Linux容器能否彌補IoT的安全短板？

Resin.io 公司，與其商用的 IoT 框架同名，最近剝離了該框架的基于 Yocto Linux 的 ResinOS 2.0[15]，ResinOS 2.0 將作為一個獨立的開源項目運營。 Ubuntu Core 在 snap 包中運行 Docker 容器引擎，ResinOS 在主機上運行 Docker。 極致簡約的 ResinOS 抽離了使用 Yocto 代碼的復(fù)雜性，使開發(fā)人員能夠快速部署 Docker 容器。

ResinOS 2.0 架構(gòu)

與基于 Linux 的 CoreOS 一樣，ResinOS 集成了 systemd 控制服務(wù)和網(wǎng)絡(luò)協(xié)議棧，可通過異構(gòu)網(wǎng)絡(luò)安全地部署更新的應(yīng)用程序。 但是，它是為在資源受限的設(shè)備(如 ARM 黑客板)上運行而設(shè)計的，與之相反，CoreOS 和其他基于 Docker 的操作系統(tǒng)(例如基于 Red Hat 的 Project Atomic)目前僅能運行在 x86 上，并且更喜歡資源豐富的服務(wù)器平臺。 ResinOS 可以在 20 中 Linux 設(shè)備上運行，并不斷增長，包括 Raspberry Pi，BeagleBone 和Odroid-C1 等。

“我們認(rèn)為 Linux 容器對嵌入式系統(tǒng)比對于云更重要，”Resin.io 的 Marinos 說。 “在云中，容器代表了對之前的進程的優(yōu)化，但在嵌入式中，它們代表了姍姍來遲的通用虛擬化“

BeagleBone Black

當(dāng)應(yīng)用于物聯(lián)網(wǎng)時，完整的企業(yè)級虛擬機有直接訪問硬件的限制的性能缺陷，Marinos 說。像 OSGi 和 Android 的Dalvik 這樣的移動設(shè)備虛擬機可以用于 IoT，但是它們依賴 Java 并有其他限制。

對于企業(yè)開發(fā)人員來說，使用 Docker 似乎很自然，但是你如何說服嵌入式黑客轉(zhuǎn)向全新的范式呢? “Marinos 解釋說，”ResinOS 不是把云技術(shù)的實踐經(jīng)驗照單全收，而是針對嵌入式進行了優(yōu)化。”此外，他說，容器比典型的物聯(lián)網(wǎng)技術(shù)更好地包容故障。 “如果有軟件缺陷，主機操作系統(tǒng)可以繼續(xù)正常工作，甚至保持連接。要恢復(fù)，您可以重新啟動容器或推送更新。更新設(shè)備而不重新啟動它的能力進一步消除了故障引發(fā)問題的機率。”

據(jù) Marinos 所說，其他好處源自與云技術(shù)的一致性，例如擁有更廣泛的開發(fā)人員。容器提供了“跨數(shù)據(jù)中心和邊緣的統(tǒng)一范式，以及一種方便地將技術(shù)、工作流、基礎(chǔ)設(shè)施，甚至應(yīng)用程序轉(zhuǎn)移到邊緣(終端)的方式。”

Marinos 說，容器中的固有安全性優(yōu)勢正在被其他技術(shù)增強。 “隨著 Docker 社區(qū)推動實現(xiàn)鏡像簽名和鑒證，這些自然會轉(zhuǎn)移并應(yīng)用到 ResinOS，”他說。 “當(dāng) Linux 內(nèi)核被強化以提高容器安全性時，或者獲得更好地管理容器所消耗的資源的能力時，會產(chǎn)生類似的好處。

容器也適合開源 IoT 框架，Marinos 說。 “Linux 容器很容易與幾乎各種協(xié)議、應(yīng)用程序、語言和庫結(jié)合使用，”Marinos 說。 “Resin.io 參加了 AllSeen 聯(lián)盟，我們與使用 IoTivity 和 Thread的 伙伴一起合作。”

IoT的未來：智能網(wǎng)關(guān)與智能終端

Marinos 和 Canonical 的 Ries 對未來物聯(lián)網(wǎng)的幾個發(fā)展趨勢具有一致的看法。 首先，物聯(lián)網(wǎng)的最初概念(其中基于 MCU 的端點直接與云進行通信以進行處理)正在迅速被霧化計算架構(gòu)所取代。 這需要更智能的網(wǎng)關(guān)，也需要比僅僅在 ZigBee 和 WiFi 之間聚合和轉(zhuǎn)換數(shù)據(jù)更多的功能。

其次，網(wǎng)關(guān)和智能邊緣設(shè)備越來越多地運行多個應(yīng)用程序。 第三，許多這些設(shè)備將提供板載分析，這些在最新的智能家居集線器[16]上都有體現(xiàn)。 最后，富媒體將很快成為物聯(lián)網(wǎng)組合的一部分。

最新設(shè)備網(wǎng)關(guān): Eurotech 的 ReliaGate 20-26

最新設(shè)備網(wǎng)關(guān): Advantech 的 UBC-221

“智能網(wǎng)關(guān)正在接管最初為云服務(wù)設(shè)計的許多處理和控制功能，”Marinos 說。 “因此，我們看到對容器化的推動力在增加，可以在 IoT 設(shè)備中使用類似云工作流程來部署與功能和安全相關(guān)的優(yōu)化。去中心化是由移動數(shù)據(jù)緊縮、不斷發(fā)展的法律框架和各種物理限制等因素驅(qū)動的。”

Ubuntu Core 等平臺正在使“可用于網(wǎng)關(guān)的軟件爆炸式增長”，Canonical 的 Ries 說。 “在單個設(shè)備上運行多個應(yīng)用程序的能力吸引了眾多單一功能設(shè)備的用戶，以及現(xiàn)在可以產(chǎn)生持續(xù)的軟件收入的設(shè)備所有者。”

兩種 IoT 網(wǎng)關(guān): MyOmega MYNXG IC2 Controller

兩種 IoT 網(wǎng)關(guān): TechNexion 的 LS1021A-IoT Gateway

不僅是網(wǎng)關(guān) - 終端也變得更聰明。 “閱讀大量的物聯(lián)網(wǎng)新聞報道，你得到的印象是所有終端都運行在微控制器上，”Marinos 說。 “但是我們對大量的 Linux 終端，如數(shù)字標(biāo)牌，無人機和工業(yè)機械等直接執(zhí)行任務(wù)，而不是作為操作中介(數(shù)據(jù)轉(zhuǎn)發(fā))感到驚訝。我們稱之為影子 IoT。”

Canonical 的 Ries 同意，對簡約技術(shù)的專注使他們忽視了新興物聯(lián)網(wǎng)領(lǐng)域。 “輕量化的概念在一個發(fā)展速度與物聯(lián)網(wǎng)一樣快的行業(yè)中初現(xiàn)端倪，”Ries 說。 “今天的高級消費硬件可以持續(xù)為終端供電數(shù)月。”