AWS Panorama Appliance 安全功能

为保护您的应用程序、模型和硬件免受恶意代码和其他漏洞的攻击，AWS Panorama Appliance 实施了一套全面的安全功能。这些功能包括但不限于以下内容：

• 全磁盘加密 - 设备实施 Linux unified key setup (LUKS2) 全磁盘加密。所有系统软件和应用程序数据均使用设备专用的密钥加密。即使对设备进行物理访问，攻击者也无法检查存储中的内容。

• 内存布局随机化 - 为防范针对加载到内存中的可执行代码的攻击，AWS Panorama Appliance 使用了地址空间布局随机化 (ASLR)。当操作系统代码加载到内存中时，ASLR 会随机化其位置。该操作可以防止有人利用漏洞，通过预测代码在运行时的存储位置尝试覆盖或运行特定部分的代码。

• 可信执行环境 - 设备使用基于 ARM TrustZone 的可信执行环境 (TEE)，具有隔离的存储、内存和处理资源。存储在信任区域中的密钥和其他敏感数据只能由可信应用程序访问，该应用程序在 TEE 内的独立操作系统中运行。AWS Panorama Appliance 软件与应用程序代码一起在不受信任的 Linux 环境中运行。它只能通过向安全应用程序发出请求来访问加密操作。

• 安全预置 - 当您预置设备时，传输到设备的凭证（密钥、证书和其他加密材料）仅在短时间内有效。设备使用短期凭证连接到 AWS IoT，并申请有效期更长的证书。AWS Panorama 服务会生成凭证，并使用设备上硬编码的密钥对其进行加密。只有申请证书的设备才能对其进行解密并与 AWS Panorama 通信。

• 安全启动 - 设备启动时，每个软件组件在运行之前都要经过验证。引导 ROM 是处理器中硬编码的软件，不可修改，它使用硬编码加密密钥来解密启动加载程序，从而验证可信的执行环境内核等。

• 已签名的内核 - 使用非对称加密密钥对内核模块进行签名。操作系统内核使用公有密钥解密签名，并在将模块加载到内存之前验证签名是否与模块的签名相匹配。

• dm-verity - 与验证内核模块的方式类似，设备在装载设备软件映像前使用 Linux Device Mapper 的 dm-verity 功能来验证其完整性。如果设备软件被修改，则无法运行。

• 回滚保护 - 更新设备软件时，设备会熔断 SoC（系统级芯片）上的电子保险丝。每个软件版本预计会有越来越多的保险丝被熔断，如果更多保险丝被熔断，软件就无法运行。