Typy a scénáře ověření identity

Computing je důležitou součástí našeho každodenního života. Pohání vše od našich smartphonů až po klíčovou infrastrukturu. Stále přísnější regulační prostředí, rozšíření kybernetických útoků a rostoucí sofistikovanost útočníků ztěžuje důvěryhodnost pravosti a integrity výpočetních technologií, na které jsme závislí. Ověření identity je technika k ověření softwarových a hardwarových komponent systému. Je to důležitý proces pro vytvoření a zajištění důvěryhodnosti výpočetních technologií, na které spoléháme.

V tomto článku se podíváme na to, co je ověření identity, typy ověření identity, které Microsoft nabízí dnes, a jak můžete tyto typy scénářů ověření identity používat v řešeních Microsoftu.

Co je ověření identity?

Při vzdáleném potvrzení jedna strana (attester) vytváří srozumitelné informace o sobě (důkazy), které umožňují vzdálené straně (spoléhající se strana) rozhodnout, zda má tohoto attester považovat za důvěryhodnou stranu. Jiná důležitá strana (ověřovatel) provádí postupy vzdáleného ověření. Jednoduše řečeno, ověření identity je způsob, jak prokázat, že počítačový systém je důvěryhodný.

Abyste pochopili, co je ověření identity a jak funguje v praxi, tento článek porovnává proces ověření identity ve výpočetním prostředí s příklady reálného života s pasy a kontrolami na pozadí.

Definice a modely používané v tomto článku jsou popsány v dokumentu architektury procesů vzdáleného osvědčování (RAT) vypracovaném organizací IETF (Internet Engineering Task Force). Další informace najdete v tématu Internet Engineering Task Force: Architektura procedur vzdáleného ověření identity (RATs).

Model Passportu

V této části jsou uvedeny dva scénáře pasu.

Vzorek pasu: imigrační přepážka

1. Občan chce pas, aby mohl cestovat do cizí země. Občan předloží požadavky na důkazy své hostitelské zemi nebo oblasti.

2. Hostitelská země/oblast obdrží důkaz o dodržování zásad od jednotlivce a ověří, zda zadané důkazy prokázaly, že jednotlivec splňuje zásady pro vydání pasu:

   • Rodný certifikát je platný a nebyl změněn.
   • Vystavitel rodného listu je důvěryhodný.
   • Jednotlivec není součástí seznamu s omezeným přístupem.

3. Pokud se hostitelská země nebo oblast rozhodne, že důkazy splňují jejich zásady, vydá hostitelská země/oblast pas pro občana.

4. Občan cestuje do cizího státu, ale nejprve musí předložit svůj pas hraničnímu agentovi cizí země/oblasti pro vyhodnocení.

5. Agent hraniční hlídky cizí země/oblasti zkontroluje řadu pravidel v cestovním pasu, než mu začne důvěřovat.

   • Pas je autentický a nebyl změněn.
   • Cestovní pas vytvořila důvěryhodná země/oblast.
   • Platnost pasu nevypršela ani nebyla odvolána.
   • Pas odpovídá zásadám víza nebo věkového požadavku.

6. Agent hraniční hlídky cizí země/oblasti schválí pas a občan může vstoupit do cizí země/oblasti.

Model počítačového pasu

1. Důvěryhodné spouštěcí prostředí (TEE), které se také označuje jako attester, chce načíst tajné kódy od správce tajných kódů, označované také jako předávající strana. Aby bylo možné načíst tajné kódy od správce tajných kódů, musí TEE prokázat správci tajných kódů, že je důvěryhodný a pravý. TEE předloží své důkazy ověřovateli, aby prokázala, že je důvěryhodná a pravá. Důkazy zahrnují hodnotu hash spuštěného kódu, hodnotu hash jeho prostředí sestavení a certifikát vygenerovaný výrobcem.

2. Ověřovatel, což je služba ověření identity, vyhodnocuje, jestli důkaz poskytnutý společností TEE splňuje následující požadavky pro důvěryhodnost:

   • Certifikát je platný a nebyl změněn.
   • Vystavitel certifikátu je důvěryhodný.
   • Důkaz TEE není součástí seznamu omezených položek.

3. Pokud se ověřovatel rozhodne, že důkazy splňují definované zásady, vytvoří ověřovatel výsledek atestace a poskytne ho TEE.

4. TEE chce vyměnit tajemství se správcem tajemství. Nejprve musí předložit výsledek ověření identity správci tajných kódů pro vyhodnocení.

5. Správce tajemství zkontroluje řadu pravidel pro výsledek attestace před tím, než mu může důvěřovat.

   • Výsledek ověření identity je autentický a nebyl změněn.
   • Důvěryhodná autorita vytvořila výsledek ověření identity.
   • Výsledek osvědčení nevypršel ani nebyl odvolán.
   • Výsledek ověření identity odpovídá nakonfigurovaným zásadám správce.

6. Správce tajných kódů schválí výsledek ověření identity a vymění tajné kódy s TEE.

Model kontroly pozadí

V této části jsou představeny dva scénáře prověrky.

Kontrola na pozadí: Ověření školy

1. Osoba provádí prověrku u potenciálního zaměstnavatele, aby získala zaměstnání. Osoba odešle informace o svém vzdělání ze školy, kterou navštěvovala, potenciálnímu zaměstnavateli.

2. Zaměstnavatel získá informace o vzdělání osoby a předá je příslušné škole k ověření.

3. Škola vyhodnotí, jestli vzdělání poskytnuté osobou splňuje školní záznamy.

4. Škola vydá výsledek ověření identity, který ověří, že vzdělání osoby odpovídá jejich záznamům a pošle ho zaměstnavateli.

5. Zaměstnavatel, jinak označovaný jako spoléhající se strana, může předtím, než mu důvěřuje, zkontrolovat řadu pravidel pro výsledek osvědčení.

   • Výsledek ověření identity je autentický, nebyl změněn a pochází ze školy.
   • Důvěryhodná škola vydala výsledek potvrzení.

6. Zaměstnavatel schválí výsledek ověření identity a najímá osobu.

Kontrola pozadí: Výpočty

1. TEE, jinak označovaný jako attester, chce načíst tajné kódy od správce tajných kódů, označovaného také jako předávající strana. Aby bylo možné načíst tajné kódy od správce tajných kódů, musí TEE prokázat, že je důvěryhodná a pravá. TEE pošle své důkazy správci tajemství, aby prokázalo, že je důvěryhodné a pravé. Důkazy zahrnují hodnotu hash spuštěného kódu, hodnotu hash jeho prostředí sestavení a certifikát vygenerovaný výrobcem.

2. Správce tajných kódů načte důkazy z TEE a předá ho ověřiteli.

3. Služba ověřovatele vyhodnocuje, jestli důkazy poskytnuté TEE splňují definované požadavky zásad pro důvěryhodnost:

   • Certifikát je platný a nebyl změněn.
   • Vystavitel certifikátu je důvěryhodný.
   • Důkaz TEE není součástí seznamu omezených položek.

4. Ověřovatel vytvoří výsledek ověření identity pro TEE a odešle ho správci tajných kódů.

5. Správce tajemství zkontroluje řadu pravidel pro výsledek attestace před tím, než mu může důvěřovat.

   • Výsledek ověření identity je autentický a nebyl změněn.
   • Důvěryhodná autorita vytvořila výsledek ověření identity.
   • Výsledek osvědčení nevypršel ani nebyl odvolán.
   • Výsledek ověření identity odpovídá nakonfigurovaným zásadám správce.

6. Správce tajných kódů schválí výsledek ověření identity a vymění tajné kódy s TEE.

Typy ověření identity

Služby ověření identity se používají dvěma různými způsoby. Každá metoda poskytuje své vlastní výhody.

Poskytovatel cloudu

Azure Attestation je služba určená pro zákazníky a rozhraní pro testování TEE, jako jsou enklávy Intel Software Guard Extensions (SGX), enklávy založené na virtualizaci (VBS), moduly důvěryhodné platformy, důvěryhodné spuštění a důvěrné virtuální počítače. Mezi výhody použití služby ověření identity poskytovatele cloudu, jako je například ověření identity Azure, patří:

• Je volně dostupný.
• Zdrojový kód je k dispozici pro státní správu prostřednictvím nástroje Microsoft Code Center Premium Tool.
• Chrání data při používání v rámci enklávy Intel SGX.
• Ověřuje více TEE v rámci jednoho řešení.
• Nabízí silnou smlouvu o úrovni služeb.

Vytvořte si svůj vlastní

Můžete vytvořit vlastní mechanismy ověřování, abyste mohli důvěřovat své výpočetní infrastruktuře pomocí nástrojů, které poskytují poskytovatelé cloudu a hardwaru. Vytvoření vlastních procesů ověření identity pro řešení Microsoftu může vyžadovat použití správy identit důvěryhodného hardwaru (THIM). Toto řešení zpracovává správu certifikátů mezipaměti pro všechny TEE, které se nacházejí v Azure. Poskytuje informace o základně důvěryhodného výpočtu pro zajištění minimální základní úrovně pro řešení potvrzení. Výhody vytváření a používání vlastní služby ověřování zahrnují:

• 100% kontrolu nad procesy ověřování, aby splňovaly regulační požadavky a požadavky na shodu.
• Přizpůsobení integrací s jinými výpočetními technologiemi

Scénáře ověření identity v Microsoftu

V mnoha scénářích ověřování Microsoftu si můžete vybrat mezi poskytovatelem cloudu a vlastními službami ověření identity. Následující části představují nabídky Azure a scénáře ověření identity, které jsou k dispozici.

Virtuální počítače s enklávy aplikací

Virtuální počítače s aplikačními enklávami jsou umožněny technologií Intel SGX. Organizace můžou vytvářet enklávy, které chrání data a udržují data zašifrovaná při zpracování dat procesorem. Enklávy Intel SGX můžete ověřovat v Azure pomocí Azure Attestation a svépomocí. Další informace najdete tady:

• Domovská stránka attestace Intel SGX
• Poskytovatel cloudu: Ověření vzorového kódu Intel SGX pomocí Azure Attestation
• Vytvořte si vlastní: Ověření otevřené enklávy

Důvěrné virtuální počítače

Důvěrné virtuální počítače jsou povoleny AMD SEV-SNP. Organizace můžou mít hardwarovou izolaci mezi virtuálními počítači a základním kódem pro správu hostitelů (včetně hypervisoru). Spravované důvěrné virtuální počítače v Azure můžete ověřit pomocí Azure Attestation nebo vlastními prostředky. Další informace najdete tady:

• Domovská stránka ověření identity důvěrných virtuálních počítačů
• Poskytovatel cloudu: Co je ověření hosta pro důvěrné virtuální počítače?
• Postavte si sami: Načtěte a ověřte nezpracovaný report AMD SEV-SNP vlastními silami

Důvěrné kontejnery ve službě Azure Container Instances

Důvěrné kontejnery ve službě Azure Container Instances poskytují sadu funkcí a možností pro další zabezpečení standardních úloh kontejnerů, aby bylo dosaženo vyššího zabezpečení dat, ochrany osobních údajů a cílů integrity kódu modulu runtime. Důvěrné kontejnery běží v hardwarově založeném TEE, které poskytují vnitřní funkce, jako je integrita dat, důvěrnost dat a integrita kódu. Další informace najdete tady:

• Poskytovatel cloudu: Ověření identity v důvěrných kontejnerech ve službě Azure Container Instances