In diesem Artikel werden häufig gestellte Fragen zum vertraulichen Azure-Hauptbuch beantwortet.
Allgemein
Wie kann ich feststellen, ob der Azure-Dienst für vertrauliche Sachkonten für meine Organisation nützlich wäre?
Das vertrauliche Azure-Hauptbuch eignet sich ideal für Organisationen mit wertvollen Datensätzen für einen motivierten Angreifer, um zu versuchen, das zugrunde liegende Protokollierungs- oder Speichersystem zu kompromittieren, einschließlich "Insider"-Szenarien, in denen ein nicht autorisierter Mitarbeiter versucht, frühere Datensätze zu schmieden, zu ändern oder zu entfernen.
Was macht Azure mit dem vertraulichen Hauptbuch viel sicherer?
Wie der Name schon sagt, nutzt das Hauptbuch die Azure Confidential Computing-Plattform und das Confidential Consortium Framework , um eine lösung mit hoher Integrität bereitzustellen, die manipulationsgeschützt und offensichtlich ist. Ein Ledger erstreckt sich über drei oder mehr identische Instanzen, von denen jede in einer dedizierten, vollständig bestätigten hardwaregestützten Enklave ausgeführt wird. Die Integrität des Ledgers wird durch eine konsensbasierte Blockchain aufrechterhalten.
Beim Schreiben in das vertrauliche Azure-Hauptbuch muss ich Schreibbestätigungen speichern?
Nicht unbedingt. Einige Lösungen erfordern heute, dass Benutzer Schreibbestätigungen für die zukünftige Protokollüberprüfung beibehalten. Dies erfordert, dass Die Benutzer diese Quittungen in einer sicheren Speichereinrichtung verwalten, was zu einer zusätzlichen Belastung führt. Das Hauptbuch beseitigt diese Herausforderung durch einen merkle baumbasierten Ansatz, bei dem Schreibbestätigungen einen vollständigen Strukturpfad zu einem signierten Stamm der Vertrauensstellung enthalten. Benutzer können Transaktionen überprüfen, ohne die Sachdaten zu speichern oder zu verwalten.
Wie kann ich die Echtheit des Ledgers überprüfen?
Sie können überprüfen, ob die Hauptbuchserverknoten, mit denen Ihr Client kommuniziert, authentifiziert sind. Ausführliche Informationen finden Sie unter Authenticating vertraulicher Hauptbuchknoten.
Könnte die Kommunikation zwischen einem Client und einer ACL von einem Azure-Administrator kompromittiert werden, da Azure das TLS zwischen Client und ACL steuert?
Die TLS-Verbindung wird zwischen einem Client und einem bestimmten Knoten hergestellt, der in einer Enklave ausgeführt wird. Wenn die Verbindung innerhalb der Enklave beendet wird, haben weder Azure-Administratoren noch andere Personen Zugriff auf die Enklavendaten aufgrund der Sicherheit, die von der speziellen Intel SGX-Hardware bereitgestellt wird.
Bietet ACL andere Attribute als die Beleg-/Transaktions-ID an?
Neben der Abfrage mit der Beleg-/Transaktions-ID bietet ACL historische Abfragefunktionen zum Lesen der Daten aus Genesis(oder innerhalb eines Bereichs) für einen bestimmten Schlüssel unter Verwendung der Sammlungs-ID (auch als Sub-Ledger-ID bezeichnet). Darüber hinaus fügen die neuesten Vorschauversionen die Möglichkeit hinzu, Daten mithilfe von Tags zu schreiben und abzufragen, die als Schlüssel in einer Sammlung betrachtet werden können. Wir möchten wissen, welche anderen Attribute für die Abfrage nützlich wären, da wir Eingaben für unsere Produktroadmap sammeln.
Werden die Daten auf dem Datenträger separat verschlüsselt? Wenn ja, wo werden die Schlüssel gespeichert?
Beim Speichern von Daten im Hauptbuch können Sie die öffentliche oder private Option auswählen. Die öffentliche Option ist nicht verschlüsselt; Nur-Text und eine gute Passform für bestimmte Anwendungsfälle, die manipulationssichere und auditierbare Sachverwendung erfordern. Die private Option ist jedoch verschlüsselt. Die Daten werden mit drei Verschlüsselungsebenen verschlüsselt (d. h. Ledger Secrets, Ledger Secret Wrapping Key und Wiederherstellungsschlüsselfreigaben), die hier ausführlich erläutert werden.
Benutzerverwaltung
Wie kann ich Benutzer in einem Hauptbuch verwalten?
Sie können Benutzer über das Portal oder über eines der verfügbaren SDKs verwalten: Python, .NET oder Java.
Kann Microsoft mir helfen, Benutzer in einem von mir erstellten Hauptbuch zu verwalten?
Nein. Sobald ein Hauptbuch erstellt wurde, hat Microsoft keinen Zugriff auf die Benutzerverwaltung.
Ich habe ein Hauptbuch ohne Administrator erstellt. Kann ich weiterhin Benutzer hinzufügen?
Wenn Sie ein Hauptbuch ohne Administrator erstellen, erhält das AAD/cert Administratorrechte. Diese Identität kann verwendet werden, um das Hauptbuch zu verwalten.