為提升IoT裝置設計、部署安全,雲端業者除陸續訂定相關準則供上、中、下游產業鏈參考之外,同樣也提供技術支援,微軟物聯網亞太創新中心總經理葉怡君表示,以往產品設計多是先求有再求好,安全並非是第一考量,很少有人會在產品設計或是推出之時,指出產品的「不安全」;對於OEM、ODM業者來說,當還沒有任何消費者的「使用反饋」,就直接指出產品安全堪慮是有點「掃興」的。
然而,近幾年創新技術紛起,像是臉部辨識、物聯網、智慧監控等,這些應用開始跟消費者自身隱私息息相關,於是,消費者開始在意個資保護,IoT安全防護需求因而開始提升。除了消費者隱私保密意識興起外,頻繁的資安攻擊事件也是推力之一,例如時常聽到某些明星被駭,雲端儲存私密照片被駭客破解後四處傳送;又或是之前鬧得沸沸揚揚的台積電機台中毒事件,更讓消費者或企業體會到資訊防護重要性。
葉怡君指出,例如工廠機台中毒、雲端遭駭使得個人私密資料外流等新聞層出不窮,加上歐盟發布「一般資料保護規則(GDPR),讓消費者和企業主的安全意識逐漸高漲,對於產品安全要求上開始從以往的「有就好」,慢慢轉向「高安全、高防護」。因為在IoT時代,到處都有聯網設備,而任何一個點都有機會成為駭客攻擊的目標。
因應此一趨勢,微軟提供雲到端的技術支援。在雲端方面,微軟備有Microsoft Azure IoT平台,該平台結合了持續成長的整合式雲端服務(分析、機器學習服務、儲存體、安全性、網路功能及Web),為資料提供保護與隱私權。同時,Microsoft的模擬缺口策略會透過由軟體安全性專家組成的專屬「紅隊」,來模擬攻擊、測試要偵測的Azure能力、防範新興威脅,以及從缺口中復原。
此外,微軟的系統能提供持續的入侵偵測與防護、阻斷服務攻擊防護、一般滲透測試,以及可協助識別及緩解威脅的法務工具。Multi-Factor Authentication可為存取網路的使用者提供額外的安全性層級。 此外,針對應用程式和主機提供者,微軟會提供存取控制、監視、反惡意程式碼、弱點掃描、修補程式及組態管理。
至於終端方面,微軟推出強化MCU聯網安全的Azure Sphere方案。微軟Azure Sphere總經理Galen Hunt表示,MCU可說是小型裝置的腦袋,其裝載著運算、儲存、記憶體與作業系統等資源,估計每年內建MCU的裝置部署數量超過90億台,雖然目前僅有少數的裝置連網,但不出幾年,所有的裝置都將具備連網MCU。
而Azure Sphere結合微軟在雲端、軟體及裝置技術方面的專業知識,提供實作安全性的獨特方法,從晶片開始並擴充到雲端。換言之,經由Azure Sphere認證的MCU將內建聯網能力和Microsoft Pluton安全技術,並執行微軟所設計的Azure Sphere OS,再連結至微軟的Azure Sphere安全雲端服務,以管理所有Azure Sphere裝置的服務,處理裝置與裝置之間,或是裝置與雲端之間的通訊,可藉由線上故障報告監控所有的安全威脅,還可藉由軟體更新升級安全功能。
葉怡君說明,推出Azure Sphere不代表微軟要開始賣MCU,因微軟專長還是在於軟體和雲端服務,因此仍須跟硬體設計業者合作,例如聯發科、NXP等。Azure Sphere目的在於讓產業能有個「參考設計示範」,因為MCU研發涵蓋許多層面,不是每個業者都有能力自行設計既安全又高效的產品,而Azure Sphere可節省開發複雜度和時間。
葉怡君指出,要確保雲到端的安全性,需要有一個整體的解決方案;同時,雲端業者除了提供技術支援外,也同時扮演一個領頭羊的角色。以微軟為例,有了從雲到端的整體解決方案,意味著微軟相當重視IoT安全,也讓企業主、客戶和消費者理解到安全的重要性。
