微軟發布 Azure Sphere 在物聯網安全方面走出重要一步
原標題:Microsoft stakes its claim in IoT secrity with Azure Sphere
最近幾周,微軟發布了多種安全產品,其中包括物聯網安全為重點的舉措,稱為Azure Sphere。 該舉措旨在為IoT環境帶來更全面的安全性,包括通過更安全的微控制器單元(MCU)產品提高硬體設備的安全性; 基於定製Linux內核的專用操作系統; 以及一套安全服務來管理憑證,發布更新並檢測終端整個生命周期內的威脅。 Azure Sphere是第一個將多個行業利益相關者的努力結合在一起的解決方案,以解決與許多設備不具備支持現場重要安全操作能力的事實相關的物聯網基本安全缺陷。
451 觀點
Azure Sphere是一項旗艦計劃,旨在展示微軟如何通過跨技術領域的整體方法在物聯網安全領域脫穎而出。通過解決物聯網安全中最明顯的一些挑戰 - 比如需要更好的安全設備和統一的生態系統來管理其安全性,從而利用雲的優勢 - Azure Sphere有潛力減少物聯網採用的主要障礙之一併有助於加速整個物聯網市場的增長。
當然,與任何業務一樣,微軟發起這一舉措的動機並不完全是利他主義。該公司將從競爭優勢中受益,Azure Sphere可以通過競爭對手的雲提供商提供競爭優勢,因為它試圖將自己定位為物聯網安全的主要和差異化供應商。通過在開放源代碼軟體上構建Azure Sphere OS,微軟確保與使用Windows和更加無縫的開發人員體驗所能實現的各種MCU的兼容性。除此之外,該軟體正在向晶元製造商免收技術授權費用,微軟已經為廣泛採用做好了準備,從而帶來了多種新的收入來源:一種來自設備原始設備製造商支付的10年授權費,另一種來自經常性收入來自那些超過10年期後仍在使用安全服務的設備,另外也包含因此產生的基於雲的計算和存儲需求。
由於許可費正在轉移給OEM,Azure Sphere的成功取決於微軟是否可以說服他們參與該項目。同樣,物聯網設備的更換周期較長可能會減緩Azure Sphere的採用速度,從而為該公司的競爭對手製造競爭產品提供時間。無論如何,這種努力是來自主要參與者的一個明確信號:不僅在終端(在該公司採用歷史上第一個非Windows操作系統的情況下),物聯網安全方面的強大地位日益具有戰略重要性,通過採用微軟雲計劃以及在身份和系統管理中包含差異化資產。
背景
雖然整個技術行業的利益相關者已經開始認識到需要對物聯網設備進行更強大的安全控制,但實施安全性是一個更複雜的問題。各種行業聯盟已經頒布了最佳實踐標準,以減少由於物聯網日益發展而對關鍵環境造成的風險 - 如電力公用事業和天然氣管道。與此同時,過去幾年又出現了一批由風險投資支持的初創企業,以解決跨工業控制系統和SCADA以及醫療,汽車和企業/消費者環境的物聯網安全問題,而現有的IT安全廠商則調整其應用現有的物聯網用例IP。
除了少數例外,這些標準和供應商的大部分都致力於解決售後物聯網安全問題:提高網路對設備活動的可見度,加強設備固件對抗攻擊或實現設備之間的安全通信。然而,很少有針對物聯網設備安全缺陷的來源:製造商。作為一項規則,首先,快速和頻繁地進入市場是OEM的首要任務,並且在沒有諸如監管等限制的情況下,很難說服他們通過花更多的錢來降低(本來就很低的)利潤率,以獲得更強大的安全技術和流程。如果由於潛在的網路物理,拒絕服務和隱私風險而導致未能確保新興的物聯網世界抵禦現實威脅的自然結果變得非常低效,這些動態可能導致的真正意義上的市場失敗由於安全性差。
藉助Azure Sphere,微軟正試圖通過在三個不同方面開展工作來創造更高效的成果:與一群晶元製造合作夥伴共同構建價格合理,安全的硬體,能夠執行必要的安全功能;通過優先考慮安全性的專用操作系統;並通過Azure的雲基礎設施提供各種持續的安全服務。
微軟的解決方案
微軟的Azure Sphere計劃旨在為整個物聯網生態系統提供安全保護,從晶元到雲。它的三個組件包括一個安全MCU,能夠執行許多當前MCU不具備的許多安全功能; Azure Sphere OS,它基於內置安全特性的定製Linux內核構建;以及通過Azure雲提供的安全服務部分。
在MCU層面,該公司已經與ARM,聯發科技,恩智浦半導體和高通等晶元供應商建立了合作關係。聯發科技的MT3620預計將在2018年年底發布,並將於2018年年底發布,該產品將成為首個通過Sphere認證的MCU。晶元架構最好歸類為「混合MCU」,它結合了ARM Cortex的高性能應用處理能力- 具有Cortex-M系列實時嵌入式計算功能的家族,為執行關鍵安全功能提供必要的計算能力,同時最大限度地減少關鍵環境中的延遲。
Azure Sphere MCU還包含微軟稱為Pluton安全子系統的獨立組件。該組件包含一個專用CPU;用於安全啟動和密鑰生成的硬體隨機數生成器;密鑰存儲;以及各種加密引擎,如AES加密引擎,SHA散列引擎和公鑰引擎,以應用RSA和橢圓曲線密碼(ECC)。在此基礎上加密的操作引擎能夠同時執行多個加密引擎的操作。 Azure Sphere MCU中的安全功能遠遠超出了當前對IoT設備的預期。
在Azure Sphere認證MCU上運行的是Azure Sphere OS,它基於微軟開發的定製Linux內核,標誌著該公司發布的第一款非Windows操作系統。操作系統包含安全監視器,用於驗證設備通信和管理訪問的完整性,在端點和Azure安全服務之間建立安全連接的連接服務,以及在單個設備上運行多個隔離應用程序服務的應用程序容器。 Pluton安全子系統是免費向微軟的晶元合作夥伴授權的,Azure Sphere OS的代價是以10年許可證的形式傳遞給設備OEM,以便在設備的整個使用期內提供持續支持和定期軟體更新。
Azure Sphere的最終組件是由Azure雲提供的一組安全服務。這些服務包括微軟代理安全設備到設備和設備到雲通信的信任;管理證書生命周期;檢測並響應威脅;並自動向操作系統和應用程序發布軟體更新。 Azure Sphere OS許可證包含對安全服務的10年訂閱。微軟表示,它與雲計算無關,客戶可以將其設備連接到任何雲供應商的基礎設施以進行數據或其他操作,但其安全服務只能通過Azure提供。
微軟的戰略
Azure Sphere是微軟的一項重要投資,也是該公司迄今為止最有針對性的努力,以利用未來幾年物聯網設備的預期增長。 它為許可費用提供了多種新的收入來源以及為Azure Sphere認證設備提供的持續安全服務。 如果Azure Sphere也導致企業IoT採用速度加快,那麼該公司也可能從這些設備的雲計算和存儲需求增加中受益。 鑒於今天的多雲現實,微軟決定不限制企業使用Azure Sphere設備的Azure也應該有利於公司,前提是Azure Sphere的Azure特定方面不會疏遠那些主要使用其他雲提供商的方面。
競爭對手
Azure Sphere主要用於將IoT用例中的Microsoft與其他雲提供商區分開來,但它也使該公司與許多活躍於物聯網的安全廠商形成競爭。像亞馬遜和谷歌這樣的雲計算基礎設施競爭對手現在必須確定他們是否想要構建競爭對手的計劃,或者利用物聯網安全服務中的現有投資來吸引客戶,同時讓微軟管理Azure Sphere涵蓋的硬體和操作系統方面。 AWS已經具備了設置密鑰和證書的方法來對其基礎架構上的物聯網設備進行身份驗證,而Google的物聯網核心還允許用戶配置和管理憑據,並基於RSA和ECC演算法對設備進行身份驗證。
除了雲供應商之外,Azure Sphere可能會與Azure Sphere合作夥伴計劃以外的玩家爭奪最多,這些玩家將他們的產品定位為在物聯網設備上啟用基於硬體的信任根,從而實現安全引導,驗證固件更新,設備身份驗證或加密通信。但是,對於向售後市場中的企業出售安全設備的IoT安全廠商,Azure Sphere實際上可以為他們帶來推動力,如果這會導致企業加速物聯網部署。此類提供商包括涉及識別,分析和檢測企業環境中潛在有意義的安全異常的人員。
SWOT分析
關於 451 Research
451 Research 是全球領先的科技研究及諮詢機構。專註於具有市場顛覆力的科技創新,我們為數字經濟時代的領導者提供必需的獨特見解。通過分布在全球的超過350名員工,我們為全球範圍超過1,000家客戶提供獨立的研究報告,諮詢項目,及互動交流。成立於2000年,451 Research 總部位於紐約,是 451 Group 的下屬子公司。
TAG:451Research |