Fonctionnalité Secure Key Release avec AKV et Azure Confidential Computing (ACC)

Secure Key Release (SKR) est une fonctionnalité d’Azure Key Vault (AKV) Managed HSM et d’une offre Premium. La version de clé sécurisée permet la publication d’une clé protégée par HSM à partir d’AKV vers un environnement d’exécution approuvé (TEE) attesté, tel qu’une enclave sécurisée, des TEE basées sur des machines virtuelles, etc. SKR ajoute une autre couche de protection d’accès à vos clés de déchiffrement/chiffrement de données, où vous pouvez cibler un environnement d’exécution d’application + TEE avec une configuration connue pour accéder au matériel de clé. Les stratégies SKR définies au moment de la création de clé exportable régissent l’accès à ces clés.

Prise en charge de SKR avec les offres AKV

• Azure Key Vault Premium
• HSM géré par Azure Key Vault

Flux global de mise en production de clé sécurisée avec TEE

SKR ne peut libérer que des clés basées sur les revendications générées par Microsoft Azure Attestation (MAA). Il existe une intégration étroite à la définition de stratégie SKR aux revendications MAA.

Les étapes ci-dessous concernent AKV Premium.

Étape 1 : Créer un HSM Key Vault Premium sauvegardé

Suivez les détails ici pour la création DKV basée sur Az CLI

Veillez à définir la valeur de [--sku] sur « Premium ».

Étape 2 : Créer une stratégie de mise en production de clé sécurisée

Une stratégie de mise en production de clé sécurisée est une stratégie de mise en production au format json définie ici qui spécifie un ensemble de revendications requises en plus de l’autorisation de libérer la clé. Les revendications ici sont basées sur MAA comme indiqué ici pour SGX et ici pour AMD SEV-SNP CVM.

Pour plus d’informations, consultez la page d’exemples spécifiques de TEE. Pour plus d’informations sur la grammaire de stratégie SKR, consultez la grammaire de stratégie de mise en production sécurisée d’Azure Key Vault.

Avant de définir une stratégie SKR, veillez à exécuter votre application TEE via le flux d’attestation à distance. L’attestation à distance n’est pas abordée dans le cadre de ce didacticiel.

Exemple

{
    "version": "1.0.0",
    "anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
                {
                    "claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-isolation-tee.x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

Étape 3 : Créer une clé exportable dans AKV avec une stratégie SKR attachée

Vous trouverez ici les détails exacts du type de clé et d’autres attributs associés.

az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"

Étape 4 : Application s’exécutant au sein d’une TEE effectuant une attestation distante

Cette étape peut être spécifique au type de TEE que vous exécutez votre application Intel SGX Enclaves ou AMD SEV-SNP confidentiels Machines Virtuelles (CVM) ou conteneurs confidentiels s’exécutant dans les enclaves CVM avec AMD SEV-SNP, etc.

Suivez ces exemples de références pour différentes offres de types TEE avec Azure :

• Application au sein de la machine virtuelle CVM basée sur AMD EV-SNP exécutant une version de clé sécurisée
• Conteneurs confidentiels avec Azure Container Instances (ACI) avec des conteneurs side-car SKR
• Applications Intel SGX exécutant une version de clé sécurisée - Implémentation de la solution Open Source Mystikos

Forums Aux Questions (FAQ)

Puis-je effectuer SKR avec des offres informatiques non confidentielles ?

Nombre La stratégie attachée à SKR comprend uniquement les revendications MAA associées aux TEE basées sur du matériel.

Puis-je apporter mon propre fournisseur d’attestation ou service et utiliser ces revendications pour AKV afin de valider et de libérer ?

Nombre AKV comprend et s’intègre uniquement au MAA aujourd’hui.

Puis-je utiliser les kits SDK AKV pour effectuer la mise en production de clé ?

Oui. Dernier SDK intégré à la clé de prise en charge de l’API AKV 7.3.

Pouvez-vous partager des exemples de stratégies de mise en production clés ?

Oui, des exemples détaillés par type TEE sont répertoriés ici.

Puis-je attacher le type de stratégie SKR avec des certificats et des secrets ?

Nombre Pas pour l'instant.

Références

Exemples de stratégie SKR

Azure Container Instance avec des conteneurs confidentiels Secure Key Release avec des voitures latérales de conteneur

CVM sur les applications AMD SEV-SNP avec l’exemple de mise en production de clé sécurisée

API REST AKV avec détails SKR

Grammaire de la stratégie de mise en production de clés sécurisée Azure Key Vault

KITS SDK AKV