傳統的嵌入式開發已經死了。孤立的計算孤島的概念不再相關，相反，所有應用程序都應該被視為“邊緣處理”，無論是粗細還是粗細，回到集中處理資源進行分析。或者至少這是最近幾個月在整個行業中傳播的理論。隨著應用程序從傳統嵌入式設備快速過渡到面向云的邊緣計算節點，本文探討了必須如何改變這種方法，以解決將云連接集成到開發和制造過程中的日益增長的需求，并創建無縫的安全供應鏈用于物聯網 (IoT)。

現實當然更加微妙和分散，嵌入式市場需要多年時間才能整合新概念，并且對數十年來對flash-in-the-pan技術的承諾支持幾乎沒有興趣。然而，有一個明確的現實是，我們的許多嵌入式系統正在從斷開的孤島過渡到邊緣計算，這推動了性能要求、通信堆棧集成、人工智能/機器學習 (AI/ML) 以及許多下一代應用程序的其他功能。

這種連接過渡正在推動消費者、工業和關鍵國家基礎設施市場所需的安全要求和合規框架，因為每個連接也是系統的攻擊媒介。

有許多文章專門討論與面向邊緣的計算相關的好處和挑戰、資源應該放在哪里、數據應該在哪里進行預處理以及處理程度。確定性和滯后性、系統可用性和對中斷的魯棒性之間的平衡也是一個關鍵決定，尤其是在 2021 年 10 月發生重大社交媒體中斷的影響之后，一旦 DNS 缺陷暴露，許多連接的設備就無法成功運行。然而，這些主題中有許多是特定于應用程序的，雖然更好的工具可以提供幫助，但最終這些都是由成本、上市時間和復雜性驅動的設計決策。

從開發人員的角度來看，云連接是一個令人頭疼的問題，部分原因是安全性和連接性集成了許多不同的概念，部分原因是客戶的需求在不斷變化。“云連接”的簡單挑戰迅速分解為對安全通信堆棧、信任根和身份挑戰、證書注入、安全啟動和更新機制以及無數其他需求的需求。

然而，這只是開發人員方面的問題，對于生產、設備服務和企業來說，其他類似規模的挑戰仍然存在。對于企業而言，圍繞生命周期支持、漏洞披露和更新管理的新立法挑戰帶來了商業模式挑戰，不再需要“一勞永逸”的銷售和運輸。對于設備服務而言，最終集成到客戶的安全運營中心 (SOC) 中的需求至關重要，需要提供正式的身份驗證和可衡量的機密性、完整性和可用性方面的安全性。

生產是云和安全集成的一個特別具有挑戰性的方面，影響著面向同質和可重復制造的系統，需要真正唯一的加密身份確保每個身份都是普遍唯一的，同時仍然具有標準證書結構，例如基于 x.509 證書. 通過確保這些身份是云就緒的，并且設備能夠被載入用戶想要的任何云計算網絡，這一挑戰進一步加劇。

許多云供應商都強調這種入職是他們和客戶流程中最大的痛點，也是 CISO（首席信息和安全官）將物聯網設備集成到內部網絡的最大挑戰。事實上，為確保足夠的身份、所有權和明確的網絡安全風險而進行的配置是物聯網在工業、交通運輸和基礎設施應用中興起的最大單一障礙。

為了解決具有差異化身份和信任根的同質制造的生產問題，有兩種主要選擇。

首先是集成一個單獨的 SIM（用戶身份模塊），就像在手機中看到的那樣。但是，這確實需要集成 SIM 卡，但存在尺寸和后勤問題，或者需要實施 iSIM（集成 SIM），這需要在硅片中內置額外的處理器，具有特定的成本影響。

另一種方法是使用強大的安全啟動管理器 (SBM) 簡單地鎖定設備，以確保設備上運行的所有代碼都已安全生成和注入，并具有強大的代碼身份驗證。這樣做的好處是影響成本低，使用少量內存來擴展啟動過程，以及更廣泛的設備可用性，包括當今使用的許多流行設備，確保快速工程采用和簡單的發布周期。該解決方案的靈活性支持希望擁有設備身份的組織的自簽名證書結構，或希望外包的第三方證書框架。

將設備連接和載入云可能是目前行業面臨的最大挑戰，主要是由于合作伙伴和設備類型的數量。通過利用如上所述的擴展流程，現在可以為 Microsoft Azure 設計和配置“云就緒”。（來源：Secure Thingz）

今天展示的解決方案利用了 SBM 方法，確保可以簡單地設計大量設備以提高安全性，并為 Azure 云連接注入標準證書。該證書框架使開發人員能夠快速設計數百萬臺設備以生產具有唯一身份的設備，然后確保將這些憑據簡單地放入 Azure 云服務中。這確保了生產的所有設備都被識別到云中，確保 Azure 服務了解 OEM 供應商和設備功能；并確保最終用戶確信設備易于集成，設備已正確生產，并且設備已作為安全供應鏈的一部分發布，從而降低了采購風險和集成成本。

如前所述，從根本上說，這種面向云的新流程建立在現有開發流程的基礎上，這些流程與當今的主要合作伙伴和客戶一起運作，并利用了標準的行業生產機制。這意味著該解決方案對現代生產流程的影響幾乎為零，可通過主要電子元件分銷商獲得，并可通過各種設備訪問。設備數量沒有上限或下限，確保簡單原型和早期市場采用到大批量應用的簡單上市途徑。

這是 IAR Systems 公司 Secure Thingz 所采用的方法，它與 Microsoft Azure 合作實現了這一新功能，以實現云配置和入職。如前所述，這可以實現快速開發、批量制造和集成更新管理。這實質上為安全配置技術提供了有價值的擴展，使組織能夠輕松地將他們的設備整體集成到云中，從而為客戶和云服務消除未知設備的傳統入職挑戰。

總而言之，將設備連接和載入云可能是目前行業面臨的最大挑戰，主要是由于合作伙伴的數量和設備類型。通過利用如上所述的擴展流程，現在可以為 Microsoft Azure 設計和配置“云就緒”，降低開發成本，減少客戶集成挑戰，并消除與向網絡添加設備相關的網絡安全風險。

審核編輯 黃昊宇