新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > Linux容器能否彌補(bǔ)IoT的安全短板?

Linux容器能否彌補(bǔ)IoT的安全短板?

作者: 時間:2018-07-25 來源:網(wǎng)絡(luò) 收藏

我們將探討兩種基于 Linux 的面向 Docker 的容器技術(shù),這些技術(shù)被提出作為物聯(lián)網(wǎng)安全解決方案。容器還可以幫助解決我們在物聯(lián)網(wǎng)框架中探討的開發(fā)復(fù)雜性和互操作性障礙的問題。 -- Eric Brown

本文引用地址:http://m.butianyuan.cn/article/201807/383858.htm

在這個最后的物聯(lián)網(wǎng)系列文章中,Canonical 和 Resin.io 向以 Linux 容器技術(shù)作為解決方案向物聯(lián)網(wǎng)安全性和互操作性發(fā)起挑戰(zhàn)。

盡管受到日益增長的安全威脅,但對物聯(lián)網(wǎng)(IoT)的炒作沒有顯示減弱的跡象。為了刷存在感,公司們正忙于重新規(guī)劃它們的物聯(lián)網(wǎng)方面的路線圖。物聯(lián)網(wǎng)大潮迅猛異常,比移動互聯(lián)網(wǎng)革命滲透的更加深入和廣泛。IoT 像黑洞一樣,吞噬一切,包括智能手機(jī),它通常是我們通向物聯(lián)網(wǎng)世界的窗口,有時也作為我們的匯聚點(diǎn)或終端。

新的針對物聯(lián)網(wǎng)的處理器和嵌入式主板繼續(xù)重塑其技術(shù)版圖。自從 9 月份推出 面向物聯(lián)網(wǎng)的 Linux 和開源硬件[1] 系列文章之后,我們看到了面向物聯(lián)網(wǎng)網(wǎng)關(guān)的 “Apollo Lake]” SoC 芯片 Intel Atom E3900[2] 以及三星 新的 Artik 模塊[3],包括用于網(wǎng)關(guān)并由 Linux 驅(qū)動的 64 位 Artik 7 COM 及自帶 RTOS 的 Cortex-M4 Artik。 ARM 為具有 ARMv8-M 和 TrustZone 安全性的 IoT 終端發(fā)布了 Cortex-M23 和 Cortex-M33[4] 芯片。

Artik 7

講道理,安全是這些產(chǎn)品的賣點(diǎn)。最近攻擊 Dyn 服務(wù)并在一天內(nèi)摧毀了美國大部分互聯(lián)網(wǎng)的 Mirai 僵尸網(wǎng)絡(luò)將基于 Linux 的物聯(lián)網(wǎng)推到臺前 - 當(dāng)然這種方式似乎不太體面。就像 IoT 設(shè)備可以成為 DDoS 的幫兇一樣,設(shè)備及其所有者同樣可能直接遭受惡意攻擊。

Cortex-M33 和 -M23

Dyn 攻擊事件更加證明了這種觀點(diǎn),即物聯(lián)網(wǎng)將更加蓬勃地在受控制和受保護(hù)的工業(yè)環(huán)境發(fā)展,而不是家用環(huán)境中。這不是因?yàn)闆]有消費(fèi)級物聯(lián)網(wǎng)安全技術(shù)[5],但除非產(chǎn)品設(shè)計(jì)之初就以安全為目標(biāo),否則如我們的智能家居集線器系列[6]中的許多解決方案一樣,后期再考慮安全就會增加成本和復(fù)雜性。

在物聯(lián)網(wǎng)系列的最后這個未來展望的部分,我們將探討兩種基于 Linux 的面向 Docker 的容器技術(shù),這些技術(shù)被提出作為物聯(lián)網(wǎng)安全解決方案。容器還可以幫助解決我們在物聯(lián)網(wǎng)框架[7]中探討的開發(fā)復(fù)雜性和互操作性障礙的問題。

我們與 Canonical 的 Ubuntu 客戶平臺工程副總裁 Oliver Ries 討論了 Ubuntu Core 和適用于 Docker 的容器式 Snaps 包管理技術(shù)。我們還就新的基于 Docker 的物聯(lián)網(wǎng)方案 ResinOS 采訪了 Resin.io 首席執(zhí)行官和聯(lián)合創(chuàng)始人 Alexandros Marinos。

Ubuntu Core Snaps

Canonical 面向物聯(lián)網(wǎng)的 Snappy Ubuntu Core[8] 版本的 Ubuntu 是圍繞一個類似容器的快照包管理機(jī)制而構(gòu)建的,并提供應(yīng)用商店支持。 snaps 技術(shù)最近自行發(fā)布了[9]用于其他 Linux 發(fā)行版的版本。去年 11 月 3 日,Canonical 發(fā)布了 Ubuntu Core 16[10],該版本改進(jìn)了白標(biāo)應(yīng)用商店和更新控制服務(wù)。

傳統(tǒng) Ubuntu(左)架構(gòu) 與 Ubuntu Core 16

快照機(jī)制提供自動更新,并有助于阻止未經(jīng)授權(quán)的更新。 使用事務(wù)系統(tǒng)管理,快照可確保更新按預(yù)期部署或根本不部署。 在 Ubuntu Core 中,使用 AppArmor 進(jìn)一步加強(qiáng)了安全性,并且所有應(yīng)用程序文件都是只讀的且保存在隔離的孤島中。

LimeSDR

Ubuntu Core 是我們最近展開的開源物聯(lián)網(wǎng)操作系統(tǒng)調(diào)查[11]的一部分,現(xiàn)在運(yùn)行于 Gumstix 主板、Erle 機(jī)器人無人機(jī)、Dell Edge 網(wǎng)關(guān)、Nextcloud Box[12]、LimeSDR、Mycroft 家庭集線器、英特爾的 Joule 和符合 Linaro 的 96Boards 規(guī)范的 SBC(單板計(jì)算機(jī)) 上。 Canonical 公司還與 Linaro 物聯(lián)網(wǎng)和嵌入式(LITE)部門集團(tuán)在其 96Boards 物聯(lián)網(wǎng)版(IE)[13] 上達(dá)成合作。最初,96Boards IE 專注于 Zephyr 驅(qū)動的 Cortex-M4 板卡,如 Seeed 的 BLE Carbon[14],不過它將擴(kuò)展到可以運(yùn)行 Ubuntu Core 的網(wǎng)關(guān)板卡上。

“Ubuntu Core 和 snaps 具有從邊緣到網(wǎng)關(guān)到云的相關(guān)性,”Canonical 的 Ries 說。 “能夠在任何主要發(fā)行版(包括 Ubuntu Server 和 Ubuntu for Cloud)上運(yùn)行快照包,使我們能夠提供一致的體驗(yàn)。 snaps 可以使用事務(wù)更新以免故障方式升級,可用于安全性更新、錯誤修復(fù)或新功能的持續(xù)更新,這在物聯(lián)網(wǎng)環(huán)境中非常重要。”

Nextcloud盒子

安全性和可靠性是關(guān)注的重點(diǎn),Ries 說。 “snaps 應(yīng)用可以完全獨(dú)立于彼此和操作系統(tǒng)而運(yùn)行,使得兩個應(yīng)用程序可以安全地在單個網(wǎng)關(guān)上運(yùn)行,”他說。 “snaps 是只讀的和經(jīng)過認(rèn)證的,可以保證代碼的完整性。

Ries 還說這種技術(shù)減少開發(fā)時間。 “snap 軟件包允許開發(fā)人員向支持它的任何平臺提供相同的二進(jìn)制包,從而降低開發(fā)和測試成本,減少部署時間和提高更新速度。 “使用 snap 軟件包,開發(fā)人員完可以全控制開發(fā)生命周期,并可以立即更新。 snap 包提供了所有必需的依賴項(xiàng),因此開發(fā)人員可以選擇定制他們使用的組件。”

ResinOS: 為 IoT 而生的 Docker


上一頁 1 2 3 下一頁

關(guān)鍵詞:

評論


技術(shù)專區(qū)

關(guān)閉