Das Potenzial des IoT ist groß, darin sind sich Experten einig. Doch dieses Potenzial kann nur dann voll ausschöpft werden, wenn eine vertrauenswürdige Infrastruktur vorhanden ist. Dazu gehört auch das besonders anfällige IoT-Gateway. Es dient in erster Linie als drahtloser Aggregationspunkt, der die IoT-Sensordaten sammelt und weiterleitet. An sich nichts neues; drahtlose Automatisierungstechnik wird in Industrie-Anwendungen seit Jahren eingesetzt. Der Unterschied besteht darin, dass sie bislang in eigentumsrechtlich geschützte Systeme verfrachtet und hinter privaten Drahtlos-Netzwerken eingesetzt wurde – also beispielsweise innerhalb einer Fabrik. Die größte Gefahr ging von der ­physischen Zugänglichkeit der Endpunkte aus, die oft genau denjenigen möglich war, die am Ergebnis vielleicht etwas drehen wollten: Endkunden, die ihr Smartmeter manipulieren, um die Stromrechnung niedrig zu halten oder um eine Stromabstellung rückgängig zu machen.

Die Vision des IoT ist es, den Umfang der Interoperabilität zu erweitern und Konnektivität auf ganze Städte und letztendlich weltweit auszudehnen, um die Effizienz und Sicherheit von Systemen wie beispielsweise der Stromverteilung und Verkehrssteuerung zu verbessern. Als Teil dieser Umfangserweiterung werden die Endpunkte nun über das Internet miteinander und mit Remote-Systemen verbunden. Dadurch sind sie beliebig vielen zusätzlichen aber weniger örtlich gebundenen Bedrohungen ausgesetzt. Vor allem im sicherheitskritischen Industriebereich ist daher die Vertrauenswürdigkeit der Gateways zwischen den Netzwerken von entscheidenderer Bedeutung als der bloße Endpunktschutz.

Anforderungen an ein IoT-Gateway

Wenn die Zielsetzungen des IoT erfüllt und gleichzeitig dessen Bedrohungen ferngehalten werden soll, gibt es einige technische Schlüsselmerkmale, die ein IoT-Gateway aufweisen muss:

Die IoT-Infrastruktur setzt sich generell aus vier Klassen von Computergeräten zusammen – Sen­soren, Gateways, Servern und Prozesssteuerung.

© Lynx

• Ein hohes Maß an Interoperabilität mit Standard-Netzwerkprotokoll-Unterstützung, um eine größtmögliche Flexibilität bei der Verbindungsun­terstützung zwischen verschiedenen Sensortypen unterschiedlicher Hersteller zu gewährleisten.
• Edge- und Mesh-Computing-Verfahren sollten sich anwenden lassen, um die Datenanalyse näher an die Sensoren zu bringen. Die Implementierung ist so unkomplizierter und es wird weniger Bandbreite vergeudet als durch die Verteilung von Sensordaten in die Cloud.
• Nutzung generischer Plattform-Services für Anwendungen, die den Zugriff auf bestimmte Untergruppen physikalischer Rohdaten erfordern, die von einem breit gefächerten Satz von Sensoren stammen. So können Informationen wie zum Beispiel die örtliche Erwärmung, Verkehrsgeschwindigkeit oder Parkraumverfügbarkeit abgerufen werden.
• Nutzung deterministischer Rechenmethoden für zeitkritische Anwendungen wie Roboter-Produktionsstraßen und robotergesteuerte industrielle Prozesse.
• Zertifizierung nach Standards wie IEC 61508.
• Das Gateway sollte autonom, zuverlässig und fernwartbar sein, um physikalische Handhabung so gering wie möglich zu halten.
• Die Flexibilität durch vielerlei Schnittstellen und Netzwerkprotokolle, exponierte Implementierungen, komplexe Software und Anbindungen sollte nicht Tür und Tor für bösartige Angriffe öffnen.

Probleme herkömmlicher Designs

Solch eine Kombination wünschenswerter Eigenschaften stellt herkömmliche eingebettete Designs auf der Basis seriengefertigter (COTS) Embedded-Betriebssysteme vor erhebliche Herausforderungen, vor allem hinsichtlich der Aspekte Interoperabilität, Hochverfügbarkeit und Hochsicherheit. Traditionelle Embedded-Designs setzen auf monolithische Architekturen, bei denen alle Anwendungen von einem einzigen OS gehostet werden und sämtliche I/O-Unterstützung, Verwaltungs- und Sicherheitskontrollen in diesem OS-Kernel integriert sind.

Monolithische Konstruktionen dieser Art haben jedoch eine fragile Schwachstelle (Single Point of Failure). Das Hosting aller Anwendungen einschließlich I/O-Handling und der Verwaltungsfunktionen auf gleichem Raum bedeutet, dass jeder Misserfolg bei den Sicherheitsmaßnahmen oder der Kernel-Codierung die Sicherheit oder Verfügbarkeit des gesamten Systems gefährden kann. Notwendig aber besonders schwierig umsetzbar ist etwa eine hochgradige Trennung zwischen am gleichen Ort (co-located) installierten Applikationen, um dadurch die ­Geheimhaltung (Datenschutz, Vertraulichkeit) und Verfügbarkeit anderer Anwendungen zu gewährleisten.

Da das Gateway mit einer solchen Funktionsvielfalt ausgestattet sein muss, ist es unmöglich, ein einziges Betriebssystem zu finden, das optimal für alles passt. Bei monolithischen Designs zum Beispiel müssen alle Sensor- und Netzwerk-Schnittstellentreiber samt I/O-Protokollstack-Unterstützung in den OS-Kernel eingebaut werden. Wenn für das gewünschte OS keine Treiber zur Verfügung stehen, wird es schwierig, die möglicherweise gewünschten Sensor- und Netzwerk-Schnittstellen zu unterstützen, selbst wenn sie in anderer Hinsicht optimal wären.

Zu guter Letzt sind aufgrund der komplizierten Funktions-Interdependenzen in monolithischen Betriebssystemen die Möglichkeiten, Kernelfunktio-nen im laufenden Betrieb zu patchen oder zu aktualisieren, äußerst begrenzt, vor allem wenn nach der Aktualisierung Neustarts verlangt werden.

Modularität im IoT-Gateway

Mit Separation-Kernel-Hypervisoren lassen sich verschiedenste Varianten von Gast-Betriebssystemen oder sogar Bare-Metal-­Anwendungen nebenläufig auf derselben Plattform ausführen.

© Lynx

Kommerziell verfügbare SKH-Softwaretechnologie (SKH steht für Separation-Kernel-Hypervisor) konzentriert sich darauf, physikalische Ressourcen zu verwalten und dabei ihre modulare Zusammensetzung zu unterstützen. Der SKH-Ansatz erlaubt es, Anwendungen, I/O, Verwaltungsfunktionen und Sicherheitssteuerungen zu unterteilen und zu modularisieren. Ein SKH verschafft Systemarchitekten eine präzise Kontrolle über alle Formen der Kommunikation, Zeitzuweisung und Ressourcenzuordnung und geben ihnen das Werkzeug, um alle Sicherheits-Schwachstellen und Echtzeit-Probleme anzugehen.

Durch Virtualisierung kann ein mit ei-nem SKH entworfenes Gateway mehrere Subjekte unterstützen. Als Beispiel für ein gedachtes Szenario:

• Zeitkritische Anwendungen wie Lastausgleich und Failover-Protokolle laufen auf einem Echtzeit-Betriebssystem.
• Das Datenhandling übernimmt ein leistungsstarkes Allzweck-Betriebssystem.
• Vertrauenswürdige Bare-Metal-Anwendungen mit minimalem Applikations-Overhead sorgen für sehr hohe Leistungs- oder Sicherheitsfunktionen.

Virtualisierung ist eine Schlüsselfunktion bei der Bewältigung von Herausforderungen im Zusammenhang mit der Interoperabilität und spielt eine Schlüsselrolle bei der Unterstützung modernster Computertechnik und Plattformen als Service (PaaS), indem sie es Analysetools und einer Gruppe von Benutzern erlaubt, jedes Betriebssystem und jede Anwendung zu nutzen, welche für die jeweilige Aufgabe am geeignetsten sind.

Virtualisierung der Hardware

Von den diversen verfügbaren Virtualisierungstechniken ist die Hardware-Virtualisierung besonders attraktiv, da sie die Fähigkeiten der CPU nutzt. Das sorgt nicht nur für den größtmöglichen Isolationsgrad, sondern erlaubt auch einen SKH mit sehr kleinem Speicherverbrauch. SKH sind in der Regel zehn- bis hundertmal kleiner als monolithische Betriebssysteme.

Ein äußerst geringer Speicherverbrauch ist eine beträchtliche Hilfe bei jeder Art von Zertifizierungsanforderungen wie die Sicherheitszertifizierung nach Standards wie der IEC 61508, vor allem wenn Artefakte verfügbar und eingeführt sind. Ein geringer Platzbedarf bedeutet außerdem, dass die vertrauenswürdige Code-Basis des Gesamtsystems minimal gehalten werden kann und so die Verwundbarkeit für bösartige Angriffe reduziert.

Isolation und Robustheit ergeben sich zuverlässig aus der Fähigkeit des SKH, die partitionierten Hardware-Ressourcen, die jedem Subjekt zugeordnet sind, genau zu kontrollieren und eindeutige Ausführungszeitpläne für Gastbetriebssysteme und Bare-Metal-Applikationen zu steuern. SKH können daher die Verfügbarkeit eines Systems garantieren, indem sie dafür sorgen, dass eine kritische Anwendung niemals durch eine konkurrierende Anwendung abgewürgt wird oder diese ihr zuvorkommt.

Separation-Kernel-Hypervisoren sind kein neues Konzept. Manche von ihnen sind seit fast einem Jahrzehnt im Einsatz, wo sie sich bewährt haben und in Spezialfällen – wie militärischen Sicherheitsanwendungen – auch zertifiziert wurden.

Mehrere Module, eine ­Plattform

Mit Hilfe der Fähigkeiten von Virtualisierung und Bare-Metal-Anwendungen und vertrauend auf die Isolierungs- und deterministischen Eigenschaften eines SKH lassen sich aus mehreren Softwaremodulen Plattformen errichten, auf denen einzelne in unabhängigen Partitionen ausgeführt werden können. Zwischen den Modulen lassen sich einfache Schnittstellen definieren, so dass der Zustand des Systems eindeutig definiert und klar verständlich ist.

Monolithische Architekturen haben immer noch ihren Platz in solchen Konfigurationen und auch eingebettete COTS-Betriebssysteme können durchaus einen Platz als Subjekte innerhalb eines SKH-Framework finden. Wichtig ist, die ideale Architektur für jedes Gateway-Element auszuwählen und dennoch eine Isolierung zwischen ihnen zu gewährleisten.

Mit einem Separation-Kernel-Hypervisor und modularen Designtechniken verfügen Entwickler von IoT-Gateways über zahlreiche Optionen, um hoch interoperable, zuverlässige, sichere und nachhaltige Lösungen mit COTS-Komponenten zu erschaffen.

Autor:
Will Keegan ist Produktmanager bei Lynx Software Technologies.