Microsoft Azure Attestation
A Microsoft Azure-igazolás egy egységes megoldás a platform megbízhatóságának és a benne futó bináris fájlok integritásának távoli ellenőrzésére. A szolgáltatás támogatja a megbízható platformmodulok (TPM-ek) által támogatott platformok igazolását, valamint a megbízható végrehajtási környezetek (T Enterprise kiadás) állapotának igazolását, például az Intel® Software Guard-bővítmények (SGX) enklávéit, a virtualizációalapú biztonsági (VBS-) enklávékat, a megbízható platformmodulokat (TPM-eket) és az Azure-belivirtuális gépek megbízható indítását.
Az igazolás azt mutatja be, hogy a szoftver bináris fájljai megfelelően lettek példányosítva egy megbízható platformon. A távoli függő entitások ezután biztosak lehetnek abban, hogy csak az ilyen tervezett szoftverek futnak megbízható hardveren. Az Azure Attestation egy egységes ügyféloldali szolgáltatás és igazolási keretrendszer.
Az Azure-igazolás olyan élvonalbeli biztonsági paradigmákat tesz lehetővé, mint az Azure Confidential Computing és az Intelligent Edge Protection. Az ügyfelek azt kérték, hogy függetlenül ellenőrizzek egy gép helyét, a virtuális gép (VM) helyzetét a gépen, valamint azt a környezetet, amelyben enklávék futnak az adott virtuális gépen. Az Azure-igazolás lehetővé teszi ezeket és számos további ügyfélkérést.
Az Azure Attestation bizonyítékokat kap a számítási entitásoktól, jogcímek készletévé alakítja őket, konfigurálható szabályzatokkal érvényesíti őket, és titkosítási bizonyítékokat állít elő a jogcímalapú alkalmazásokhoz (például függő entitásokhoz és naplózási hatóságokhoz).
Az Azure Attestation támogatja az AMD Standard kiadás V-SNP-alapú bizalmas virtuális gépek (CVM-ek) platform- és vendégigazolását is. Az Azure Attestation-alapú platformigazolás automatikusan történik a CVM-ek kritikus rendszerindítási útvonala során, és nincs szükség ügyfélműveletre. A vendégigazolásról további információt a bizalmas virtuális gépek vendégigazolásának általános elérhetőségéről szóló cikkben talál.
Használati esetek
Az Azure Attestation átfogó igazolási szolgáltatásokat nyújt több környezethez és megkülönböztető használati esetekhez.
SGX-enklávé igazolás
Az Intel® Software Guard-bővítmények (SGX) hardveres elkülönítésre utalnak, amelyet bizonyos Intel CPU-modellek támogatnak. Az SGX lehetővé teszi a kód futtatását az SGX-enklávéknak nevezett sanitizált rekeszekben. A hozzáférést és a memóriaengedélyeket ezután hardver felügyeli a minimális támadási felület megfelelő elkülönítése érdekében.
Az ügyfélalkalmazások úgy tervezhetők, hogy kihasználhassák az SGX-enklávék előnyeit azáltal, hogy delegálják a biztonsági szempontból érzékeny feladatokat az adott enklávékban. Ezek az alkalmazások ezután az Azure-igazolás használatával rutinszerűen alakíthatják ki az enklávéba vetett bizalmat és a bizalmas adatokhoz való hozzáférés képességét.
Az Intel® Xeon® skálázható processzorai csak az ECDSA-alapú igazolási megoldásokat támogatják az SGX-enklávék távoli igazolásához. Az ECDSA-alapú igazolási modell használatával az Azure Attestation támogatja az Intel® Xeon E3 processzorok és az Intel® Xeon®® skálázható processzoralapú kiszolgálóplatformok érvényesítését.
Feljegyzés
Az Azure Attestation használatával az Intel® Xeon® skálázható processzoralapú kiszolgálóplatformjainak igazolásához a felhasználók várhatóan az Azure DCAP 1.10.0-s vagy újabb verzióját telepítik.
Enklávéigazolás megnyitása
Az Open Enclave (OE) olyan kódtárak gyűjteménye, amelyek célja egy egységes, egységes forráskivételi absztrakció létrehozása a fejlesztők számára a T Enterprise kiadás-alapú alkalmazások létrehozásához. Univerzális biztonságos alkalmazásmodellt kínál, amely minimalizálja a platformspecifikusságokat. A Microsoft alapvető ugródeszkaként tekint a hardveralapú enklávétechnológiák, például az SGX demokratizálása és az Azure-ban való elterjedtségük növelése felé.
Az OE szabványosítja az enklávé bizonyítékok ellenőrzésének konkrét követelményeit. Ez az OE-t az Azure-igazolás magas szintű igazolási fogyasztójának minősíti.
TPM-igazolás
A megbízható platformmodulok (TPM) -alapú igazolás kritikus fontosságúak a platform állapotának igazolásához. A TPM a megbízhatóság és a biztonsági koprocesszor gyökere, hogy titkosítási érvényességet biztosítson a mérésekhez (bizonyíték). A TPM-sel rendelkező eszközök igazolással igazolhatják, hogy a rendszerindítási integritás nem sérül, és a jogcímekkel észlelik a funkcióállapot-engedélyezést a rendszerindítás során.
Az ügyfélalkalmazások úgy tervezhetők, hogy kihasználhassák a TPM-igazolás előnyeit, ha a biztonsági szempontból érzékeny feladatokat csak a platform biztonságossá tételét követően végzik el. Az ilyen alkalmazások ezt követően az Azure-igazolás használatával rutinszerűen alakíthatják ki a platformba vetett bizalmat és a bizalmas adatokhoz való hozzáférés képességét.
AMD Standard kiadás V-SNP-igazolás
Az Azure Confidential VM (CVM) Standard kiadás V-SNP technológiával rendelkező AMD-processzorokon alapul. A CVM virtuálisgép-operációsrendszer-lemeztitkosítási lehetőséget kínál platform által felügyelt kulcsokkal vagy ügyfél által felügyelt kulcsokkal, és a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti. A CVM indításakor a vendég virtuális gép belső vezérlőprogramjának méréseit tartalmazó SNP-jelentést a rendszer elküldi az Azure-igazolásnak. A szolgáltatás ellenőrzi a méréseket, és kiad egy igazolási jogkivonatot, amely a Managed-HSM vagy az Azure Key Vault kulcsainak kiadására szolgál. Ezek a kulcsok a vendég virtuális gép vTPM-állapotának visszafejtéséhez, az operációsrendszer-lemez feloldásához és a CVM elindításához használhatók. Az igazolási és kulcskiadási folyamat minden CVM-rendszerindításkor automatikusan megtörténik, és a folyamat biztosítja, hogy a CVM csak a hardver sikeres igazolása után induljon el.
Megbízható indítási igazolás
Az Azure-ügyfelek megakadályozhatják a bootkit- és rootkit-fertőzéseket azáltal, hogy engedélyezik a virtuális gépeik (virtuális gépek) megbízható indítását . Ha a virtuális gép biztonságos rendszerindítást végez, és a vTPM engedélyezve van a vendégigazolási bővítmény telepítésével, a rendszerindítási integritás monitorozása érdekében a vTPM-mérések rendszeres időközönként el lesznek küldve az Azure-nak. Az igazolási hiba a potenciális kártevőket jelzi, amelyek Felhőhöz készült Microsoft Defender, riasztásokon és Javaslatok keresztül kerülnek felszínre az ügyfelek számára.
Az Azure-igazolás egy T-ben fut Enterprise kiadás
Az Azure-igazolás kritikus fontosságú a bizalmas számítási forgatókönyvek szempontjából, mivel a következő műveleteket hajtja végre:
- Ellenőrzi, hogy az enklávé bizonyíték érvényes-e.
- Kiértékeli az enklávé bizonyítékait egy ügyfél által meghatározott szabályzattal szemben.
- Bérlőspecifikus szabályzatokat kezel és tárol.
- Létrehoz és aláír egy jogkivonatot, amelyet a függő entitások használnak az enklávéval való interakcióhoz.
Annak érdekében, hogy a Microsoft működési szempontból ne legyen megbízható számítási bázison (TCB), az Azure-igazolás kritikus műveletei, például az idézőjelek érvényesítése, a jogkivonatok létrehozása, a szabályzatok kiértékelése és a jogkivonat-aláírás egy SGX-enklávéba kerülnek.
Miért érdemes az Azure-igazolást használni?
Az Azure Attestation az előnyben részesített választás a T Enterprise kiadás igazolásához, mivel az a következő előnyöket nyújtja:
- Egyesített keretrendszer több környezet, például TPM-ek, SGX-enklávék és VBS-enklávék igazolásához.
- Lehetővé teszi egyéni igazolásszolgáltatók létrehozását és szabályzatok konfigurálását a jogkivonatok létrehozásának korlátozásához.
- Védi az adatokat az AMD Standard kiadás V-SNP-n alapuló SGX-enklávéban vagy bizalmas virtuális gépen való implementálás során.
- Magas rendelkezésre állású szolgáltatás
Megbízhatóság létrehozása az Azure-igazolással
- Ellenőrizze, hogy az igazolási jogkivonatot az Azure Attestation hozza-e létre – Az Azure Attestation által létrehozott igazolási jogkivonat önaláírt tanúsítvánnyal van aláírva. Az aláíró tanúsítványok URL-címe openID metaadat-végponton keresztül érhető el. A függő entitás lekérheti az aláíró tanúsítványt, és elvégezheti az igazolási jogkivonat aláírás-ellenőrzését. További információért lásd a kódmintákat
- Ellenőrizze, hogy az Azure-igazolás egy SGX-enklávéban fut-e – A jogkivonat-aláíró tanúsítványok tartalmazzák a T Enterprise kiadás SGX-idézőjelét, amelyen belül az Azure-igazolás fut. Ha a függő entitás inkább ellenőrzi, hogy az Azure-igazolás érvényes SGX-enklávéban fut-e, az SGX-ajánlat lekérhető az aláíró tanúsítványból, és helyben érvényesíthető. További információért lásd a kódmintákat
- Az Azure Attestation SGX-ajánlat kötésének ellenőrzése az igazolási jogkivonatot aláíró kulccsal – A függő entitás ellenőrizheti, hogy az igazolási jogkivonatot aláíró nyilvános kulcs kivonata megegyezik-e az Azure Attestation SGX-ajánlat jelentésadatmezőjével. További információért lásd a kódmintákat
- Ellenőrizze, hogy az Azure-igazolási kód mérései megfelelnek-e az Azure által közzétett értékeknek – Az igazolási jogkivonat-aláíró tanúsítványokba beágyazott SGX-idézet tartalmazza az Azure-igazolás kódméréseit, például az MRSIGNER-t. Ha a függő entitás ellenőrizni szeretné, hogy az SGX-ajánlat az Azure-ban futó Azure-igazoláshoz tartozik-e, az MRSIGNER érték lekérhető az SGX-ajánlatból az igazolási jogkivonat aláíró tanúsítványában, és összehasonlítható az Azure-igazolási csapat által biztosított értékkel. Ha szeretné elvégezni ezt az ellenőrzést, küldjön egy kérelmet Azure-támogatás oldalon. Az Azure Attestation csapata az MRSIGNER forgatásának tervezésekor fogja önt elérni.
A kódaláíró tanúsítványok elforgatásakor az Azure-igazolási szolgáltató várhatóan megváltozik. Az Azure Attestation csapata az alábbi bevezetési ütemtervet követi minden mrsigner-rotációhoz:
i. Az Azure Attestation csapata két hónapos türelmi idővel értesíti a közelgő MRSIGNER-értéket a kód megfelelő módosításához
ii. A két hónapos türelmi időszak után az Azure-igazolás elkezdi használni az új MRSIGNER-értéket
iii. Három hónappal az értesítés dátuma után az Azure-igazolás leáll a régi MRSIGNER-érték használatával
Üzletmenet-folytonosság és vészhelyreállítás (BCDR) támogatása
Az Azure-igazolások üzletmenet-folytonossága és vészhelyreállítása (BCDR) lehetővé teszi a régióban előforduló jelentős rendelkezésre állási problémákból vagy katasztrófaeseményekből eredő szolgáltatáskimaradások enyhítését.
A két régióban üzembe helyezett fürtök normál körülmények között egymástól függetlenül működnek. Egy régió meghibásodása vagy kimaradása esetén a következők történnek:
- Az Azure Attestation BCDR zökkenőmentes feladatátvételt biztosít, amelyben az ügyfeleknek nem kell további lépéseket tenniük a helyreállításhoz.
- A régióHoz tartozó Azure Traffic Manager észleli, hogy az állapotadat-mintavétel csökkentett teljesítményű, és a végpontot párosított régióra váltja.
- A meglévő kapcsolatok nem működnek, és belső kiszolgálóhiba vagy időtúllépési problémák lépnek fel.
- Minden vezérlősík-művelet le lesz tiltva. Az ügyfelek nem hozhatnak létre igazolási szolgáltatókat az elsődleges régióban.
- Minden adatsík-műveletet, beleértve az igazolási hívásokat és a szabályzatkonfigurációt, a másodlagos régió fogja kiszolgálni. Az ügyfelek továbbra is dolgozhatnak az adatsík-műveleteken az elsődleges régiónak megfelelő eredeti URI-val.