Azure Sphere gør det nemmere at håndtere dine IoT-enheder sikkert

IoT er i rivende udvikling og derfor gør vi alt for at holde os helt up-to-date med teknologien. Vi deltog med to mand på et tredages kursus hos Microsoft, for at blive endnu klogere på den seneste udvikling af Azure Sphere.

Mathias Immerkær
Software engineer

IoT er i rivende udvikling og derfor gør vi alt for at holde os helt up-to-date med teknologien. Vi deltog med to mand på et tredages kursus hos Microsoft, for at blive endnu klogere på den seneste udvikling af Azure Sphere.


Der produceres mere end 9 milliarder microcontrollers (MCU) hvert år. De findes i stort set alt elektronik omkring os. Men mindre end 1% af de producerede MCU’er er forbundet til Internettet. De er således lukkede systemer, hvor det ikke er muligt at integrere og interagere med dem på en smart måde. Hvis det var muligt, kunne mange industrier transformeres på samme måde, som vi ser med den generelle digitalisering. Det ville åbne for nye forretningsmodeller og give forbrugerne helt nye muligheder og oplevelser.

Selvom det ikke er i alt elektronik, der er behov for MCU’er, som kan forbindes til internettet, var det dét, vi var ude at bliver klogere på her. -Og den løsning der, i nærmest alle tilfælde skal laves, er at forbinde internet/netværk og hardware. Det kan muligvis lyde trivielt, men det er dog ikke så lige til alligevel…

Der er nemlig en kæmpe risiko forbundet med at koble hardware til Internettet. Der har de seneste år været mange sager, hvor IoT enheder er blevet kompromitteret og misbrugt. Nu er det heldigvis blevet meget nemmere at håndtere med Azure Sphere.

Azure Sphere er en end-to-end løsning, der sikrer IoT enheder. På et konceptuelt niveau består den af tre elementer:

  • Azure Sphere Certified Chips

  • Azure Sphere OS

  • Azure Sphere Security Service

Tilsammen dækker elementerne over syv egenskaber, som er vigtige for at sikre enhederne. Disse egenskaber dækker både software og hardware, og er godt beskrevet i Microsofts artikel Seven Properties of Highly Secure Devices.

Azure Sphere Certified Chips er MCU’er som følger Microsofts anvisninger. Disse er tilgængelige fra en række fabrikanter. Formålet er at etablere et hardware-lag, som man har tillid til og hver chip bliver tildelt et unik ID, når den bliver produceret. Faktisk bygger hele Azure Sphere løsningen på certifikat-baseret sikkerhed. En privat nøgle er gemt i enheden og kombineret med den offentlige nøgle fungerer det som dens unikke ID.

For at sikre at der ikke kan manipuleres ved enheden, selvom man har fysisk adgang til den, skal enheden “finalizes” til slut i processen, for at sige det på godt dansk. Det indebærer at den kun kan omprogrammeres ved hjælp af opdateringer hentet fra Azure Sphere Security Service. Hver gang enheden starter op, vil den tjekke for applikationen og hente en udgave fra skyen hvis nødvendigt. Azure Sphere OS er baseret på en special-lavet Linux-kerne med en lagdelt model, hvor sikkerhed er tænkt ind i alle aspekter. Applikationer kører adskilt og der er forskellige kerner til forskellige formål: Low-level til IO og general purpose til high-level computing. Der benyttes et SDK (Software Development Kit) til at danne sikker kommunikation imellem dem. Der er indbygget opdateringsmekanismer for både selve operativsystemet og applikationer.

I tilfælde af at der findes sikkerhedshuller, er det muligt at udbedre disse via samme infrastruktur som kendes fra Windows Update. Applikationer kan signalere at de vil vente med opdatering, således at enheden ikke genstarter på et ubelejligt tidspunkt. I tilfælde af genstart, tager det dog kun få sekunder at rulle en opdatering ind. Nedetiden er således begrænset.

Bagud kompatibilitet er i højsædet. Udviklere skal derfor ikke være bange for at en ny OS-opdatering vil ødelægge applikation. Dette er en essentiel egenskab, således at kundernes produkter ikke pludselig holder op med at virke. Her kan være tale om produkter, som er end-of-life, men stadig er i brug. Derfor skal ikke spekuleres i at vedligeholde produkter, der ikke længere giver værdi.

Azure Sphere Security Service løser flere opgaver, men er ultimativt stedet som enhederne stoler på og bruges til at mægle tillid til enhed-til-cloud kommunikation. Både OS- og applikationsopdateringer bliver håndteret igennem Azure Sphere Security Service. Det er også her udløbende certifikater fonyes. Enhederne kan administreres, gruppers osv. så man kan styre opdateringerne, helt fleksibelt. Der er fuld kontrol over hvordan applikationer deployes.

Med Azure Sphere er man ikke låst til at bruge resten af Azure som Cloud platform. Andre Cloud- eller on-premise løsninger kan også frit benyttes. Dog har Microsoft gjort det nemmere at bruge Azure, da de stiller løsninger som Azure IoT Hub Device Provisioning Service til rådighed. Disse tillader nem konfigurering af kommunikation mellem enheden og Azure IoT Hub. Den udstiller en såkaldt "Device Twin", der gør det nemt at styre enheden (input) eller observere tilstanden (output).

Azure Sphere kan bruges i hjertet af nye produkter, men kan også tilføjes som et modul til eksisterende løsninger. Der findes forskellige hardware-udgaver til forskellige formål. Samlet set så gør Azure Sphere det nemmere at håndtere sikkerhed og kommunikation mellem enheder og skyen. Som produktudvikler kan man altså sove trygt om natten, velvidende at Microsoft tager sig af sikkerheden, mens man kan fokusere på det man er bedst til - nemlig forretningslogikken.


I tvivl om næste skridt?

Vi kan hjælpe jer med at afklare jeres forretningsidé eller teknologibehov. Eller yde værdifuld sparring omkring jeres nuværende IT situation og vejen videre.

Jeg vil gerne booke sparring