أنواع الإثبات وسيناريوهاته

الحوسبة جزء أساسي من حياتنا اليومية. فهي تشغل كل شيء بدءا من هواتفنا الذكية إلى البنية التحتية الحيوية. تجعل البيئات التنظيمية الصارمة بشكل متزايد، وانتشار الهجمات الإلكترونية، والرقي المتزايد للمهاجمين من الصعب الثقة في أصالة وسلامة تقنيات الحوسبة التي نعتمد عليها. التصديق هو تقنية للتحقق من مكونات البرامج والأجهزة للنظام. إنها عملية حاسمة لإنشاء وضمان أن تقنيات الحوسبة التي نعتمد عليها جديرة بالثقة.

في هذه المقالة، ننظر إلى ما هو التصديق وأنواع الإثبات التي تقدمها Microsoft اليوم، وكيف يمكنك استخدام هذه الأنواع من سيناريوهات التصديق في حلول Microsoft.

ما هو التصديق؟

في التصديق عن بعد، ينتج نظير واحد (المصدق) معلومات قابلة للتصديق عن نفسه (الدليل) لتمكين نظير بعيد (الطرف المعتمد) من تحديد ما إذا كان يعتبر هذا المصدق نظيرا جديرا بالثقة. ويقوم طرف حيوي آخر (المدقق) بتنفيذ إجراءات التصديق عن بعد. بعبارات بسيطة، التصديق هو وسيلة لإثبات أن نظام الكمبيوتر جدير بالثقة.

لفهم ما هو التصديق وكيف يعمل في الممارسة العملية، تقارن هذه المقالة عملية التصديق في الحوسبة بأمثلة واقعية مع جوازات السفر وفحوصات الخلفية.

يتم توضيح التعريف والنماذج المستخدمة في هذه المقالة في وثيقة هندسة إجراءات التصديق عن بعد (RATs) الخاصة بفرقة عمل هندسة الإنترنت (IETF). لمعرفة المزيد، راجع فرقة عمل هندسة الإنترنت: بنية إجراءات التصديق عن بعد (RATs).

نموذج جواز السفر

يوجد سيناريوهان لجواز السفر في هذا القسم.

نموذج جواز السفر: مكتب الهجرة

1. يريد المواطن جواز سفر للسفر إلى بلد/منطقة أجنبية. يقدم المواطن متطلبات الأدلة إلى البلد/المنطقة المضيفة له.

2. يتلقى البلد/المنطقة المضيفة أدلة على امتثال الفرد للسياسة ويتحقق مما إذا كانت الأدلة المقدمة تثبت أن الفرد يمتثل لسياسات إصدار جواز السفر:

   • شهادة الميلاد صالحة ولم يتم تغييرها.
   • مصدر شهادة الميلاد موثوق به.
   • الفرد ليس جزءا من قائمة مقيدة.

3. وإذا قرر البلد/المنطقة المضيفة أن الأدلة تفي بسياساتها، يصدر البلد/المنطقة المضيفة جواز سفر للمواطن.

4. يسافر المواطن إلى دولة أجنبية، ولكن يجب عليه أولا تقديم جواز سفره إلى وكيل دوريات الحدود في البلد/المنطقة الأجنبية لتقييمه.

5. يتحقق وكيل دورية الحدود في البلد/المنطقة الأجنبية من سلسلة من القواعد على جواز السفر قبل الوثوق به:

   • جواز السفر أصلي ولم يتم تغييره.
   • وقد أنتجت دولة/منطقة موثوق بها جواز السفر.
   • جواز السفر غير منتهي الصلاحية أو ملغى.
   • يتوافق جواز السفر مع سياسة التأشيرة أو متطلبات العمر.

6. ويوافق وكيل دوريات الحدود في البلد/المنطقة الأجنبية على جواز السفر ويمكن للمواطن الدخول إلى البلد/المنطقة الأجنبية.

نموذج جواز السفر: الحوسبة

1. تريد بيئة التنفيذ الموثوق بها (TEE)، والمعروفة أيضا باسم المصدق، استرداد الأسرار من مدير أسرار، والمعروف أيضا باسم جهة الاعتماد. لاسترداد الأسرار من مدير الأسرار، يجب أن يثبت TEE لمدير الأسرار أنه جدير بالثقة وحقيقية. تقدم TEE أدلةها إلى مدقق لإثبات أنها جديرة بالثقة وحقيقية. تتضمن الأدلة تجزئة التعليمات البرمجية المنفذة، وتجزئة بيئة البناء الخاصة بها، والشهادة التي تم إنشاؤها بواسطة الشركة المصنعة لها.

2. يقوم المدقق، وهو خدمة تصديق، بتقييم ما إذا كانت الأدلة المقدمة من TEE تفي بالمتطلبات التالية للوثوق بها:

   • الشهادة صالحة ولم يتم تغييرها.
   • مصدر الشهادة موثوق به.
   • دليل TEE ليس جزءا من قائمة مقيدة.

3. إذا قرر المدقق أن الأدلة تفي بالسياسات المحددة، ينشئ المدقق نتيجة تصديق ويعطيها إلى TEE.

4. يريد TEE تبادل الأسرار مع مدير الأسرار. أولا يجب أن تقدم نتيجة التصديق الخاصة بها إلى مدير الأسرار للتقييم.

5. يتحقق مدير الأسرار من سلسلة من القواعد على نتيجة التصديق قبل الوثوق بها:

   • نتيجة التصديق أصلية ولم يتم تغييرها.
   • أنتجت سلطة موثوقة نتيجة التصديق.
   • لم تنته صلاحية نتيجة التصديق أو تم إبطالها.
   • تتوافق نتيجة التصديق مع نهج المسؤول المكون.

6. يوافق مدير الأسرار على نتيجة التصديق ويتبادل الأسرار مع TEE.

نموذج التحقق من الخلفية

يتم تقديم سيناريوهين للتحقق من الخلفية في هذا القسم.

التحقق من الخلفية: التحقق من المدرسة

1. يقوم الشخص بفحص الخلفية مع صاحب عمل محتمل للحصول على وظيفة. ويقدم الشخص معلوماته التعليمية من المدرسة التي حضرها إلى صاحب العمل المحتمل.

2. ويسترد صاحب العمل الخلفية التعليمية من الشخص ويعيد توجيه هذه المعلومات إلى المدرسة المعنية للتحقق منها.

3. تقيم المدرسة ما إذا كانت الخلفية التعليمية التي يقدمها الشخص تفي بسجلات المدرسة.

4. تصدر المدرسة نتيجة إثبات تتحقق من أن خلفية الشخص التعليمية تتطابق مع سجلاته وترسلها إلى صاحب العمل.

5. قد يتحقق صاحب العمل، المعروف باسم الطرف المعول، من سلسلة من القواعد على نتيجة التصديق قبل الوثوق بها:

   • نتيجة التصديق أصلية، لم يتم تغييرها، وتأتي من المدرسة.
   • أنتجت مدرسة موثوق بها نتيجة التصديق.

6. يوافق صاحب العمل على نتيجة التصديق ويستأجر الشخص.

التحقق من الخلفية: الحوسبة

1. تريد TEE، والمعروفة باسم المصدق، استرداد الأسرار من مدير الأسرار، والمعروف أيضا باسم جهة الاعتماد. لاسترداد الأسرار من مدير الأسرار، يجب أن تثبت TEE أنها جديرة بالثقة وحقيقية. ترسل TEE دليلها إلى مدير الأسرار لإثبات أنها جديرة بالثقة وحقيقية. تتضمن الأدلة تجزئة التعليمات البرمجية المنفذة، وتجزئة بيئة البناء الخاصة بها، والشهادة التي تم إنشاؤها بواسطة الشركة المصنعة لها.

2. يسترد مدير الأسرار الأدلة من TEE ويعيد توجيهها إلى المدقق للتحقق منها.

3. تقيم خدمة التحقق ما إذا كانت الأدلة المقدمة من TEE تفي بمتطلبات النهج المحددة للوثوق بها:

   • الشهادة صالحة ولم يتم تغييرها.
   • مصدر الشهادة موثوق به.
   • دليل TEE ليس جزءا من قائمة مقيدة.

4. ينشئ المدقق نتيجة تصديق ل TEE ويرسلها إلى مدير الأسرار.

5. يتحقق مدير الأسرار من سلسلة من القواعد على نتيجة التصديق قبل الوثوق بها:

   • نتيجة التصديق أصلية ولم يتم تغييرها.
   • أنتجت سلطة موثوقة نتيجة التصديق.
   • لم تنته صلاحية نتيجة التصديق أو تم إبطالها.
   • تتوافق نتيجة التصديق مع نهج المسؤول المكون.

6. يوافق مدير الأسرار على نتيجة التصديق ويتبادل الأسرار مع TEE.

أنواع الإثبات

تستخدم خدمات التصديق بطريقتين متميزتين. توفر كل طريقة فوائدها الخاصة.

موفر السحابة

Azure Attestation هي خدمة تواجه العملاء وإطار عمل للمصادقة على TEEs مثل جيوب Intel Software Guard Extensions (SGX)، وجيوب الأمان المستندة إلى الظاهرية (VBS)، ووحدات النظام الأساسي الموثوق بها، وإطلاق موثوق به، والأجهزة الظاهرية السرية (VMs). تشمل الفوائد من استخدام خدمة التصديق الخاصة بموفر السحابة، مثل Azure Attestation:

• إنه متاح بحرية.
• تتوفر التعليمات البرمجية المصدر للعملاء الحكوميين عبر أداة Microsoft Code Center Premium.
• فهو يحمي البيانات أثناء الاستخدام عن طريق العمل داخل جيب Intel SGX.
• وهو يشهد على العديد من TEEs في حل واحد.
• ويوفر اتفاقية قوية على مستوى الخدمة.

بناء الخاص بك

يمكنك إنشاء آليات التصديق الخاصة بك للثقة في البنية الأساسية للحوسبة الخاصة بك من الأدوات التي يوفرها موفرو السحابة والأجهزة. قد يتطلب إنشاء عمليات التصديق الخاصة بك لحلول Microsoft استخدام إدارة هوية الأجهزة الموثوق بها (THIM). يعالج هذا الحل إدارة ذاكرة التخزين المؤقت للشهادات لجميع TEEs الموجودة في Azure. يوفر معلومات أساسية موثوق بها للحوسبة لفرض حد أدنى من الأساس لحلول التصديق. تشمل الفوائد من بناء واستخدام خدمة التصديق الخاصة بك ما يلي:

• 100% السيطرة على عمليات التصديق لتلبية المتطلبات التنظيمية والامتثال.
• تخصيص عمليات التكامل مع تقنيات الحوسبة الأخرى.

سيناريوهات التصديق في Microsoft

يمكنك الاختيار بين موفر السحابة وخدمات التصديق الخاصة بك للعديد من سيناريوهات تصديق Microsoft. تقدم الأقسام التالية عروض Azure وسيناريوهات التصديق المتوفرة.

الأجهزة الظاهرية مع جيوب التطبيق

يتم تمكين الأجهزة الظاهرية مع جيوب التطبيق بواسطة Intel SGX. يمكن للمؤسسات إنشاء جيوب تحمي البيانات وتحافظ على تشفير البيانات أثناء معالجة وحدة المعالجة المركزية للبيانات. يمكنك التصديق على جيوب Intel SGX في Azure باستخدام Azure Attestation وبوحدك. لمزيد من المعلومات، راجع:

• الصفحة الرئيسية لإثبات Intel SGX
• موفر السحابة: شهادة نموذج التعليمات البرمجية Intel SGX مع Azure Attestation
• إنشاء شهادة الجيب الخاصة بك: فتح الجيب

الأجهزة الظاهرية السرية

يتم تمكين الأجهزة الظاهرية السرية بواسطة AMD SEV-SNP. يمكن أن يكون لدى المؤسسات عزل قائم على الأجهزة بين الأجهزة الظاهرية ورمز إدارة المضيف الأساسي (بما في ذلك برنامج مراقبة الأجهزة الافتراضية). يمكنك التصديق على الأجهزة الظاهرية السرية المدارة في Azure باستخدام Azure Attestation وبخصوصك. لمزيد من المعلومات، راجع:

• الصفحة الرئيسية لإثبات الأجهزة الظاهرية السرية
• موفر السحابة: ما هو إثبات الضيف للأجهزة الظاهرية السرية؟
• إنشاء تقريرك الخاص: إحضار تقرير AMD SEV-SNP الأولي والتحقق من صحته بنفسك

حاويات سرية على مثيلات حاوية Azure

توفر الحاويات السرية في Azure Container Instances مجموعة من الميزات والقدرات لتأمين أحمال عمل الحاوية القياسية بشكل أكبر لتحقيق أمان أعلى للبيانات وخصوصية البيانات وأهداف تكامل التعليمات البرمجية لوقت التشغيل. يتم تشغيل الحاويات السرية في TEE مدعوم بالأجهزة التي توفر قدرات جوهرية مثل تكامل البيانات وسرية البيانات وتكامل التعليمات البرمجية. لمزيد من المعلومات، راجع:

• موفر السحابة: التصديق في حاويات سرية على مثيلات حاوية Azure