La calcul multipartite, ou calcul préservant la confidentialité, permet aux différentes parties d’une relation commerciale de partager des données, d’effectuer des calculs et de parvenir à un résultat mutuel sans divulguer leurs données privées. Les services Azure peuvent vous aider à créer une solution de calcul multipartite. Cette solution peut inclure des ressources cloud et locales.
Le calcul multipartite comporte les attributs suivants :
- Plusieurs entreprises ou organisations sont impliquées.
- Les parties sont indépendantes.
- Les parties ne souhaitent pas partager toutes leurs données.
- Toutes les parties accèdent à une plateforme commune de stockage de données et de calcul.
- Certains processus ne doivent pas être partagés avec les parties impliquées.
Calcul multipartite Azure
Cette section décrit les options de calcul multipartite qui sont disponibles en utilisant les services Azure.
Blockchain avec des machines virtuelles Azure
Vous pouvez exécuter un registre logiciel en utilisant des machines virtuelles Azure. Créez autant de machines virtuelles que nécessaire et connectez-les dans un réseau blockchain.
Le fait de déployer vos propres machines virtuelles vous permet de personnaliser votre solution. Cette approche implique des frais de gestion, comme ceux liés aux mises à jour, à la haute disponibilité et aux exigences de continuité d’activité. Vous pouvez disposer de plusieurs organisations et de plusieurs comptes cloud. La connexion des nœuds peut se révéler compliquée.
Des modèles de déploiement sont disponibles dans Azure pour la plupart des registres blockchain pour les machines virtuelles.
Blockchain sur Kubernetes
La plupart des registres blockchain prenant en charge le déploiement dans des conteneurs Docker, vous pouvez utiliser Kubernetes pour gérer les conteneurs. Azure propose une offre Kubernetes managée appelée Azure Kubernetes Service (AKS), que vous pouvez utiliser pour déployer et configurer vos nœuds blockchain.
Les implémentations d’AKS sont fournies avec un service managé pour les machines virtuelles qui alimentent le cluster AKS. Votre organisation doit toujours gérer vos clusters AKS ainsi que les options de réseau ou de stockage de votre architecture.
Des modèles de déploiement sont disponibles dans Azure pour la plupart des registres blockchain pour AKS.
Blockchain en tant que service
Azure prend en charge des services tiers qui exécutent des registres dans Azure. Le fournisseur de services gère l’infrastructure. Il gère la maintenance et les mises à jour. La haute disponibilité et la gestion des consortiums sont incluses dans le service.
ConsenSys permet l’utilisation de Quorum dans Azure. Quorum est une couche de protocole open source qui prend en charge les applications basées sur Ethereum.
D’autres offres seront peut-être disponibles dans l’avenir.
Registre confidentiel Azure
Le registre confidentiel Azure est un service géré basé sur le Confidential Consortium Framework. Il implémente un réseau blockchain de nœuds avec autorisations dans le calcul confidentiel Azure. Le registre confidentiel s’appuie sur le chiffrement existant.
- Chiffrement existant :
- Données au repos. Chiffrez les données inactives lorsqu’elles sont stockées dans un stockage d’objets blob ou dans une base de données.
- Données en transit. Chiffrez les données qui circulent entre les réseaux publics ou privés.
- Informatique confidentielle :
- Données en cours d’utilisation. Chiffrez les données en cours d’utilisation lorsqu’elles sont en mémoire et pendant le calcul.
Le calcul confidentiel permet de chiffrer les données dans la mémoire principale. Le calcul confidentiel Azure vous permet de traiter des données issues de plusieurs sources sans exposer les données entrées à d’autres parties. Ce type de calcul sécurisé prend en charge les scénarios de calcul multipartite où la protection des données est obligatoire à chaque étape. Tel est le cas de la détection du blanchiment d’argent, de la détection des fraudes et de l’analyse sécurisée des données de santé.
Les données stockées dans le registre confidentiel sont immuables et infalsifiables dans le registre d’ajout uniquement. Le registre est également vérifiable de manière indépendante. Le registre confidentiel utilise des enclaves sécurisées pour un réseau blockchain décentralisé et exige au minimum une base de calcul approuvée.
Registre Azure SQL Database
Le registre Azure SQL Database permet aux participants de vérifier l’intégrité des données hébergées de manière centralisée, sans le consensus réseau d’un réseau blockchain. L’approbation est importante pour certaines solutions centralisées, mais l’infrastructure décentralisée n’est pas nécessaire. Cette approche permet d’éviter la complexité et les exigences de performances d’une telle infrastructure.
Le registre fournit des fonctionnalités de preuve de falsification pour votre base de données. Ces fonctionnalités vous permettent d’attester par chiffrement que vos données n’ont pas été falsifiées.
Le registre vous aide à protéger les données contre les utilisateurs malveillants ou dotés de privilèges élevés, comme les administrateurs de base de données, les administrateurs système et les administrateurs cloud. Les données d’historique sont conservées. Si une ligne est mise à jour dans la base de données, sa valeur précédente est conservée et protégée dans un tableau d’historique. Cette capacité offre une protection sans aucune modification de l’application.
Le registre est une fonctionnalité de SQL Database. Il peut être activé dans n’importe quelle instance SQL Database existante.
Comparer les options
Servez-vous des tableaux suivants pour comparer les options et prendre ainsi des décisions avisées.
Registre confidentiel et registre SQL Database
Ce tableau compare le registre confidentiel au registre SQL Database.
| Fonctionnalités | Registre SQL Database | Registre confidentiel |
|---|---|---|
| Système centralisé nécessitant des preuves de falsification | Oui | Non |
| Système décentralisé nécessitant que les données soient infalsifiables | Non | Oui |
| Protège les données relationnelles contre toute falsification | Oui | Non |
| Protège les données non structurées contre toute falsification | Non | Oui |
| Stockage hors chaîne sécurisé des données d’une blockchain | Oui | Non |
| Stockage hors chaîne sécurisé des fichiers référencés à partir d’une blockchain | Non | Oui |
| Les données relationnelles sont interrogeables | Oui | Non |
| Les données stockées non structurées sont interrogeables | Non | Oui |
Registre confidentiel et Stockage Blob Azure
La fonctionnalité de stockage immuable du Stockage Blob Azure garantit que les données qui y sont écrites pourront être lues mais jamais modifiées. Ce tableau compare cette technologie au registre confidentiel.
| Fonctionnalités | Registre confidentiel | Stockage non modifiable |
|---|---|---|
| Enclaves matérielles confidentielles | Oui | Non |
| Intégrité des données avec ajout uniquement | Yes | Oui, limité aux intervalles |
| Chiffrement des données en cours d’utilisation | Oui | Non |
| Preuve du registre blockchain | Oui | Non |
Choix du calcul multipartite
Ce diagramme résume les options de calcul multipartite proposées par les services Azure.
Étapes suivantes
- Registre confidentiel Azure
- Registre Azure SQL Database
- Machines virtuelles Azure
- Azure Kubernetes Service
- Azure SQL Database
- Authentifier les nœuds du registre confidentiel Azure
- Architecture de Registre confidentiel Azure