Microsoft Azure confidential ledger

Microsoft Azure confidential ledger (ACL) je nová a vysoce zabezpečená služba pro správu citlivých datových záznamů. Běží výhradně na hardwarových zabezpečených enklávách, což je přísně monitorované a izolované běhové prostředí, které brání potenciálním útokům. Azure confidential ledger navíc běží na minimalistickém důvěryhodném architektonickém základu (TCB), který zajišťuje, aby nikdo nebyl nad registrem, ani Microsoft.

Jak naznačuje její název, důvěrný registr Azure využívá platformu Azure Confidential Computing a architekturu Confidential Consortium Framework k zajištění vysoce integrity chráněného a zřejmého řešení. Jedna kniha pokrývá tři nebo více identických instancí, z nichž každá běží ve vyhrazeném plně otestované enklávě založeném na hardwaru. Integrita hlavní knihy se udržuje prostřednictvím blockchainu založeného na konsensu.

Azure confidential ledger nabízí jedinečné výhody v oblasti integrity dat, včetně neměnnosti, ochrany před úmyslným poškozením a operací spočívajících v pouhém připojení. Tyto funkce, které zajišťují, aby všechny záznamy zůstaly nedotčené, jsou ideální v případě, že se nesmí měnit důležité záznamy metadat, například kvůli zajištění dodržování právních předpisů nebo archivaci.

Tady je několik příkladů věcí, které si můžete uložit do registru:

  • Záznamy týkající se obchodních transakcí (například převody peněz nebo úpravy důvěrných dokumentů).
  • Aktualizace k důvěryhodným prostředkům (například k základním aplikacím nebo kontraktům).
  • Změny správy a řízení (například udělení přístupových oprávnění)
  • Provozní události IT a zabezpečení (například Microsoft Defender pro cloudová upozornění).

Další informace najdete v ukázce důvěrného registru Azure.

Klíčové funkce

Důvěrná kniha je zpřístupněna prostřednictvím rozhraní REST API, která je možné integrovat do nových nebo stávajících aplikací. Důvěrné hlavní knihy můžou spravovat správci využívající rozhraní API pro správu (řídicí rovinu). Lze ho také volat přímo pomocí kódu aplikace prostřednictvím funkčních rozhraní API (rovina dat). Rozhraní API pro správu podporují základní operace, jako je vytvoření, aktualizace, získání a odstranění. Funkční rozhraní API umožňují přímou interakci s vaší instancí registru a zahrnují operace, jako je vložení a získání dat.

Zabezpečení registru

Rozhraní API registru podporují proces ověřování na základě certifikátů s rolemi vlastníka a také ověřování na základě Azure Active Directory (AAD) a také přístup na základě role (například vlastník, čtenář a přispěvatel).

Data do registru se odesílají přes připojení TLS 1.3 a připojení TLS 1.3 se ukončí uvnitř enkláv zabezpečení na základě hardwaru (enklávy Intel® SGX). Tím zajistíte, že nikdo nemůže zachytit připojení mezi klientem zákazníka a důvěrnými uzly serveru hlavní knihy.

Úložiště registru

Důvěrné knihy se vytvářejí jako bloky v kontejnerech úložiště objektů blob patřících do účtu služby Azure Storage. Transakční data se dají buď uložit zašifrovaná, nebo v prostém textu v závislosti na vašich potřebách.

Důvěrné hlavní knihy můžou spravovat správci využívající rozhraní API pro správu (rovinu řízení) a volat ho přímo kódem aplikace prostřednictvím funkčních rozhraní API (rovina dat). Rozhraní API pro správu podporují základní operace, jako je vytvoření, aktualizace, získání a odstranění.

Funkční rozhraní API umožňují přímou interakci s vaší instancí důvěrného registru a zahrnují operace, jako je vložení a získání dat.

Omezení

  • Po vytvoření důvěrného registru nelze změnit typ registru (soukromý nebo veřejný).
  • Odstranění důvěrné knihy Azure vede k "pevnému odstranění", takže po odstranění nebudou vaše data obnovitelná.
  • Názvy důvěrných registru Azure musí být globálně jedinečné. Hlavní knihy se stejným názvem bez ohledu na jejich typ nejsou povoleny.

Terminologie

Pojem Definice
ACL Důvěrné hlavní knihy Azure
Hlavní knihy Neměnný záznam transakcí jen pro připojení (označovaný také jako blockchain)
Potvrzení Potvrzení, že transakce byla připojena k registru.
Příjmu Důkaz, že transakce byla zpracována hlavní knihy.

Další kroky