Upravit

Sdílet prostřednictvím


Návrh architektury multiparty computingu

Azure Blob Storage
Azure Kubernetes Service (AKS)
Azure SQL Database

Výpočty s více částmi nebo zachování ochrany osobních údajů umožňují stranám v obchodním vztahu sdílet data, provádět výpočty a dorazit na vzájemný výsledek, aniž by došlo k vyzrazení jejich soukromých dat. Služby Azure vám můžou pomoct vytvořit řešení pro vícedílné výpočetní prostředí. Řešení může zahrnovat cloudové a místní prostředky.

Multiparty computing má následující atributy:

  • Je zapojeno více společností nebo organizací.
  • Strany jsou nezávislé.
  • Strany navzájem nedůvěřují všem svým datům.
  • Všichni účastníci mají přístup ke společné výpočetní platformě a platformě úložiště dat.
  • Některé procesy musí být pro některé zúčastněné strany soukromé.

Dodavatelský řetězec je příkladem pracovního postupu, který zahrnuje více stran. Suroviny proudí z místa původu do výroby. Zboží od výrobce prochází přepravními partnery do distribučního centra. Z centra se zboží odesílá do maloobchodních prodejen.

Diagram znázorňuje průběh členů dodavatelského řetězce jako klipartů.

Tento proces má společnosti, které spolupracují. Mezi tyto strany patří dodavatel surovin, výrobce, přepravní firmy, skladové operátory a maloobchodní prodejny. Produkt se během dodavatelského řetězce několikrát změní rukou. Různé strany musí sledovat produkt ve všech fázích.

Technologie multiparty computingu

Multiparty computing zahrnuje různé technologie, které umožňují stranám bezpečně provádět transakce přes síť.

Diagram znázorňuje implementované hlavní knihy jako důvěrné výpočetní prostředky, Azure Kubernetes Service, virtuální počítače nebo nabídky partnerů.

Jednou z možností je distribuovaná registru. Příkladem je blockchain. Blockchain je registr dat, který lze sdílet mezi nezávislými stranami, kde všechny strany důvěřují datům v registru. Transakce se shromažďují v blocích s každým blokem, který je propojí s předchozím blokem. Některé distribuované knihy nepoužívají bloky. Každá transakce může být propojena s předchozí transakcí v registru.

Další možností pro multiparty computing používá hardwarově chráněnou paměť na samotném procesoru. Tyto oblasti, označované jako zabezpečené enklávy, jsou kryptograficky chráněné. Tento přístup znamená, že ani privilegovaný správce, který má úplný přístup k serveru, nemůže na proces ani data v těchto zabezpečených enklávách podívat.

Vzhledem k tomu, že zabezpečené enklávy mají schopnost vzdáleně se testovat na jiné enklávy, můžete navrhnout více organizačních sítí, kde systém běží z enkláv. Tento přístup se nazývá důvěryhodné spouštěcí prostředí.

Azure Confidential Ledger je služba spravovaná v Azure, která umožňuje spouštět blockchainové modely na zabezpečených enklávách.

Nakonec můžete zvolit centralizovaný systém, který nabízí neměnnost a důvěryhodnost. Registr služby Azure SQL Database nabízí důvěryhodnost potřebnou pro vícedílné výpočetní prostředí v relační databázi. Možná nepotřebujete decentralizovaný konsensus, ale jen neměnnost aspektu registru.

Modely blockchainové sítě

Pokud se chcete rozhodnout, jestli je blockchain vhodný pro obchodní proces, zvažte tyto otázky:

  • Překračuje tento obchodní proces hranice důvěryhodnosti?
  • Sdílí a aktualizuje data více stran?
  • Existují zprostředkovatelé, kteří řídí jediný zdroj pravdy?
  • Zahrnuje proces kroky ručního ověření nízké hodnoty?

Pokud jsou odpovědi na tyto otázky ano, je obchodní proces vhodným kandidátem pro přístup založený na blockchainu. I když některé odpovědi nejsou , blockchain by stále mohl dávat smysl. Než se rozhodnete, pečlivě se podívejte na další možnosti multiparty computingu.

Existují různé druhy blockchainových sítí, které řeší vaše obchodní potřeby. Jednou z charakteristik je kritéria pro účast v síti. Pokud je síť otevřená pro všechny, označuje se jako veřejná blockchainová síť. Stačí stáhnout klienta a připojit se. Většina chýlů funguje tímto způsobem.

Alternativou je blockchainová síť s oprávněními, kde potřebujete oprávnění od stávajících členů sítě pro připojení. Tento model funguje pro podniky, které pracují se známými organizacemi. Například superstore může chtít mít uzavřenou blockchainovou síť s oprávněním pro účastníky dodavatelského řetězce.

Obchodní proces může vyžadovat pouze data s manipulací nebo manipulací, která by nepožadovali blockchain. Pokud váš proces může běžet centrálně nebo všechny strany vzájemně důvěřují datům, blockchain může být také zbytečný.

Vícedílné výpočetní prostředí Azure

Tato část popisuje možnosti multiparty computingu dostupné pomocí služeb Azure.

Blockchain se službou Azure Virtual Machines

Software registru můžete spouštět pomocí služby Azure Virtual Machines. Vytvořte libovolný počet virtuálních počítačů a připojte je v blockchainové síti.

Nasazení vlastních virtuálních počítačů umožňuje přizpůsobit řešení. Tento přístup zahrnuje režijní náklady na správu, jako jsou aktualizace, vysoká dostupnost a požadavky na provozní kontinuitu. Můžete mít více organizací a více cloudových účtů. Propojení jednotlivých uzlů může být složité.

V Azure jsou k dispozici šablony nasazení pro většinu blockchainových registrů pro virtuální počítače.

Blockchain v Kubernetes

Vzhledem k tomu, že většina blockchainových registrů podporuje nasazování do kontejnerů, můžete ke správě kontejnerů použít Kubernetes. Azure Kubernetes Service (AKS) je služba Kubernetes spravovaná v Azure, kterou můžete použít k nasazení a konfiguraci blockchainových uzlů.

Implementace AKS mají spravovanou službu pro virtuální počítače, které využívají cluster AKS. Vaše organizace ale musí dál spravovat clustery AKS a všechny možnosti sítě nebo úložiště ve vaší architektuře.

V Azure jsou k dispozici šablony nasazení pro většinu blockchainových registrů pro AKS.

Blockchain jako služba

podpora Azure služby třetích stran, které spouští software registru v Azure. Poskytovatel služeb spravuje infrastrukturu. Zpracovávají údržbu a aktualizace. Služba zahrnuje vysokou dostupnost a správu konsorcia.

ConsenSys nabízí kvorum v Azure. Kvorum je opensourcová vrstva protokolu, která podporuje aplikace založené na platformě Ethereum.

V budoucnu mohou existovat další nabídky.

Azure Confidential Ledger

Azure Confidential Ledger je spravovaná služba založená na rozhraní Confidential Consortium Framework. Implementuje blockchainovou síť s oprávněními pro uzly v rámci důvěrného výpočetního prostředí Azure. Důvěrné registru staví na existujícím šifrování.

  • Existující šifrování
    • Neaktivní uložená data. Šifrování neaktivních dat, když jsou uložená v úložišti objektů blob nebo v databázi.
    • Přenášená data. Šifrování dat, která proudí mezi veřejnými nebo privátními sítěmi
  • Důvěrné výpočetní operace
    • Data, která se používají. Šifrovat užitá data, zatímco v paměti a během výpočtu.

Důvěrné výpočty umožňují šifrování dat v hlavní paměti. Důvěrné výpočty umožňují zpracovávat data z více zdrojů, aniž byste vstupní data zpřístupňuje jiným stranám. Tento typ zabezpečeného výpočtu podporuje scénáře multiparty computingu, ve kterých je ochrana dat povinná v každém kroku, jako je detekce praní peněz, detekce podvodů a zabezpečená analýza zdravotních dat.

Data uložená v důvěrném registru jsou neměnná a manipulací v registru jen pro připojení. Hlavní kniha je také nezávisle ověřitelná. Důvěrné registru používá zabezpečené enklávy pro decentralizovanou blockchainovou síť a vyžaduje minimální důvěryhodnou výpočetní základnu.

Registr služby Azure SQL Database

Registr služby Azure SQL Database umožňuje účastníkům ověřit integritu dat centrálně otevřených dat bez konsensu sítě blockchainové sítě. U některých centralizovaných řešení je vztah důvěryhodnosti důležitý, ale decentralizovaná infrastruktura není nutná. Tento přístup zabraňuje složitosti a dopadům na výkon takové infrastruktury.

Diagram znázorňuje architekturu registru databáze.

Hlavní kniha poskytuje funkce pro manipulaci s důkazy pro vaši databázi. Tyto funkce umožňují kryptograficky ověřit, že vaše data nebyla manipulována.

Hlavní kniha pomáhá chránit data před jakýmkoli útočníkem nebo vysoce privilegovaným uživatelem, včetně databází, systémů a správců cloudu. Historická data se zachovají. Pokud se v databázi aktualizuje řádek, zachová se její předchozí hodnota v tabulce historie. To nabízí ochranu bez jakýchkoli změn aplikace.

Hlavní kniha je funkce služby Azure SQL Database. Je možné ji povolit v jakékoli existující službě Azure SQL Database.

Porovnání možností

Důvěrné registru a registr služby Azure SQL Database

Tato tabulka porovnává důvěrné hlavní knihy s registrem služby Azure SQL Database.

Hlavní kniha služby SQL Database Důvěrné hlavní knihy
Centralizovaný systém, který vyžaduje důkazy o manipulaci Yes No
Decentralizovaný systém, který vyžaduje manipulaci s daty No Ano
Chrání relační data před manipulací. Yes No
Chrání nestrukturovaná data před manipulací. No Ano
Zabezpečení úložiště řetězových dat v blockchainu Yes No
Zabezpečení úložiště mimo řetěz pro soubory odkazované z blockchainu No Ano
Relační data se dají dotazovat. Yes No
Nestrukturovaná uložená data se dají dotazovat. No Ano

Důvěrné registru a Azure Blob Storage

Neměnná funkce úložiště služby Azure Blob Storage zajišťuje, že se data zapsaná do úložiště můžou číst, ale nikdy se nezmění. Tato tabulka porovnává tuto technologii s důvěrného registru.

Důvěrné hlavní knihy Neměnné úložiště
Důvěrné enklávy hardwaru Yes No
Integrita dat pouze připojení Ano Ano, omezené na intervaly
Šifrování dat v použití Yes No
Kontrola registru blockchainu Yes No

Rozhodnutí o multiparty computingu

Tento diagram shrnuje možnosti multiparty computingu se službami Azure.

Diagram shrnuje rozhodnutí při výběru možnosti multiparty computingu.

Stáhněte si soubor aplikace Visio s touto architekturou.

Další kroky