Foundries.io 與以下機構合作 Arduino的,已將其安全軟體整合到板上 Arduino Portenta X8。 這樣,該模組成為第一個符合歐盟CRA法規的SoM(System on Module)。 這是一項相當大的成就,並且將允許創建許多需要與該法律相容的項目。
如你所知,Arduino Portenta X8 是一款與其他 Arduino 一樣的開發板,但它是第一個使用 基於 Arm 的處理器,能夠運行 GNU/Linux 作業系統 並透過稱為 HAT 的插件提供擴充功能。
什麼是CRA?
La 網路彈性法案 (CRA) 旨在透過解決網路安全問題來保護使用具有數位組件的產品或軟體的消費者和企業。 它旨在透過對製造商和零售商引入強制性網路安全要求來消除安全缺陷。 該法律解決了兩個主要問題:
- 許多產品缺乏足夠的網路安全,使用者無法確定產品的網路安全。
- CRA 將建立統一的標準、產品整個生命週期的網路安全要求和義務架構。
該標準生效後,產品將帶有 CE 標誌,以表明符合新標準,從而使消費者能夠就網路安全做出明智的決定。 它將適用於連接到互聯網的產品,不包括開源軟體等特定情況。 預計 將於 2024 年初生效,製造商在 36 個月後應用該標準。 委員會將定期審查該法律。
新的歐盟 CRA 法規 指定最低安全性 適用於歐洲的所有物聯網設備,包括:
- 在整個歐盟範圍內為具有數位元素的安全產品製定標準。
- 要求製造商將安全放在首位。
- 提高使用者對網路安全功能重要性的認識。
- 要求原始設備製造商 (OEM) 快速解決已在使用的設備中的漏洞。
很多 網路攻擊造成了代價高昂的問題,影響公司、政府和個人。 業務營運中斷、機密資料被盜、勒索和商業聲譽受損造成的經濟損失龐大。 除了直接成本外,網路攻擊還會產生額外費用,用於改善網路安全、修復受影響的系統以及解決法律和監管後果。 攻擊的日益複雜性和目標的多樣性凸顯了迫切需要採取有效措施來預防、偵測和減輕網路威脅。 這是美國CRA…
帶有 CRA 的 Arduino Portenta X8 詳細信息
正如我所討論的,根據即將出台的歐盟法規,所有數位產品都必須符合新的安全標準,但某些醫療設備、航空設備和機動車輛等特定類別除外。 根據風險級別,某些產品需要獨立的安全評估。 此外,原始設備製造商 (OEM) 必須確保這些產品通過這些安全評估,以便在歐盟國家內銷售,並且遵守本法律的情況將受到監督。
這樣Arduino Portenta X8就可以通過認證了 貼有「高度關鍵」標籤的產品 需要額外安全保障的人。 歐盟估計,這項新標準可以透過減少網路攻擊每年節省 180 至 290 億歐元,因為網路攻擊已成為組織和公司以及個人用戶的嚴重問題。
為了確保 Arduino Portenta X8 符合 CRA 標準, Foundries.io 和 Arduino 合作 在此 SoM 中實施安全性改進。 如您所知,Foundries.io 是一家為安全物聯網和邊緣設備提供雲端原生開發和部署解決方案的公司,因此是 Arduino 遵守這些歐洲安全標準的良好盟友。
透過此次合作,Arduino Portenta X8 用戶可以輕鬆、有效率地進行設備安全、資料保護和軟體管理 基於雲端的環境。 它還將針對所有已知形式的網路攻擊和惡意軟體提供額外的安全性,並確保對新漏洞的快速回應,從而實現快速韌體更新以修補這些風險。
Arduino Portenta X8 提供了一組由 Linux Micro 平台和 FoundriesFactory 平台提供的安全功能, 包括:
- 安全啟動
- 可信的執行環境
- 遠程管理
- 安裝安全金鑰
- 雲端認證
- 透過 TUF 支援進行安全 OTA(無線)更新
- 每次軟體更新後自動產生的軟體物料清單 (SBOM)
所有這些都不是優點,因為這種實現涉及簡化 Foundries.io 的軟體介面和名為 X8 Board Manager 的工具的複雜性,儘管從這個意義上來說他們做得很好,而且新介面簡單且 相容於Arduino IDE 對於開發人員。
Arduino 執行長 Fabio Violante 表示:
「當我們部署基於 Linux 的邊緣設備時,不能事後考慮安全性。 這就是為什麼我們在設計 Arduino Portenta X8 時始終將安全功能放在首位。 其範圍從硬體和韌體到由 FoundriesFactory 提供支援的 Linux 發行版和裝置管理。 “這讓我們從一開始就能夠自然地遵守 CRA 法規。”