雲端供應商除見深入硬體層級以達到端對端 IoT 安全性

十多年前，當我開始使用雲端服務時，共置型專用伺服器是首選平台，而 IT 管理人員認為，這種雲端服務可儲存災難復原所需的備份，有朝一日或許能派上用場。

當時在 Amazon 首頁上，Amazon Web Services (AWS) 僅僅是深埋在「頭版」(或稱「第一視圖」，取決於您的時尚程度) 底下的連結，會引導到無比沈悶的 AWS 首頁，其中充滿一整個月的 AWS「最新消息」公告詳情 (圖 1)。

AWS 核心服務之一：Amazon Simple Queue Service (SQS) 可用來建立鬆散耦合的分散式系統，當時剛從測試版轉為公開上線；而 AWS 的旗艦級雲端運算服務 Amazon Elastic Compute Service (目前簡稱為 EC2)，當時則處於有限測試階段。喔，我們竟已經歷如此多的進展。儘管這段演進過程相當有趣，但下一階段的雲端平台服務為了迎合物聯網 (IoT) 的各種需求而不斷演進，相較之下以往的經歷真的不算什麼。

圖 1：儘管與早期相比已然快速演進，但雲端服務產品現在更進入新的階段，有望與 IoT 裝置緊密整合。(圖片來源：Internet Archive 別名 Wayback Machine)

嵌入式系統開發商所建置的資源受限型 IoT 終端節點，與硬派基礎架構專家所建置、在虛擬化資源上執行的雲端應用，兩者之間有著類似根本性的抗阻不匹配情況。表面上看，好像很簡單：只要加上適當的通訊堆疊，再透過相關 API 來互動即可。僅使用最少的幾個 REST 調用，將感測器資料推送到某個雲端架構端點，這能有多難呢？這幾乎不會構成問題。建構連線式系統相當容易，您可以找到許多看似簡單的連線式「智慧」產品設計。

不過如果只做到這裡，您可能會成為社交媒體的下一個爆紅人物，因為 IoT 裝置與雲端服務之間不匹配性，直到最近才在端對端安全性層面上明顯出現嚴重危險性。

遍及整個 IoT 應用層級 (從 IoT 終端節點到雲端式企業資源) 的安全性雖難以達成，但這往往並非首要考量。對於 IoT 而言，安全性的概念已經跟潛在機制 (如加密協定和驗證) 緊密結合，因此容易失去對整體應用的掌控，形成見樹不見林的現象。

事實上，有太多的安全裝置可供我們用於鎖定通訊、禁止未經授權的使用，並且減輕與日俱增的威脅。製造商針對 IoT 等容易受到攻擊的應用，已經例行性地在 MCU 中整合加密加速器以及安全晶片，以將威脅層面降至最低。即便如此，若在建構設計和應用時不夠關注整個 IoT 應用層級的整體安全應用架構，就算再謹慎的應用低層級安全機制，也可能導致嚴重的安全故障。

好消息是，雲端供應商目前能比以往深入到硬體層面，有助於消除雲端安全服務和裝置之間令人沮喪的不匹配情況。舉例來說，Microsoft 最近推出的 Azure Sphere 可將 Microsoft 的 Pluton 安全子系統整合到多家知名 Arm® 架構半導體製造商的多核設計中，包括 Nordic Semiconductor、NXP Semiconductors、Silicon Labs 和 STMicroelectronics，藉此強化裝置到雲端的安全性。

您無需等待 IoT 雲端演進到下一階段，便可以開始利用其優勢。AWS 已與 Microchip 攜手合作，以 Microchip Technology ATECC508A 安全裝置達到「零接觸」的安全部署。為了達到安全的系統操作，AWS 透過其在多個硬體平台上獲得認證的 Amazon FreeRTOS 即時作業系統，為 IoT 系統提供緊密的整合；這些平台包括：

• Microchip Curiosity PIC32MZ EF 開發板
• NXP LPC54018 IoT 模組
• STMicroelectronics STM32L4 探索套件 IoT 節點
• Texas Instruments CC3220SF-LaunchXL

Amazon FreeRTOS 與相關 AWS 服務可在這些平台上執行，可讓您更輕鬆地達成安全連線和支援安全韌體更新，這些對 IoT 終端節點和邊緣裝置的 IoT 生命週期操作至關重要 (圖 2)。

圖 2：Amazon Web Services (AWS) 以其專為簡化安全連線和韌體更新而設計的 Amazon FreeRTOS 深入延伸至 IoT 裝置平台中。(圖片來源：Amazon Web Services)

Google 也提出一種精細複雜的 IoT 連線方式，能將 Microchip ATECC608A 安全裝置與一種新穎方法結合，即可支援相互驗證，而無需傳統 TLS 驗證的常規開銷 (圖 3)。

圖 3：Google 利用 Microchip ATECC608A 安全 IC 和 JSON Web Token (JWT) 在 IoT 裝置與 Device Manager 雲端服務之間提供相互驗證，因此無需傳統 TLS 驗證的相關開銷。(圖片來源：Google)

以上特定品項僅僅是整合式產品的冰山一角，在半導體製造商與雲端服務供應商日益合作之下，將有更多可用的產品問世。將這些解決方案融入到更多種安全性原則中，就可有效避免產品成為負面新聞的主角。