筆者曾在2018年10月,介紹過微軟在IEEE HotChips 30正式公佈技術細節的Azure Sphere物聯網雲端安全技術。經過長達2年的規劃與測試,Azure Sphere在2020年2月24日正式上線,但在這之前,就早已有客戶陸續導入,如在2019年5月在北美門市佈署Azure Sphere的星巴克。
硬科技:透過打造晶片提昇網路安全的微軟Azure Sphere與Google Titan
Azure Sphere是一個物聯網 (IoT) 安全生態系統,包含3項元素:由微軟設計整合Pluton晶片安全技術的微控制器 (MCU)、以Linux為核心開發的Azure Sphere作業系統,以及結合Azure雲端的安全雲服務Azure Sphere,「三位一體」管理所有採用Azure Sphere認證MCU的裝置,提供裝置安全威脅監控與軟體更新。
「基於硬體的信任根源」微軟Pluton安全技術,說穿了就是類似IPMI BMC或vPro iAMT的頻外 (OOB, Out-Of-Band) 管理輔助處理器 (講的白話一點,當系統關機時也可進行遠端管理作業),包括安全處理器內核、加密引擎、硬體隨機數生成器、公共/專用密鑰生成、非對稱和對稱加密、支援用於安全啟動的橢圓曲線數位簽名演算法 (ECDSA, Elliptic Curve Digital Signature Algorithm) 驗證、以及晶片中的實測啟動,以對應遠端雲服務的證明以及各種抗篡改對策。
第一顆通過Azure Sphere認證的MCU,是微軟和聯發科 (MTK) 合作的MT3620,自問世以來已有數種產業的客戶採用這顆MCU,來生產支援Azure Sphere的硬體裝置,以及可應用在關鍵任務設備,以便確保安全連網的「守護者模組 (Guardian Module)」。半導體業者也陸續加入研製Azure Sphere認證晶片,包括ST Micro在2018年的新款STM32、NXP (前Freescale) 在2019年6月發表的下一代系統單晶片i.MX8、和Qualcomm在2019年10月發布的LTE多模數據機晶片9205。
台灣的工業級SSD廠商宜鼎(Innodisk) 的InnoAge與工業電腦廠商友通 (DFI) 的RemoGuard,也都是基於微軟Azure Sphere的遠端IoT管理維護系統,當SSD維持正常運行時,可不限次數的還原受損的作業系統分割區,並預測SSD的使用壽命,在適當的時機進行超前佈署的更換。
回到實際的應用場景,各位科科會更加的有感。文青們最愛去的星巴克,在2019年5月於北美的門市部署了Azure Sphere,透過內建聯發科MT3620的監控模組,從咖啡機、研磨機到攪拌機等,讓每家店內的大量連網設備與雲端進行安全傳輸,並能夠自雲端直接傳送咖啡配方到這些機器上。各位科科如果有興趣,可以瞧瞧微軟官方的介紹影片。
Watch: Azure Sphere + Starbucks on stage at Ignite 2019
那各位科科一定會有疑問:平常這些物聯網終端設備用的好好的,幹嘛沒事還要透過一朵雲進行安全監控和軟體更新?這些可能看起來像是簡單的日常場景,經過人工智慧,可以為星巴克每週超過1億的客戶提供無縫的個人化服務。星巴克為每次沖泡的咖啡收集了12種資料欄位,從使用的咖啡豆類型到咖啡的溫度和水質等等,每8個小時便生成超過5MB的資料並送上雲端,這些都成為藉由深度學習,分析不同客戶需求以提供個人化服務的基礎。
另外,每個星巴克商店都有10種以上設備,從咖啡機到研磨機和攪拌機,每天必須運行約16個小時。這些設備中的任何故障,都可能意味著需要派人到現場服務,從而增加了維修成本。更重要的是,設備問題可能會干擾星巴克的主要目標:提供始終如一的高品質客戶體驗。微軟與星巴克透過守護者模組,將各種咖啡設備連接到Azure Sphere,以安全地整合資料並主動識別機器可能即將發生的問題。
順便一題,這也是5G行動網路對IoT特別有意義的主因:除了更高的安全性,5G更大的上傳頻寬,讓龐大的終端設備能夠更加迅速的將資料傳送到雲端。
萬物互聯的時代帶來更嚴苛的安全考量,由微軟發起的物聯網生態系統也許進入你我生活的腳步會比我們預想的還要快,甚至搞不好早已成為現實,只是大家都渾然不知。科科。
1 則回應