Azure Sphere
恩智浦通過微軟Azure Sphere認證 簡化軟體開發步驟
恩智浦半導體(NXP)日前與微軟(Microsoft)合作,導入微軟Azure RTO即時作業系統(real-time operating system, RTOS),拓展EdgeVerse解決方案平台的執行範圍。雙方合作將提供使用恩智浦 MCUXpresso軟體開發與工具的社群存取Azure RTOS系統,可以套用平台上文件管理、圖形使用者介面、資安、網路與有線/無線連接等功能。
圖 恩智浦半導體與微軟合作,導入微軟Azure RTO的即時作業系統。來源:微軟
Azure RTOS已經可以支援恩智浦的32位元LPC微控制器(MCU)及i.MX RT系列等多項低功耗晶片。為了擴大與微軟的合作關係,恩智浦開放MCUXpresso的軟體開發工具(SDK)存取Azure RTOS系統,藉以支援更多元的MCU系列產品。此次的全面性整合達到簡化軟體開發步驟的目標,例如選擇適合的處理器、研發並部屬安全的邊緣運算智慧裝置、建構安全的區域網路(Local Area Network, LAN)和連接雲端。恩智浦的處理器與微軟作業系統之整合,可望降低軟體開發成本,並加速物聯網邊緣運算裝置推向市場。
針對Azure Sphere作業系統的安全性與認證機制,微軟Azure Sphere首席產品規劃師Josh Nash曾表示,安全是物聯網應用的前提,因此微軟在設計Azure Sphere作業系統時,對物聯網安全做了通盤考量,除了將各種安全功能內建到作業系統中,也僅有通過Azure Sphere認證的微處理器晶片才能執行Azure Sphere。第一款通過驗證的微處理器是由聯發科提供的MT3620,隨後為恩智浦(NXP)宣布其MCUXpresso的軟體開發套件(software development kit, SDK),未來高通(Qualcomm)等晶片大廠也會針對不同應用市場推出通過Azure Sphere驗證的處理器產品。
因應物聯網布建三大挑戰 微軟/宜鼎連手提對策
物聯網正在逐漸改變企業與社會運作的方式,但同時也帶來三大挑戰。萬物聯網固然創造出許多新的應用,提高了便利性跟效率,但無處不在的聯網設備,也對物聯網系統的管理者帶來資訊安全、裝置管理與後續維修服務的問題。有鑑於此,微軟(Microsoft)與工業儲存業者宜鼎攜手合作,推出基於Azure Sphere的固態硬碟解決方案,在確保資安的前提下,讓物聯網管理者有更多工具來因應物聯網設備大量布建所帶來的難題。
物聯網規模膨脹帶來遠端管理/維護難題
宜鼎國際董事長簡川勝指出,物聯網正在快速滲透到人們生活的各個領域,從工控市場起家的宜鼎,也感受到工業物聯網(IIoT)的強勁需求。但隨著物聯網節點的數量急速成長,加上布建場域可能極為分散,如何有效確保物聯網系統的資訊安全,簡化管理作業與降低後續維護成本,已經是業界共同面臨的挑戰。
宜鼎國際董事長簡川勝表示,目前物聯網實施的最大挑戰之一,就在於如何管理、維護分散在全球各地,數量龐大的邊緣設備。
從宜鼎的角度來看,萬物智慧化與邊緣運算概念的興起,為物聯網大量布署所衍生出的問題提供了解答。為了讓節點裝置變成智慧裝置,硬體必然要搭載功能更完整的作業系統,應用開發者才能開發出各種智慧應用;而作業系統的存在,則會使得固態硬碟(SSD)在各垂直產業的普及率跟著上升。這為物聯網裝置管理帶來契機,因為智慧化設備可允許使用者透過遠端管理機制來管理這些分散各地的節點設備。
舉例來說,現在生活周遭四處可見的數位看板、便利商店裡的Kiosk,本質上都是工業電腦與物聯網的應用,而大家想必都看過這類設備故障、甚至系統當機的情況。在沒有遠端管理功能的情況下,物聯網管理者往往得等到現場工作人員通報,才知道設備出狀況。有了遠端管理之後,管理者可以在第一時間就知道設備出狀況,並嘗試進行遠端維護。
但這是不夠的,如果作業系統已經整個當掉,現有的遠端維護功能將無法運作,得派出維修人員到現場才能解決。因為遠端管理是應用程式,在作業系統已經當機的情況下,應用程式將無法運作。
OOB技術結合Azure Sphere 系統維運成本可望降低
針對這類遠端管理跟維護問題,目前的科技是有辦法解決的,例如伺服器主機板上的主機板管理控制器(BMC),就是用來處理這類問題。但對許多物聯網裝置來說,BMC是太過昂貴的解決方案。
因此,宜鼎決定跟微軟合作,將Out-of-Band(OOB)管理功能整合到宜鼎的SSD產品中,這樣一來,即便作業系統已經當機了,管理者還是可以透過網路直接對遠端硬體下達重開機或其他復原指令,讓設備恢復正常運作。
這是一個很方便,但實作上必須十分謹慎的功能,因此在這個SSD系統中,除了SSD控制器之外,還額外添加了一顆通過微軟Azure Sphere安全認證的晶片,來執行OOB管理。這顆晶片有獨立的I/O跟網路連線功能,並內建微軟提供的安全機制。此外,Azure Sphere晶片只負責跟系統管理有關的控制功能,不會存取到儲存在SSD裡面的資料,因此可讓使用者在資安無虞的情況下使用OOB管理功能。
微軟Azure Sphere首席產品規劃師Josh Nash表示,安全是物聯網應用的前提,因此微軟在設計Azure Sphere作業系統時,對物聯網安全做了通盤考量,除了將各種安全功能內建到作業系統中,也僅有通過Azure Sphere認證的微處理器晶片才能執行Azure Sphere。目前第一款通過驗證的微處理器是由聯發科提供的MT3620,接下來恩智浦(NXP)、高通(Qualcomm)等晶片大廠,也會針對不同應用市場推出通過Azure Sphere驗證的處理器產品。
據知情人士透露,恩智浦最高階的嵌入式處理器i.MX8系列,將有部分會通過Azure Sphere驗證,至於高通的情況,目前則尚不明朗。
從雲端到終端 微軟積極布局IoT資安防禦
為提升IoT裝置設計、部署安全,雲端業者除陸續訂定相關準則供上、中、下游產業鏈參考之外,同樣也提供技術支援,微軟物聯網亞太創新中心總經理葉怡君表示,以往產品設計多是先求有再求好,安全並非是第一考量,很少有人會在產品設計或是推出之時,指出產品的「不安全」;對於OEM、ODM業者來說,當還沒有任何消費者的「使用反饋」,就直接指出產品安全堪慮是有點「掃興」的。
然而,近幾年創新技術紛起,像是臉部辨識、物聯網、智慧監控等,這些應用開始跟消費者自身隱私息息相關,於是,消費者開始在意個資保護,IoT安全防護需求因而開始提升。除了消費者隱私保密意識興起外,頻繁的資安攻擊事件也是推力之一,例如時常聽到某些明星被駭,雲端儲存私密照片被駭客破解後四處傳送;又或是之前鬧得沸沸揚揚的台積電機台中毒事件,更讓消費者或企業體會到資訊防護重要性。
葉怡君指出,例如工廠機台中毒、雲端遭駭使得個人私密資料外流等新聞層出不窮,加上歐盟發布「一般資料保護規則(GDPR),讓消費者和企業主的安全意識逐漸高漲,對於產品安全要求上開始從以往的「有就好」,慢慢轉向「高安全、高防護」。因為在IoT時代,到處都有聯網設備,而任何一個點都有機會成為駭客攻擊的目標。
因應此一趨勢,微軟提供雲到端的技術支援。在雲端方面,微軟備有Microsoft Azure IoT平台,該平台結合了持續成長的整合式雲端服務(分析、機器學習服務、儲存體、安全性、網路功能及Web),為資料提供保護與隱私權。同時,Microsoft的模擬缺口策略會透過由軟體安全性專家組成的專屬「紅隊」,來模擬攻擊、測試要偵測的Azure能力、防範新興威脅,以及從缺口中復原。
此外,微軟的系統能提供持續的入侵偵測與防護、阻斷服務攻擊防護、一般滲透測試,以及可協助識別及緩解威脅的法務工具。Multi-Factor Authentication可為存取網路的使用者提供額外的安全性層級。 此外,針對應用程式和主機提供者,微軟會提供存取控制、監視、反惡意程式碼、弱點掃描、修補程式及組態管理。
至於終端方面,微軟推出強化MCU聯網安全的Azure Sphere方案。微軟Azure Sphere總經理Galen Hunt表示,MCU可說是小型裝置的腦袋,其裝載著運算、儲存、記憶體與作業系統等資源,估計每年內建MCU的裝置部署數量超過90億台,雖然目前僅有少數的裝置連網,但不出幾年,所有的裝置都將具備連網MCU。
而Azure Sphere結合微軟在雲端、軟體及裝置技術方面的專業知識,提供實作安全性的獨特方法,從晶片開始並擴充到雲端。換言之,經由Azure Sphere認證的MCU將內建聯網能力和Microsoft Pluton安全技術,並執行微軟所設計的Azure Sphere OS,再連結至微軟的Azure Sphere安全雲端服務,以管理所有Azure Sphere裝置的服務,處理裝置與裝置之間,或是裝置與雲端之間的通訊,可藉由線上故障報告監控所有的安全威脅,還可藉由軟體更新升級安全功能。
葉怡君說明,推出Azure Sphere不代表微軟要開始賣MCU,因微軟專長還是在於軟體和雲端服務,因此仍須跟硬體設計業者合作,例如聯發科、NXP等。Azure Sphere目的在於讓產業能有個「參考設計示範」,因為MCU研發涵蓋許多層面,不是每個業者都有能力自行設計既安全又高效的產品,而Azure Sphere可節省開發複雜度和時間。
葉怡君指出,要確保雲到端的安全性,需要有一個整體的解決方案;同時,雲端業者除了提供技術支援外,也同時扮演一個領頭羊的角色。以微軟為例,有了從雲到端的整體解決方案,意味著微軟相當重視IoT安全,也讓企業主、客戶和消費者理解到安全的重要性。