Partage via


Exemples de stratégie de mise en production de clés sécurisées pour l’informatique confidentielle Azure

La version sécurisée des clés (SKR) ne peut publier que des clés marquées exportables en fonction des revendications générées par Microsoft Azure Attestation (MAA). Il existe une intégration étroite à la définition de stratégie SKR aux revendications MAA. Les revendications MAA par environnement d’exécution approuvé (TEE) sont disponibles ici.

Suivez la grammaire de stratégie pour obtenir d’autres exemples sur la façon dont vous pouvez personnaliser les stratégies SKR.

Exemples de stratégie SKR Intel SGX Application Enclaves

Exemple 1 : stratégie SKR basée sur Intel SGX validant les détails du signataire MR (signataire d’enclave SGX) dans le cadre des revendications MAA


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Exemple 2 : stratégie SKR basée sur Intel SGX validant le signataire MR (signataire d’enclave SGX) ou les détails de l’enclave MR dans le cadre des revendications MAA


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Exemple 3 : stratégie SKR basée sur Intel SGX validant le signataire MR (signataire d’enclave SGX) et MR Enclave avec un nombre SVN minimal dans le cadre des revendications MAA

{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-svn",
          "greater": 1
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Exemples de stratégie TEE SKR de machine virtuelle confidentielle AMD SEV-SNP

Exemple 1 : stratégie SKR qui valide s’il s’agit d’une machine virtuelle CVM conforme à Azure et qui s’exécute sur un matériel AMD SEV-SNP authentique et l’autorité d’URL MAA est répartie entre de nombreuses régions.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        },
        {
            "authority": "https://sharedeus2.weu2.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

Exemple 2 : stratégie SKR qui valide si la machine virtuelle CVM est une machine virtuelle conforme à Azure et s’exécute sur un matériel AMD SEV-SNP authentique et est d’un ID de machine virtuelle connu. (Les VMID sont uniques dans Azure)

{
  "version": "1.0.0",
  "allOf": [
    {
      "authority": "https://sharedweu.weu.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-isolation-tee.x-ms-attestation-type",
          "equals": "sevsnpvm"
        },
        {
          "claim": "x-ms-isolation-tee.x-ms-compliance-status",
          "equals": "azure-compliant-cvm"
        },
        {
          "claim": "x-ms-azurevm-vmid",
          "equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
        }
      ]
    }
  ]
}

Exemples de stratégie SKR (Conteneurs confidentiels) sur Azure Container Instances (ACI)

Exemple 1 : conteneurs confidentiels sur ACI validant les conteneurs initiés et les métadonnées de configuration de conteneur dans le cadre du lancement du groupe de conteneurs avec des validations ajoutées indiquant qu’il s’agit d’un matériel AMD SEV-SNP.

Remarque

Les métadonnées des conteneurs sont un hachage de stratégie basé sur le registre, comme dans cet exemple..

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://fabrikam1.wus.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-uvm"
                },
                {
                    "claim": "x-ms-sevsnpvm-hostdata",
                    "equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
                }
            ]
        }
    ]
}

Références

Microsoft Azure Attestation (MAA)

Concept de mise en production de clé sécurisée et étapes de base