萬物聯網時代來臨,卻也帶來資訊安全的隱患與挑戰,因此產業各界推動自上游設計階段就要導入安全性的「Security by Design」概念,從IP、IC設計到終端產品與運作維護都要具備,Arm則透過PSA Certified平台安全架構與認證全面強化產品的安全性設計。
Arm在2017年首次提出物聯網安全性框架,其為一項框架及獨立的第三方評估方案,以建立適當的裝置安全性等級。Arm首席應用工程師張維良指出,隨著業界對安全概念的重視,導入安全性設計或資安防護的意願已經越來越高,但根據該公司的調查,還是有約52%的廠商擔心導入安全防護的額外成本,另外有48%的廠商認為安全規範太多太複雜。
Arm認為PSA Certified是實現安全的數位轉型。張維良說明,該架構建議書提供五種行動方法,可協助降低安全性成本,創造該框架的用意,在於確保一開始便將安全性納入裝置的設計中並達成存取、啟動、更新、防止回溯、隔離、跨越隔離互動、儲存、信任服務、身分認證與生命週期的安全性等十大目標。四個階段則為個別的使用場景,提供安全性的實作指導。
・�分析:資產評估與威脅評量,以定義特定的安全性要求
・架構:基於已確認之安全性要求的安全性設計
・�實作:使用開放原始碼韌體實作,結合硬體與韌體的過程
・�認證:確保產品符合安全性要求及PSA Certified概述的10個安全性目標
張維良進一步強調,推動安全功能在電子產業的採用,同時保護消費者、企業和服務提供者。對於可擴充的網路邊緣,安全性與系統標準化一樣重要,尤其現在對邊緣應用的攻擊越來越頻繁與複雜。
而針對智慧聯網裝置的互連互通與安全性,近期業界發表第一版的Matter標準強化了物聯網的跨平台與多標準聯網互通,張維良表示,PSA Certified Level 1 v2.2可以與Matter 1.0版本相容,同時Arm也有團隊與連接標準聯盟(Connectivity Standards Alliance, CSA)合作,深化安全功能的開發與相容性研究。
Arm首席應用工程師張維良指出,隨著業界對安全概念的重視,導入安全性設計或資安防護的意願已越來越高
展望未來,張維良說,Arm將持續推動開源API安全性倡議PARSEC,其概念化已完成是一個正式的雲原生運算協會的沙盒專案。同時推動PSA Certified與產業的標準相容,好處是在產品開發過程中可以簡化多個標準的複雜性內容,只要專注完成PSA Certified的認證就同時符合多個安全協定要求。最後,Arm希望推動安全性設計,不僅在設計早期就導入安全概念,也要將安全設計貫穿整個產品流程,以強化產品的整體安全性。