Figura 1: KBox-A-151 cu 3,5″-SBC-AML/ADN (stânga), AL i.MX8M Mini Box PC și modul SMARC-sXEL E2 (dreapta). (Sursa imaginii: Kontron)
Într-o lume interconectată din ce în ce mai mult, în care amenințările cibernetice sunt permanente, companiile se confruntă cu tot mai multe provocări legate de protejarea sistemelor și datelor împotriva atacurilor informatice. KontronOS este un sistem de operare creat pentru securitatea aplicațiilor IoT.
Progresul și extinderea accelerată a internetului lucrurilor (IoT) determină aplicațiile IoT să gestioneze tot mai multe date și procese critice, necesitând un cadru juridic mai strict. Aceste cerințe au fost luate în considerare în Europa încă din 2024, odată cu adoptarea Directivei privind echipamentele radio și a Legii privind securitatea rețelelor și a informațiilor (NIS2). Directiva europeană RCE se axează pe reziliența și securitatea fizică a infrastructurilor critice, iar statele membre au fost obligate să implementeze măsuri corespunzătoare începând cu octombrie 2024. Furnizorii, integratorii și operatorii de produse IoT din infrastructuri critice trebuie să îndeplinească cerințe stricte privind securitatea IT. Această provocare afectează în mod special furnizorii și clienții din sectorul Rutronik Embedded.
Pentru a răspunde acestor cerințe, Kontron a dezvoltat un sistem de operare securizat, întărit, bazat pe Linux. Prin integrarea KontronOS, dispozitivele edge precum AL i.MX8M Mini Box PC, KBox-A-151 cu SBC-EKL de 3,5″ și SBC-AML/ADN de 3,5″, sau modulul SMARC-sXEL E2 (figura 1), devin platforme sigure împotriva amenințărilor cibernetice. Acestea oferă performanțe ridicate și fiabilitate pentru aplicații exigente în domenii precum automatizările industriale, transporturile sau tehnologia medicală.
Baza sistemului este comună tuturor clienților, dar software-ul este personalizat pentru a oferi o gamă largă de opțiuni de configurare, adaptate cerințelor specifice ale fiecărui beneficiar. Mediul de dezvoltare Yocto permite includerea în sistem doar a componentelor strict necesare, excluzând tot ce este redundant. Această abordare reduce semnificativ numărul de componente software potențial vulnerabile. De exemplu, nucleul sistemului este configurat pentru a include doar componentele esențiale. Astfel, utilizatorul se poate concentra pe dezvoltarea aplicației proprii sau pe containerul Docker existent.
Container Docker și boot securizat pentru o protecție sporită
Exemplu de aplicație: un producător de mașini de debitat monitorizează starea producției utilizând un algoritm propriu, încapsulat într-un container Docker separat. Această monitorizare permite companiei să crească productivitatea echipamentelor și să îmbunătățească serviciile oferite clienților. Utilizarea sistemului KontronOS asigură operarea sigură a dispozitivului IoT pe care rulează acest algoritm. Configurația specifică a sistemului de operare este complet adaptată la condițiile existente (de exemplu: interfețe IO modificate, pachete personalizate, modificări ale BIOS-ului sau boot securizat). Diferitele niveluri de integrare și containerizarea software-ului asigură o interacțiune fluentă între sistemul de operare și aplicația clientului, indiferent de configurația sistemului.
Figura 2: Stiva IoT standard cu sistemul de operare securizat KontronOS preinstalat. (Sursa imaginii: Kontron)
Datorită acestui nivel de personalizare, furnizorul poate rula și alte aplicații proprii pe baza KontronOS, beneficiind de același nivel de securitate, precum și de separarea clară dintre aplicație și sistemul de operare.
De exemplu, în cazul unei actualizări de sistem, este suficientă comutarea pe o altă partiție. Datorită arhitecturii containerizate, Docker permite tranziții rapide și stabile, garantând că aplicațiile rămân intacte și funcționale. Esența constă în faptul că Docker menține aplicațiile într-un mediu izolat. Astfel, nu este necesară modificarea frecventă a setărilor sistemului și nu există riscul pierderii de fișiere în timpul actualizărilor.
Mutarea aplicațiilor între dispozitive
În plus, containerele Docker oferă o alternativă modernă la instalarea clasică a aplicațiilor, permițând mutarea acestora cu ușurință între dispozitive, ceea ce simplifică semnificativ procesul de implementare.
Funcția de boot securizat (Secure Boot sau HAB) asigură că doar software-ul aprobat este încărcat. Sistemul de fișiere rădăcină (RootFS) este protejat la scriere, ceea ce împiedică orice modificare neautorizată. Starea inițială a sistemului poate fi restaurată în orice moment. De asemenea, aplicațiile clienților pot fi încărcate doar după validare, garantând că pe dispozitiv rulează exclusiv software verificat.
Toate componentele sistemului – bootloader-ul, sistemul de operare sau aplicația clientului (inclusiv containerul Docker) – pot fi actualizate, fie online, fie offline, de exemplu printr-o unitate flash USB sau un server intern de actualizare.
Figura 3: Caracteristici esențiale ale KontronOS bazat pe Yocto Linux: integrare completă a pachetului de suport pentru placă (BSP), sistem de operare securizat pentru arhitecturi ARM și x86, două partiții redundante ale sistemului de operare pentru un timp de funcționare continuu. (Sursa imaginii: Kontron)
Dispozitivele pot fi administrate cu ușurință prin intermediul platformei KontronGrid, destinată gestionării dispozitivelor. Tehnicienii de service beneficiază de o interfață intuitivă pentru configurare, pornire și acces de la distanță, ceea ce simplifică actualizările întregii flote. Testele automate, precum și procedurile de testare și raportare asigură calitatea produsului, iar securitatea sistemului este verificată periodic prin teste de penetrare (penetration tests). Clienții utilizează dispozitivele IoT pentru a accelera digitalizarea proceselor, iar Kontron îi sprijină în colectarea și analiza datelor de la echipamente. În plus, pot fi definiți indicatori-cheie de performanță (KPI) și alarme pentru a monitoriza capacitatea de producție și a detecta din timp posibilele defecțiuni.
Funcționalități esențiale ale KontronOS:
- Două partiții redundante Yocto Linux (activă și pasivă), care asigură continuitatea operațională și permit revenirea automată la versiuni anterioare în cazul unor erori apărute în timpul actualizărilor
- Actualizări de securitate periodice și teste de penetrare regulate
- Boot securizat / HAB disponibil, care permite instalarea exclusivă a software-ului aprobat
- Posibilitatea de actualizare a bootloader-ului, a sistemului de operare și a aplicațiilor clientului (atât online, cât și offline)
- Firewall configurat automat, bazat pe tabele DNS
- Separare clară între sistemul de operare și nivelul aplicațiilor, permițând funcționarea independentă a aplicațiilor clienților și a containerelor Docker
Autori:
Johannes Gasde, Corporate Product Manager Embedded & Wireless la Rutronik
Jennifer Lachky-Busch, Portfolio Manager IoT Software la Kontron AIS GmbH
Marc Roeder, Customer Program Manager la Kontron AIS GmbH
Rutronik | https://www.rutronik.com
Glosar de termeni
| Secure Boot / High Assurance Boot (HAB) | Mecanism care permite pornirea doar a software-ului semnat și autorizat |
| Penetration test | Test de securitate care simulează un atac cibernetic pentru a identifica vulnerabilități |
| Redundant partitions | Două partiții ale sistemului de operare (activă/pasivă) pentru continuitate operațională în cazul unei actualizări eșuate |
| DNS-based firewall | Filtru de rețea care controlează accesul la domenii în funcție de reguli DNS |
| Yocto-based Linux | Platformă flexibilă de dezvoltare a sistemelor Linux embedded |
| Root file system | Componentă principală a sistemului de fișiere; protejată împotriva scrierii |
| Board Support Package | Set de drivere și fișiere de configurare care permit rularea OS-ului pe o anumită platformă hardware |
| Hardened system | Sistem configurat și securizat împotriva amenințărilor informatice |
| Docker container | Mediu izolat care rulează o aplicație împreună cu toate dependențele sale |
| Containerized architecture | Metodă de distribuire a aplicațiilor sub formă de containere pentru portabilitate și izolare |
| Application–OS separation | Izolarea aplicației clientului față de sistemul de operare pentru securitate și flexibilitate |
| KontronGrid | Platformă pentru gestionarea de la distanță a dispozitivelor IoT |
| Key Performance Indicators (KPI) | Parametri utilizați pentru a evalua eficiența operațională sau tehnică |