Ověřování důvěrných uzlů registru Azure

  • Článek

Ukázky kódu a uživatelé můžou ověřovat důvěrné uzly registru Azure.

Ukázky kódu

Při inicializaci získají ukázky kódu certifikát uzlu dotazováním služby identit. Ukázka kódu načte certifikát uzlu před dotazováním hlavní knihy, aby získala nabídku, která se pak ověří pomocí binárních souborů Ověření hostitele. Pokud ověření proběhne úspěšně, ukázka kódu pokračuje do operací hlavní knihy.

Uživatelé

Uživatelé můžou ověřit pravost uzlů důvěrných registrů Azure, aby ověřili, že skutečně vzájemně souvisejí s enklávem registru jejich registru. Důvěryhodnost můžete vytvořit v uzlech důvěrného registru Azure několika způsoby, které se dají na sebe vzájemně nakládat, aby se zvýšila celková úroveň spolehlivosti. Proto jsou kroky 1 a 2 důležitými mechanismy budování spolehlivosti pro uživatele enklávy důvěrného registru Azure v rámci počátečního handshake protokolu TLS a ověřování v rámci funkčních pracovních postupů. Trvalé připojení klienta se navíc udržuje mezi klientem uživatele a důvěrným registrem.

  1. Ověření uzlu důvěrné knihy: Uzel důvěrné knihy je ověřen dotazováním služby identit hostované Společností Microsoft, která poskytuje certifikát služby, a pomáhá tak ověřit, že uzel registru prezentuje certifikát schválený/podepsaný certifikátem služby pro danou konkrétní instanci. Známá certifikační autorita (CA) nebo zprostředkující certifikační autorita podepíše certifikát serveru pomocí protokolu HTTPS založeného na infrastruktuře veřejných klíčů. V případě důvěrného registru Azure je certifikát certifikační autority vrácen službou identit ve formě certifikátu služby. Pokud tento certifikát uzlu není podepsaný vráceným certifikátem služby, připojení klienta by mělo selhat (jak je implementováno v ukázkovém kódu).

  2. Ověřování důvěrného registru enklávy: Důvěrný registr běží v enklávě Intel® SGX reprezentované sestavou vzdálené ověření identity (nebo uvozovkou), objekt blob dat vygenerovaný uvnitř této enklávy. Tuto funkci může použít jakákoli jiná entita k ověření, že se nabídka vytvořila z aplikace, která běží s ochranou Intel® SGX. Citace obsahuje deklarace identity, které pomáhají identifikovat různé vlastnosti enklávy a aplikace, která je spuštěná. Konkrétně obsahuje hodnotu hash SHA-256 veřejného klíče obsaženého v certifikátu uzlu důvěrné knihy. Citace uzlu důvěrné knihy je možné načíst voláním funkčního rozhraní API pracovního postupu. Načtenou nabídku pak můžete ověřit podle zde popsaných kroků.

Další kroky