المفاهيم الأساسية

تعرف هذه المقالة بعض المفاهيم الأساسية المتعلقة ب Microsoft Azure Attestation.

JSON Web Token (JWTs)

يُعد JSON Web Token (JWT) عبارة عن أسلوب RFC7519 قياسي مفتوح لنقل المعلومات بشكل آمن بين الأطراف ككائن ترميز الكائنات باستخدام JavaScript (JSON). يمكن التحقق من هذه المعلومات والوثوق بها لأنها موقعة رقمياً. يمكن توقيع JWTs باستخدام زوج مفاتيح سري أو خاص/عام.

JSON Web Key (JWK)

يُعد JSON Web Key (JWK) بنية لبيانات JSON تمثل أحد مفاتيح التشفير. كما تُحدد هذه المواصفات أيضًا بنية بيانات JWK Set JSON التي تمثل مجموعة من JWKs.

موفر التصديق

ينتمي موفر التصديق إلى موفر موارد Azure المسمى Microsoft.Attestation. يُعد موفر المورد بمثابة إحدى نقاط النهاية الخاصة بالخدمات والتي توفر عقد Azure Attestation REST ويتم نشرها باستخدام Azure Resource Manager. ويحترم كل موفر تصديق سياسة محددة وقابلة للاكتشاف. إذ يتم إنشاء موفري التصديق بسياسة افتراضية لكل نوع من أنواع التصديق (لاحظ أن منطقة VBS لا تحتوي على سياسة افتراضية). راجع أمثلة سياسة التصديق للحصول على مزيد من التفاصيل حول النهج الافتراضي لـ SGX.

طلب التصديق

يُعد طلب التصديق بمثابة كائن JSON متسلسل يُرسله تطبيق العميل إلى موفر التصديق. يحتوي كائن الطلب الخاص بمناطق SGX على خاصيتين:

  • "Quote" - قيمة الخاصية "Quote" هي سلسلة تحتوي على تمثيل مشفر Base64URL لاقتباس التصديق.
  • "EnclaveHeldData" - قيمة الخاصية "EnclaveHeldData" هي سلسلة تحتوي على تمثيل مشفر Base64URL للبيانات المحتجزة في Enclave.

يتحقق Azure Attestation من صحة "عرض الأسعار" المقدم للتأكد من التعبير عن تجزئة SHA256 لبيانات Enclave Held المتوفرة في أول 32 بايت من حقل reportData في عرض الأسعار.

سياسة التصديق

يتم استخدام سياسة التصديق لمعالجة دليل التصديق وهو قابل للتكوين بواسطة العملاء. جوهر Azure Attestation هو محرك نهج يعالج المطالبات التي تشكل الأدلة. يتم استخدام النهج لتحديد ما إذا كان Azure Attestation يجب أن يصدر رمزا مميزا للإثبات استنادا إلى الأدلة (أم لا)، وبالتالي الموافقة على Attester (أم لا). وفقا لذلك، يؤدي الفشل في تمرير جميع النهج إلى عدم إصدار رمز JWT المميز.

إذا كان النهج الافتراضي في موفر التصديق لا يلبي الاحتياجات، فإن العملاء قادرون على إنشاء نهج مخصصة في أي من المناطق التي يدعمها Azure Attestation. تعد إدارة السياسة ميزة أساسية تُوفر للعملاء من خلال Azure Attestation. النهج هي نوع تصديق محدد ويمكن استخدامها لتحديد الجيوب أو إضافة مطالبات إلى رمز الإخراج المميز أو تعديل المطالبات في رمز مميز للإخراج.

راجع أمثلة على نهج التصديق.

فوائد توقيع السياسة

نهج التصديق هو ما يحدد في نهاية المطاف ما إذا كان رمز التصديق صادرا عن Azure Attestation. وتحدد السياسة أيضاً المطالبات التي سيتم إنشاؤها في رمز التصديق. من الأهمية بمكان أن يكون النهج الذي تقيمه الخدمة هو النهج الذي كتبه المسؤول، وأنه لم يتم العبث به أو تعديله من قبل كيانات خارجية.

إن نموذج الثقة يحدد نموذج التفويض لمزود التصديق من أجل تعريف السياسة وتحديثها. يتم دعم نموذجين - أحدهما يستند إلى تخويل Microsoft Entra والآخر يستند إلى حيازة مفاتيح التشفير التي يديرها العميل (يشار إليها باسم النموذج المعزول). يمكن النموذج المعزول Azure Attestation من التأكد من عدم العبث بالنهج المرسل من قبل العميل.

وفي النموذج المعزول، يُنشئ المسؤول موفر تصديق يحدد مجموعة من شهادات التوقيع X.509 الموثوقة في أحد الملفات. ويمكن للمسؤول بعد ذلك إضافة سياسة موقعة إلى موفر التصديق. يقوم Azure Attestation، أثناء معالجة طلب التصديق، بالتحقق من صحة توقيع النهج باستخدام المفتاح العام الذي يمثله إما المعلمة "jwk" أو "x5c" في العنوان. يتحقق Azure Attestation مما إذا كان المفتاح العام في عنوان الطلب في قائمة شهادات التوقيع الموثوق بها المقترنة بموفر التصديق. وبهذه الطريقة، يمكن للطرف المعتمد (Azure Attestation) أن يثق في سياسة موقعة باستخدام شهادات X.509 التي يعلم بشأنها.

راجع أمثلة شهادة الموقّع على السياسة للحصول على نماذج.

رمز التصديق المميز

استجابة Azure Attestation هي سلسلة JSON تحتوي قيمتها على JWT. يقوم Azure Attestation بحزم المطالبات وإنشاء JWT موقع. وتُنفّذ عملية التوقيع باستخدام شهادة موقعة ذاتيًا مع اسم موضوع يطابق عنصر AttestUri لموفر التصديق.

تُرجع واجهة برمجة تطبيقات Get OpenID Metadata استجابة تكوين OpenID كما هو محدد بواسطة بروتوكول OpenID Connect Discovery. وتسترد واجهة برمجة التطبيقات البيانات الوصفية حول شهادات التوقيع المستخدمة بواسطة Azure Attestation.

راجع أمثلة الرمز المميز للإثبات.

تشفير البيانات الثابتة

لحماية بيانات العميل، يستمر Azure Attestation في الاحتفاظ ببياناته في Azure Storage. يوفر تخزين Azure تشفير البيانات الثابتة أثناء كتابة البيانات في مراكز البيانات، ويفك تشفيرها للعملاء للوصول إليها. ويحدث هذا التشفير باستخدام مفتاح تشفير مدار من Microsoft.

بالإضافة إلى حماية البيانات في Azure storage، تستخدم Azure Attestation أيضًا Azure Disk Encryption (ADE) لتشفير أجهزة VM للخدمة. وبالنسبة إلى Azure Attestation الذي يكون قيد التشغيل في أحد الجيوب في بيئات الحوسبة السرية في Azure، فإنه لا يتم دعم ملحق ADE حالياً. في مثل هذه السيناريوهات، يتم تعطيل ملف الصفحة لمنع تخزين البيانات في الذاكرة.

ولا يتم الاحتفاظ بأي بيانات للعميل على محركات الأقراص الثابتة المحلية لمثيل Azure Attestation.

الخطوات التالية