aangesloten apparaten te versterken om de inschrijving in de Azure cloud te stroomlijnen. Dit omvatte het gebruik van de TPM's van Infineon om de PKI-gegevens van GlobalSign te beveiligen en het gebruik van de GlobalSign-certificeringsinstantie om de TPM-goedkeuringssleutels van Infineon kruiselings te ondertekenen, wat resulteerde in een hoger, meer wereldwijd erkend niveau van digitale identiteitszekerheid. In dit partnerschap vertrouwt het team opnieuw op de cryptografische en veilige opslagmogelijkheden van Infineons OPTIGA® TPM's voor de hardwarematige bescherming van identiteitsbewijzen van apparaten.
GlobalSign is een wereldwijde certificeringsinstantie (CA) en toonaangevende leverancier van identiteits- en beveiligingsoplossingen voor het IoT. Onze IoT Edge Enroll registratieservice voorziet in apparaatcertificaten via ons op PKI gebaseerde IoT Identity Platform, aangedreven door onze Atlas-infrastructuur. Het gebruikt het op normen gebaseerde communicatieprotocol IETF RFC 7030 Enrollment over Secure Transport (EST) en beschikt over geautomatiseerde provisioning. Op PKI gebaseerde IoT-identiteit is het de facto mechanisme voor identiteitscreditering voor IoT-beveiliging en draagt bij tot de softwarematige vertrouwensbasis van deze samenwerking.
Eurotech is een toonaangevende multinational die geïntegreerde borden en modules, edge computers, High Performance Embedded Computing (HPEC) en IoT-platforms ontwerpt en ontwikkelt om digitale transformatie mogelijk te maken. Eurotech en Infineon hebben ook een langdurige relatie, en werkten in 2019 samen om de OPTIGA® TPM 2.0 chips van Infineon op te nemen in de multi-service IoT Edge gateways van Eurotech, die helpen om de identiteit van apparaten te beschermen. Als de OEM in dit partnerschap, fungeert Eurotech als de edge device integrator, die het apparaat assembleert zodat dit een met certificaat geauthenticeerde identiteit van GlobalSign bevat, samen met de hardwarebescherming van de Infineon TPM. In 2019 is Eurotech toegetreden tot de Microsoft Azure Certified for IoT-apparatencatalogus van vooraf geteste en geverifieerde producten, die ervoor zorgt dat klanten IoT-oplossingen snel operationeel krijgen. Ze hebben op hun ReliaGATE, DynaGATE en BoltGATE gateway-apparaten ingebouwde apparaatidentiteiten ingevoerd die gebruik maken van deze blauwdruk van het partnerschap.
Microsoft Azure is de wereldwijd erkende cloudserviceprovider, waarvan het open en flexibele cloud computing platform het mogelijk maakt om IoT-apparaten en hun netwerken te lanceren, te laten werken en te schalen, ongeacht de vereisten op het gebied van rekenkracht of gegevensopslag. Microsoft heeft relaties opgebouwd met GlobalSign, Eurotech en Infineon om de onboarding van IoT-apparaten naar hun Azure-cloud te beveiligen, te vereenvoudigen en te stroomlijnen.
In 2020 hebben Microsoft en GlobalSign samengewerkt met Infineon om de registratie op Azure te versterken en te vereenvoudigen. Hun toonaangevende cloudservices maken van hen de favoriete cloudprovider voor IoT.
Volgens de 802.1AR-architectuurnorm
Sterke, unieke en beschermde apparaatidentiteiten zijn van cruciaal belang voor de beveiliging van het IoT. Ze maken ook een soepele registratie bij cloudservices mogelijk, die het aangewezen platform zijn om op grote schaal toestellen in te zetten. Maar wanneer de identiteit op het apparaat is ingebed, moet er een mechanisme zijn dat rekening houdt met de levenscyclus van het apparaat. Met andere woorden, tijdens de productie krijgt het toestel een identiteit. Zodra dat apparaat verkocht en ingezet is, moet het een mogelijkheid hebben om zich te identificeren en te authenticeren binnen zijn nieuwe en lokale operationele netwerk.
De oplossing is een certificatenarchitectuur op basis van Device Identity (DevID), gebaseerd op de IEEE 802.1AR-norm. De initiële apparaatidentiteiten (IDevIDs) vertegenwoordigen de identiteiten die tijdens de productie werden verstrekt. Die kunnen dan gebruikt worden als authenticatie wanneer het toestel ingezet wordt, waarbij een lokale, operationele identiteit (LDevID) nodig is. Zowel IDevID's als LDevID's kunnen gebruikt worden voor authenticatie tijdens de registratie in de cloud, waarmee de weg vrijgemaakt wordt voor geautomatiseerde, veilige apparaatregistratie in de cloud op schaal.
Een beproefde chip-naar-cloud blauwdruk
Het is een revolutie die waarschijnlijk blijvende gevolgen zal hebben voor het totale aantal IoT-apparaten dat nu IoT-beveiliging kan opnemen als onderdeel van hun lanceerplan, waarbij hun apparaten van chip tot cloud worden beveiligd. Ontwikkelaars van IoT-oplossingen profiteren van de blauwdruk voor oplossingen, doordat de complexiteit wordt teruggebracht tot een eenvoudig proces van 3 stappen.
Het is een revolutie die waarschijnlijk blijvende gevolgen zal hebben voor het totale aantal IoT-apparaten dat nu IoT-beveiliging kan opnemen als onderdeel van hun lanceerplan, waarbij hun apparaten van chip tot cloud worden beveiligd. Ontwikkelaars van IoT-oplossingen profiteren van de blauwdruk voor oplossingen, doordat de complexiteit wordt teruggebracht tot een eenvoudig proces van 3 stappen.
- Een PKI account aanmaken en ICA certificaat ontvangen
- ICA naar de cloud registreren
- Zorgen voor aangepaste apparaatconfiguratie en aangepaste bestelcode ontvangen
Onze nieuwe collaboratieve blauwdruk is een beproefd, interoperabel proof of concept dat IoT-exploitanten en systeemintegrators helpt om de time-to-market te versnellen, integratie-uitdagingen te elimineren, de behoefte aan multi-domeinexpertise van hun ontwikkelingsteams te verminderen en operationele kosten te verlagen om IoT-apparaten op schaal te beveiligen.
Bekijk enkele van de onderstaande links voor meer informatie. Bekijk onze webinar, download onze technische whitepaper of lees de afzonderlijke blogberichten van het bedrijf over dit onderwerp.
- Webinar: Hoe lost u de ongrijpbare zero-touch cloud onboarding en de provisioning van certificaatidentiteiten op schaal voor IoT-apparaten op?
- Whitepaper: https://aka.ms/igem_whitepaper
- Persbericht Eurotech: https://aka.ms/eth_pr
- Blog Eurotech: https://aka.ms/eurotech
- Blog GlobalSign: https://aka.ms/GlobalSign
- Blog Microsoft: https://aka.ms/igem_msft_blog