傳統(tǒng)的嵌入式開發(fā)已經(jīng)死了。孤立的計(jì)算孤島的概念不再相關(guān)，相反，所有應(yīng)用程序都應(yīng)該被視為“邊緣處理”，無論是粗細(xì)還是粗細(xì)，回到集中處理資源進(jìn)行分析?；蛘咧辽龠@是最近幾個(gè)月在整個(gè)行業(yè)中傳播的理論。隨著應(yīng)用程序從傳統(tǒng)嵌入式設(shè)備快速過渡到面向云的邊緣計(jì)算節(jié)點(diǎn)，本文探討了必須如何改變這種方法，以解決將云連接集成到開發(fā)和制造過程中的日益增長的需求，并創(chuàng)建無縫的安全供應(yīng)鏈用于物聯(lián)網(wǎng) (IoT)。

現(xiàn)實(shí)當(dāng)然更加微妙和分散，嵌入式市場需要多年時(shí)間才能整合新概念，并且對數(shù)十年來對flash-in-the-pan技術(shù)的承諾支持幾乎沒有興趣。然而，有一個(gè)明確的現(xiàn)實(shí)是，我們的許多嵌入式系統(tǒng)正在從斷開的孤島過渡到邊緣計(jì)算，這推動(dòng)了性能要求、通信堆棧集成、人工智能/機(jī)器學(xué)習(xí) (AI/ML) 以及許多下一代應(yīng)用程序的其他功能。

這種連接過渡正在推動(dòng)消費(fèi)者、工業(yè)和關(guān)鍵國家基礎(chǔ)設(shè)施市場所需的安全要求和合規(guī)框架，因?yàn)槊總€(gè)連接也是系統(tǒng)的攻擊媒介。

有許多文章專門討論與面向邊緣的計(jì)算相關(guān)的好處和挑戰(zhàn)、資源應(yīng)該放在哪里、數(shù)據(jù)應(yīng)該在哪里進(jìn)行預(yù)處理以及處理程度。確定性和滯后性、系統(tǒng)可用性和對中斷的魯棒性之間的平衡也是一個(gè)關(guān)鍵決定，尤其是在 2021 年 10 月發(fā)生重大社交媒體中斷的影響之后，一旦 DNS 缺陷暴露，許多連接的設(shè)備就無法成功運(yùn)行。然而，這些主題中有許多是特定于應(yīng)用程序的，雖然更好的工具可以提供幫助，但最終這些都是由成本、上市時(shí)間和復(fù)雜性驅(qū)動(dòng)的設(shè)計(jì)決策。

從開發(fā)人員的角度來看，云連接是一個(gè)令人頭疼的問題，部分原因是安全性和連接性集成了許多不同的概念，部分原因是客戶的需求在不斷變化。“云連接”的簡單挑戰(zhàn)迅速分解為對安全通信堆棧、信任根和身份挑戰(zhàn)、證書注入、安全啟動(dòng)和更新機(jī)制以及無數(shù)其他需求的需求。

然而，這只是開發(fā)人員方面的問題，對于生產(chǎn)、設(shè)備服務(wù)和企業(yè)來說，其他類似規(guī)模的挑戰(zhàn)仍然存在。對于企業(yè)而言，圍繞生命周期支持、漏洞披露和更新管理的新立法挑戰(zhàn)帶來了商業(yè)模式挑戰(zhàn)，不再需要“一勞永逸”的銷售和運(yùn)輸。對于設(shè)備服務(wù)而言，最終集成到客戶的安全運(yùn)營中心 (SOC) 中的需求至關(guān)重要，需要提供正式的身份驗(yàn)證和可衡量的機(jī)密性、完整性和可用性方面的安全性。

生產(chǎn)是云和安全集成的一個(gè)特別具有挑戰(zhàn)性的方面，影響著面向同質(zhì)和可重復(fù)制造的系統(tǒng)，需要真正唯一的加密身份確保每個(gè)身份都是普遍唯一的，同時(shí)仍然具有標(biāo)準(zhǔn)證書結(jié)構(gòu)，例如基于 x.509 證書. 通過確保這些身份是云就緒的，并且設(shè)備能夠被載入用戶想要的任何云計(jì)算網(wǎng)絡(luò)，這一挑戰(zhàn)進(jìn)一步加劇。

許多云供應(yīng)商都強(qiáng)調(diào)這種入職是他們和客戶流程中最大的痛點(diǎn)，也是 CISO（首席信息和安全官）將物聯(lián)網(wǎng)設(shè)備集成到內(nèi)部網(wǎng)絡(luò)的最大挑戰(zhàn)。事實(shí)上，為確保足夠的身份、所有權(quán)和明確的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而進(jìn)行的配置是物聯(lián)網(wǎng)在工業(yè)、交通運(yùn)輸和基礎(chǔ)設(shè)施應(yīng)用中興起的最大單一障礙。

為了解決具有差異化身份和信任根的同質(zhì)制造的生產(chǎn)問題，有兩種主要選擇。

首先是集成一個(gè)單獨(dú)的 SIM（用戶身份模塊），就像在手機(jī)中看到的那樣。但是，這確實(shí)需要集成 SIM 卡，但存在尺寸和后勤問題，或者需要實(shí)施 iSIM（集成 SIM），這需要在硅片中內(nèi)置額外的處理器，具有特定的成本影響。

另一種方法是使用強(qiáng)大的安全啟動(dòng)管理器 (SBM) 簡單地鎖定設(shè)備，以確保設(shè)備上運(yùn)行的所有代碼都已安全生成和注入，并具有強(qiáng)大的代碼身份驗(yàn)證。這樣做的好處是影響成本低，使用少量內(nèi)存來擴(kuò)展啟動(dòng)過程，以及更廣泛的設(shè)備可用性，包括當(dāng)今使用的許多流行設(shè)備，確?？焖俟こ滩捎煤秃唵蔚陌l(fā)布周期。該解決方案的靈活性支持希望擁有設(shè)備身份的組織的自簽名證書結(jié)構(gòu)，或希望外包的第三方證書框架。

將設(shè)備連接和載入云可能是目前行業(yè)面臨的最大挑戰(zhàn)，主要是由于合作伙伴和設(shè)備類型的數(shù)量。通過利用如上所述的擴(kuò)展流程，現(xiàn)在可以為 Microsoft Azure 設(shè)計(jì)和配置“云就緒”。（來源：Secure Thingz）

今天展示的解決方案利用了 SBM 方法，確?？梢院唵蔚卦O(shè)計(jì)大量設(shè)備以提高安全性，并為 Azure 云連接注入標(biāo)準(zhǔn)證書。該證書框架使開發(fā)人員能夠快速設(shè)計(jì)數(shù)百萬臺(tái)設(shè)備以生產(chǎn)具有唯一身份的設(shè)備，然后確保將這些憑據(jù)簡單地放入 Azure 云服務(wù)中。這確保了生產(chǎn)的所有設(shè)備都被識(shí)別到云中，確保 Azure 服務(wù)了解 OEM 供應(yīng)商和設(shè)備功能；并確保最終用戶確信設(shè)備易于集成，設(shè)備已正確生產(chǎn)，并且設(shè)備已作為安全供應(yīng)鏈的一部分發(fā)布，從而降低了采購風(fēng)險(xiǎn)和集成成本。

如前所述，從根本上說，這種面向云的新流程建立在現(xiàn)有開發(fā)流程的基礎(chǔ)上，這些流程與當(dāng)今的主要合作伙伴和客戶一起運(yùn)作，并利用了標(biāo)準(zhǔn)的行業(yè)生產(chǎn)機(jī)制。這意味著該解決方案對現(xiàn)代生產(chǎn)流程的影響幾乎為零，可通過主要電子元件分銷商獲得，并可通過各種設(shè)備訪問。設(shè)備數(shù)量沒有上限或下限，確保簡單原型和早期市場采用到大批量應(yīng)用的簡單上市途徑。

這是 IAR Systems 公司 Secure Thingz 所采用的方法，它與 Microsoft Azure 合作實(shí)現(xiàn)了這一新功能，以實(shí)現(xiàn)云配置和入職。如前所述，這可以實(shí)現(xiàn)快速開發(fā)、批量制造和集成更新管理。這實(shí)質(zhì)上為安全配置技術(shù)提供了有價(jià)值的擴(kuò)展，使組織能夠輕松地將他們的設(shè)備整體集成到云中，從而為客戶和云服務(wù)消除未知設(shè)備的傳統(tǒng)入職挑戰(zhàn)。

總而言之，將設(shè)備連接和載入云可能是目前行業(yè)面臨的最大挑戰(zhàn)，主要是由于合作伙伴的數(shù)量和設(shè)備類型。通過利用如上所述的擴(kuò)展流程，現(xiàn)在可以為 Microsoft Azure 設(shè)計(jì)和配置“云就緒”，降低開發(fā)成本，減少客戶集成挑戰(zhàn)，并消除與向網(wǎng)絡(luò)添加設(shè)備相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

審核編輯 黃昊宇