Microsoft Azure confidential ledger
Microsoft Azure confidential ledger (ACL) je nová a vysoce zabezpečená služba pro správu citlivých datových záznamů. Běží výhradně na hardwarových zabezpečených enklávách, silně monitorovaném a izolovaném prostředí runtime, které udržuje potenciální útoky v zálivu. Azure confidential ledger navíc běží na minimalistickém důvěryhodném architektonickém základu (TCB), který zajišťuje, aby nikdo nebyl nad registrem, ani Microsoft.
Jak název napovídá, důvěrný registr Azure využívá platformu Důvěrné výpočetní operace Azure a architekturu důvěrného konsorcia k poskytování řešení s vysokou integritou, které je chráněné a zřejmé. Jedna kniha pokrývá tři nebo více identických instancí, z nichž každá běží ve vyhrazeném plně otestované hardwarové enklávě. Integrita registru se udržuje prostřednictvím blockchainu založeného na konsensu.
Azure confidential ledger nabízí jedinečné výhody v oblasti integrity dat, včetně neměnnosti, ochrany před úmyslným poškozením a operací spočívajících v pouhém připojení. Tyto funkce, které zajišťují, aby všechny záznamy zůstaly nedotčené, jsou ideální v případě, že se nesmí měnit důležité záznamy metadat, například kvůli zajištění dodržování právních předpisů nebo archivaci.
Tady je několik příkladů toho, co můžete uložit do registru:
- Záznamy týkající se obchodních transakcí (například převody peněz nebo úpravy důvěrných dokumentů).
- Aktualizace k důvěryhodným prostředkům (například základním aplikacím nebo kontraktům).
- Správa istrativní a řídicí změny (například udělení přístupových oprávnění).
- Provozní události IT a zabezpečení (například upozornění Microsoft Defenderu pro cloud).
Další informace najdete v ukázce důvěrných registrů Azure.
Klíčové funkce
Důvěrný registr je zpřístupněn prostřednictvím rozhraní REST API, která je možné integrovat do nových nebo existujících aplikací. Správa istrátory můžou spravovat důvěrný registr pomocí Správa istrativních rozhraní API (řídicí rovina). Důvěrný registr lze také volat přímo kódem aplikace prostřednictvím funkčních rozhraní API (Rovina dat). Rozhraní API Správa istrativní podporují základní operace, jako jsou vytváření, aktualizace, získání a odstranění. Funkční rozhraní API umožňují přímou interakci s vaší instancí registru a zahrnují operace, jako je vložení a získání dat.
Zabezpečení registru
Rozhraní API registru podporují proces ověřování na základě certifikátů s rolemi vlastníka a také ověřování na základě ID Microsoft Entra a také přístup založený na rolích (například vlastník, čtenář a přispěvatel).
Data do hlavní knihy se odesílají prostřednictvím připojení TLS 1.3 a připojení TLS 1.3 se ukončí uvnitř enklávy zabezpečení zálohovaného hardwarem (Intel® SGX), aby nikdo nemohl zachytit připojení mezi klientem zákazníka a důvěrnými uzly serveru registru.
Úložiště registru
Důvěrné hlavní knihy se vytvářejí jako bloky v kontejnerech úložiště objektů blob patřících do účtu Azure Storage. Transakční data můžou být buď uložená zašifrovaná, nebo ve formátu prostého textu v závislosti na vašich potřebách.
Správa istrátory můžou spravovat důvěrný registr pomocí Správa istrativních rozhraní API (řídicí rovina) a důvěrný registr může volat přímo kód aplikace prostřednictvím funkčních rozhraní API (Rovina dat). Rozhraní API Správa istrativní podporují základní operace, jako jsou vytváření, aktualizace, získání a odstranění.
Funkční rozhraní API umožňují přímou interakci s vaší instancí důvěrného registru a zahrnují operace, jako je vložení a získání dat.
Omezení
- Po vytvoření důvěrné knihy nelze změnit typ registru (soukromý nebo veřejný).
- Odstranění důvěrného registru Azure vede k "pevnému odstranění", takže po odstranění nebudou vaše data obnovitelná.
- Názvy důvěrných registrů Azure musí být globálně jedinečné. Hlavní knihy se stejným názvem bez ohledu na jejich typ nejsou povoleny.
Terminologie
| Termín | definice |
|---|---|
| ACL | Důvěrné hlavní knihy Azure |
| Registr | Neměnný záznam o transakcích jen pro připojení (označovaný také jako blockchain) |
| Potvrzení | Potvrzení, že transakce byla připojena k registru. |
| Potvrzení | Důkaz, že hlavní kniha zpracovala transakci. |
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro