De wondere wereld van internet of things (iot) is booming en beperkt zich niet langer tot voor de hand liggende voorbeelden als de router en de smart-tv. Thermostaten, beveiligingscamera’s, auto’s, maar ook medische apparatuur en industriële regeleenheden: overal wordt elektronica verbonden met het internet. De definitie van iot stelt dat deze ‘dingen’, in tegenstelling tot traditionele computers, niet meer direct door mensen bediend worden. Plug and forget. En juist daar schuilt gevaar: er hoeft niet naar omgekeken te worden, waardoor men vaker dan eens vergeet dat ze er zijn.
Elke dag worden embedded systems kleiner en slimmer. Ze maken ons productiever dan ooit. Helaas leidt de razendsnelle ontwikkeling tot beangstigende compromissen. Fabrikanten proppen meer en meer in hetzelfde stukje silicium. Flitsende functionaliteit gaat al snel ten koste van de minder gemakkelijk te verkopen features: beveiligingsmaatregelen. Met de slachtoffers die de Mirai-malware maakte in het achterhoofd kunnen we er echter niet omheen dat beveiliging voor iot-devices, zéker anno 2020, geen overbodige luxe is.
Modern internet
‘A cauldron of evil’, zo citeerde dr. Galen Hunt een collega bij Microsoft in zijn beschrijving van het moderne internet. Hunt publiceerde in 2017 een artikel waarin hij de – volgens Microsoft Research – belangrijkste ‘properties of secure devices’ definieert. Een jaar na deze eerste iot-flirt kondigde het bedrijf uit Redmond aan dat het bezig was met de ontwikkeling van het Azure Sphere-programma, waarmee het een complete oplossing biedt voor het aanpakken van iot-beveiliging. Als grote speler in de wereld van server-infrastructuur en cloud-hosting heeft Microsoft historisch altijd een aardige vinger in de internet-pap gehad, maar met iot had de softwaregigant zich nooit eerder openbaar beziggehouden. Toeval of niet, met het nieuwe Azure Sphere kunnen ontwikkelaars en eigenaren hun iot-producten zonder veel kennis van security laten voldoen aan alle zeven door Microsoft Research verkondigde ‘properties of secure devices’.
Met Azure Sphere biedt Microsoft een driekoppige totaaloplossing: een Azure Sphere-gecertificeerd system-on-chip (soc) in samenwerking met partner-chipfabrikanten als hardware-platform, Microsoft’s eigen Linux-gebaseerde besturingssysteem Azure Sphere OS, en – zoals de naamgeving doet vermoeden – een Azure-gebaseerde clouddienst die onder andere ervoor zorgt dat Azure Sphere-devices constant voorzien zijn van de laatste beveiligingstechnologie en -updates. In de vorm van dit pakket verkoopt Microsoft een software-as-a-service (SaaS)-dienst samen met bijbehorende chip, waarmee het bedrijf voet aan de grond hoopt te krijgen in iot-land.
Het Azure Sphere OS-besturingssysteem biedt een veilige basis waarop ontwikkelaars eenvoudig nieuwe applicaties kunnen implementeren. High-level applicaties kunnen in een afgeschermde container gedraaid worden en er is ook gedacht aan toepassingen waarvoor eigenschappen van een realtime besturingssysteem vereist zijn. Deze realtime applicaties kunnen op aparte realtime-processorkernen worden uitgevoerd, vanaf waar veilig gecommuniceerd kan worden met Azure Sphere OS.
De Azure Sphere security service (as3) is de clouddienst waarmee alle Sphere-apparaten verbinden. As3 garandeert een veilige verbinding tussen een device en eventuele verdere clouddiensten, waarbij de identiteit van het iot-apparaat wordt gewaarborgd. De service fungeert als controlecentrum en zorgt ervoor dat apparaten up-to-date zijn. Daarnaast wordt as3 gebruikt voor het controleren van de integriteit van de uitgevoerde code en staat daarmee garant voor ‘secure boot’ van de Azure Sphere-hardware.
Specifieke hardware
Om de vele beveiligingsfeatures die Azure Sphere biedt te ondersteunen is specifieke hardware vereist. Zo is het beveiligingsmodel gebouwd rond een toegewijd security-subsysteem in hardware, dat onder andere de beschikking heeft over een speciale processorkern voor kritische beveiligingstaken. In samenwerking met chipfabrikanten zijn de eerste gecertificeerde soc’s al enige tijd op de markt. Mediatek kreeg de primeur met de ARM Cortex A7-gebaseerde MT3620. Deze soc wordt door Microsoft in haar totaaloplossing verkocht, die inclusief support tot 2031 voor ‘minder dan 8,65 dollar’ over de toonbank mag. Ondanks dat Microsoft het product pas eind februari dit jaar officieel vrijgaf voor het grote publiek, zijn ook ontwikkeltools goed verkrijgbaar: zo is een MT3620-ontwikkelboard voor iets minder dan vijftig euro door iedereen te bestellen. Naast Mediatek zijn meerdere grote spelers aangehaakt: in de zomer van afgelopen jaar kondigde NXP aan dat haar nieuwe i.MX 8-platform ondersteuning zou bieden voor Azure Sphere en niet veel later bleek ook telecomgigant Qualcomm een ondersteunde chip op de markt te brengen.
Naast ontwikkelaars van nieuwe producten heeft Microsoft ook gedacht aan organisaties die, ondanks dat ze het beveiligingsrisico onderkennen, om praktische redenen niet kunnen of willen afstappen van bestaande, kwetsbare apparatuur. Voor deze toepassing biedt Azure Sphere de zogenaamde Guardian module, een hardware-module ter grootte van een spel kaarten die gebouwd is rond een Azure Sphere-chip. Deze module fungeert als veilige gateway tussen de kwetsbare hardware en het internet, waardoor Azure Sphere ook toegepast kan worden op bestaande apparaten. Dit maakt Azure Sphere ook voor toepassingen die sterk afhankelijk zijn van legacy apparatuur, zoals die binnen medische en industriële omgevingen veel voorkomen, potentieel interessant.
Zeker niet iedereen zal direct ervan overtuigd zijn dat Microsoft met Azure Sphere de perfecte oplossing biedt. Zal Microsoft het gebruik van Azure als algemene clouddienst afdwingen? Het feit dat de as3-clouddienst gebruikt wordt om secure boot te garanderen, roept de vraag op of het product wel geschikt is voor gebruik binnen kritieke omgevingen. Wat gebeurt er als er tijdelijk geen internetverbinding beschikbaar is? Betekent dit dat de hardware de integriteit van de uitgevoerde code niet langer kan controleren, of zelfs überhaupt niet kan starten? Willen we dat samples van de (privacy-)gevoelige gegevens die onze apparatuur verwerkt ter analyse naar Microsoft worden gestuurd? Het automatisch installeren van updates ontlast beheerders weliswaar van tijdrovend werk, maar betekent dit dat Microsoft zonder enige vorm van toestemming of controle onbekende functies kan installeren op apparatuur die onze gevoelige gegevens verwerkt?
Kortom, Microsoft biedt met Azure Sphere een goed doordachte totaaloplossing voor iot-ontwikkelaars die veilige producten op de markt willen brengen, maar niet de vereiste kennis of budget voor een one-off oplossing hebben. Dat is op het eerste gezicht zo’n gek idee nog niet: Microsoft is een ervaren speler op security-gebied. De sterke afhankelijkheid van de Azure-clouddienst zal echter naar verwachting voor veel geïnteresseerde partijen tot vraagtekens en discussies leiden.
Jim Aspers, security analist bij Secura
