Azure Sphere是一個針對物聯網設備的端到端的高度安全的解決方案，2020年2月正式商用，宣布著物聯網安全進入了新時代。日前微軟 Azure Sphere 首席解決方案專家Michael Yu和微軟物聯網架構師Neo Xiong接受了EEWorld采訪，為大家介紹Azure Sphere究竟在安全領域都做了什么。

為什么要選擇微軟？

對于大部分的企業而言，安全并非他們的專長，因此選擇一個成熟的安全解決方案無疑是最佳的選擇，Azure Sphere就是在這樣的需求下而誕生。

微軟Azure是全球最為健全的云生態之一，500強企業中95％在使用Azure，云計算資源超過了AWS和谷歌的綜合。同時微軟也是物聯網服務平臺中最重要的供應商之一，提供了完整的PaaS和SaaS服務。而在安全領域，微軟擁有30余年的網絡安全經驗和10余年的硬件加密安全經驗，使其成為獨樹一幟的云安全領導廠商。

2017年微軟先后發布了安全性完善模型以及高安全設備七大特性等研究成果，推動共建物聯網安全的最佳實踐，包括硬件的信任根深度防護，可信的計算機動態分區，基于證書的認證，故障報告，可更新的安全策略等，微軟認為，同時具備這七大特征，才可以算是高度安全。Gartner也有報告指出，客戶對安全認知還要有更多了解，不光是需要設備加密，使用安全的芯片等等，而是需要一個完整的設備安全。

安全七大特征

Azure Sphere三大元素淺析

微軟Azure Sphere是基于七大特征所開發的安全解決方案，包括三個元素，經微軟認證內置安全子系統的MCU、安全的操作系統以及安全的云服務。

其中針對處理器，內置了微軟巖體安全子系統Pluton，用于產生和存儲密鑰，執行加密算法以及提供內部安全分區，并用總線級防火墻進行隔離。

如圖所示，微軟已經與眾多領先的芯片供應商開始合作開發基于微軟認證的物聯網MCU，其中首款問世的產品為聯發科MT3620。基于微軟的Azure Sphere解決方案，安富利推出了Azure Sphere MT360入門套件，此套件能夠為物聯網項目的快速實施構建原型，將全新的物聯網終端設備快速推向市場。（有關硬件部分請閱讀安富利MT3620模塊加速Azure Sphere物聯網安全落地）

每一顆Azure Sphere的芯片在生產的過程中，都會由內部的Pluton生成一對公司秘鑰，公鑰會通過安全的渠道傳送到Azure Sphere安全云服務并進行記錄，私鑰則永遠不會離開Pluton模塊，確保了私鑰的安全性。

Azure Sphere的操作系統擁有四層架構，同樣考慮了深度防護、動態分區等安全需求，從而設立了Security Monitor層，服務層以及容器層。其中Security Monitor運行在ARM TrustZone上，擁有對CPU資源所有的訪問權限，Linux內核則對IoT場景進行了裁剪和優化，讓系統精簡高效的同時減少攻擊面。服務層提供了OTA的雙向認證，設備管理，固件更新，以及錯誤報告收集等。而在應用層Azure Sphere OS團隊為了維護API的兼容性，彼此容器間以及應用與OTA間都是完全獨立運行的。

云服務保障物聯網設備的安全

在安全云服務方面，Azure Sphere安全云服務是部署在微軟公有云上面的SaaS服務，用戶只需要注冊和登陸就可以直接使用。主要包含設備身份的認證，設備OS與應用程序的更新以及搜集設備的異常狀態并進行上報。

實際上，微軟針對物聯網安全的改進還有很多很多，這里不一一贅述，如果仔細閱讀Azure Sphere的說明，你會發現處處都有為確保安全所提供的細節。

Azure Sphere系統對所有MCU廠商都是開放的，對所有類型的云也都是開放的，對開發環境也是開放的，對生態系統也是開放的。也正因此，Azure Sphere獲得了眾多客戶的青睞。一個最典型例子就是星巴克，通過Azure Sphere，安全連接了遍布全球的3萬臺咖啡機，進行數字化改革，實現了咖啡機的設備運維及OTA等功能。

目前，已有多家中國合作伙伴推出了微軟Azure Sphere的Guardian Modules，滿足多種通信接口、多種場景的設備安全聯網需求，使傳統設備不需要任何硬件更新，就可以利用Guardian Modules實現安全的物聯網接入。

伴隨著微軟官方正式宣布商用，以及眾多大公司的先期采用，Azure Sphere已經被證實是物聯網安全領域最佳的端到端解決方案之一，正如星巴克基礎設施和運營高級副總裁Jeff Wile所說，“采用微軟Azure Sphere，令星巴克的合作伙伴和員工可以更關注為顧客創造價值，Azure Sphere可確保全球咖啡的配方及口感一致，減少資源浪費，能源消耗以及設備運維的預測。”