Microsoft Azure Attestation

A Microsoft Azure-igazolás egy egységes megoldás a platform megbízhatóságának és a benne futó bináris fájlok integritásának távoli ellenőrzésére. A szolgáltatás támogatja a megbízható platformmodulok (TPM-ek) által támogatott platformok igazolását, valamint a megbízható végrehajtási környezetek (T Enterprise kiadás) állapotának igazolását, például az Intel® Software Guard-bővítmények (SGX) enklávéit, a virtualizációalapú biztonsági (VBS-) enklávékat, a megbízható platformmodulokat (TPM-eket) és az Azure-belivirtuális gépek megbízható indítását.

Az igazolás azt mutatja be, hogy a szoftver bináris fájljai megfelelően lettek példányosítva egy megbízható platformon. A távoli függő entitások ezután biztosak lehetnek abban, hogy csak az ilyen tervezett szoftverek futnak megbízható hardveren. Az Azure Attestation egy egységes ügyféloldali szolgáltatás és igazolási keretrendszer.

Az Azure-igazolás olyan élvonalbeli biztonsági paradigmákat tesz lehetővé, mint az Azure Confidential Computing és az Intelligent Edge Protection. Az ügyfelek azt kérték, hogy függetlenül ellenőrizzek egy gép helyét, a virtuális gép (VM) helyzetét a gépen, valamint azt a környezetet, amelyben enklávék futnak az adott virtuális gépen. Az Azure-igazolás lehetővé teszi ezeket és számos további ügyfélkérést.

Az Azure Attestation bizonyítékokat kap a számítási entitásoktól, jogcímek készletévé alakítja őket, konfigurálható szabályzatokkal érvényesíti őket, és titkosítási bizonyítékokat állít elő a jogcímalapú alkalmazásokhoz (például függő entitásokhoz és naplózási hatóságokhoz).

Az Azure Attestation támogatja az AMD Standard kiadás V-SNP-alapú bizalmas virtuális gépek (CVM-ek) platform- és vendégigazolását is. Az Azure Attestation-alapú platformigazolás automatikusan történik a CVM-ek kritikus rendszerindítási útvonala során, és nincs szükség ügyfélműveletre. A vendégigazolásról további információt a bizalmas virtuális gépek vendégigazolásának általános elérhetőségéről szóló cikkben talál.

Használati esetek

Az Azure Attestation átfogó igazolási szolgáltatásokat nyújt több környezethez és megkülönböztető használati esetekhez.

SGX-enklávé igazolás

Az Intel® Software Guard-bővítmények (SGX) hardveres elkülönítésre utalnak, amelyet bizonyos Intel CPU-modellek támogatnak. Az SGX lehetővé teszi a kód futtatását az SGX-enklávéknak nevezett sanitizált rekeszekben. A hozzáférést és a memóriaengedélyeket ezután hardver felügyeli a minimális támadási felület megfelelő elkülönítése érdekében.

Az ügyfélalkalmazások úgy tervezhetők, hogy kihasználhassák az SGX-enklávék előnyeit azáltal, hogy delegálják a biztonsági szempontból érzékeny feladatokat az adott enklávékban. Ezek az alkalmazások ezután az Azure-igazolás használatával rutinszerűen alakíthatják ki az enklávéba vetett bizalmat és a bizalmas adatokhoz való hozzáférés képességét.

Az Intel® Xeon® skálázható processzorai csak az ECDSA-alapú igazolási megoldásokat támogatják az SGX-enklávék távoli igazolásához. Az ECDSA-alapú igazolási modell használatával az Azure Attestation támogatja az Intel® Xeon E3 processzorok és az Intel® Xeon®® skálázható processzoralapú kiszolgálóplatformok érvényesítését.

Feljegyzés

Az Azure Attestation használatával az Intel® Xeon® skálázható processzoralapú kiszolgálóplatformjainak igazolásához a felhasználók várhatóan az Azure DCAP 1.10.0-s vagy újabb verzióját telepítik.

Enklávéigazolás megnyitása

Az Open Enclave (OE) olyan kódtárak gyűjteménye, amelyek célja egy egységes, egységes forráskivételi absztrakció létrehozása a fejlesztők számára a T Enterprise kiadás-alapú alkalmazások létrehozásához. Univerzális biztonságos alkalmazásmodellt kínál, amely minimalizálja a platformspecifikusságokat. A Microsoft alapvető ugródeszkaként tekint a hardveralapú enklávétechnológiák, például az SGX demokratizálása és az Azure-ban való elterjedtségük növelése felé.

Az OE szabványosítja az enklávé bizonyítékok ellenőrzésének konkrét követelményeit. Ez az OE-t az Azure-igazolás magas szintű igazolási fogyasztójának minősíti.

TPM-igazolás

A megbízható platformmodulok (TPM) -alapú igazolás kritikus fontosságúak a platform állapotának igazolásához. A TPM a megbízhatóság és a biztonsági koprocesszor gyökere, hogy titkosítási érvényességet biztosítson a mérésekhez (bizonyíték). A TPM-sel rendelkező eszközök igazolással igazolhatják, hogy a rendszerindítási integritás nem sérül, és a jogcímekkel észlelik a funkcióállapot-engedélyezést a rendszerindítás során.

Az ügyfélalkalmazások úgy tervezhetők, hogy kihasználhassák a TPM-igazolás előnyeit, ha a biztonsági szempontból érzékeny feladatokat csak a platform biztonságossá tételét követően végzik el. Az ilyen alkalmazások ezt követően az Azure-igazolás használatával rutinszerűen alakíthatják ki a platformba vetett bizalmat és a bizalmas adatokhoz való hozzáférés képességét.

AMD Standard kiadás V-SNP-igazolás

Az Azure Confidential VM (CVM) Standard kiadás V-SNP technológiával rendelkező AMD-processzorokon alapul. A CVM virtuálisgép-operációsrendszer-lemeztitkosítási lehetőséget kínál platform által felügyelt kulcsokkal vagy ügyfél által felügyelt kulcsokkal, és a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti. A CVM indításakor a vendég virtuális gép belső vezérlőprogramjának méréseit tartalmazó SNP-jelentést a rendszer elküldi az Azure-igazolásnak. A szolgáltatás ellenőrzi a méréseket, és kiad egy igazolási jogkivonatot, amely a Managed-HSM vagy az Azure Key Vault kulcsainak kiadására szolgál. Ezek a kulcsok a vendég virtuális gép vTPM-állapotának visszafejtéséhez, az operációsrendszer-lemez feloldásához és a CVM elindításához használhatók. Az igazolási és kulcskiadási folyamat minden CVM-rendszerindításkor automatikusan megtörténik, és a folyamat biztosítja, hogy a CVM csak a hardver sikeres igazolása után induljon el.

Megbízható indítási igazolás

Az Azure-ügyfelek megakadályozhatják a bootkit- és rootkit-fertőzéseket azáltal, hogy engedélyezik a virtuális gépeik (virtuális gépek) megbízható indítását . Ha a virtuális gép biztonságos rendszerindítást végez, és a vTPM engedélyezve van a vendégigazolási bővítmény telepítésével, a rendszerindítási integritás monitorozása érdekében a vTPM-mérések rendszeres időközönként el lesznek küldve az Azure-nak. Az igazolási hiba a potenciális kártevőket jelzi, amelyek Felhőhöz készült Microsoft Defender, riasztásokon és Javaslatok keresztül kerülnek felszínre az ügyfelek számára.

Az Azure-igazolás egy T-ben fut Enterprise kiadás

Az Azure-igazolás kritikus fontosságú a bizalmas számítási forgatókönyvek szempontjából, mivel a következő műveleteket hajtja végre:

• Ellenőrzi, hogy az enklávé bizonyíték érvényes-e.
• Kiértékeli az enklávé bizonyítékait egy ügyfél által meghatározott szabályzattal szemben.
• Bérlőspecifikus szabályzatokat kezel és tárol.
• Létrehoz és aláír egy jogkivonatot, amelyet a függő entitások használnak az enklávéval való interakcióhoz.

Annak érdekében, hogy a Microsoft működési szempontból ne legyen megbízható számítási bázison (TCB), az Azure-igazolás kritikus műveletei, például az idézőjelek érvényesítése, a jogkivonatok létrehozása, a szabályzatok kiértékelése és a jogkivonat-aláírás egy SGX-enklávéba kerülnek.

Miért érdemes az Azure-igazolást használni?

Az Azure Attestation az előnyben részesített választás a T Enterprise kiadás igazolásához, mivel az a következő előnyöket nyújtja:

• Egyesített keretrendszer több környezet, például TPM-ek, SGX-enklávék és VBS-enklávék igazolásához.
• Lehetővé teszi egyéni igazolásszolgáltatók létrehozását és szabályzatok konfigurálását a jogkivonatok létrehozásának korlátozásához.
• Védi az adatokat az AMD Standard kiadás V-SNP-n alapuló SGX-enklávéban vagy bizalmas virtuális gépen való implementálás során.
• Magas rendelkezésre állású szolgáltatás

Megbízhatóság létrehozása az Azure-igazolással

1. Ellenőrizze, hogy az igazolási jogkivonatot az Azure Attestation hozza-e létre – Az Azure Attestation által létrehozott igazolási jogkivonat önaláírt tanúsítvánnyal van aláírva. Az aláíró tanúsítványok URL-címe openID metaadat-végponton keresztül érhető el. A függő entitás lekérheti az aláíró tanúsítványt, és elvégezheti az igazolási jogkivonat aláírás-ellenőrzését. További információért lásd a kódmintákat
2. Ellenőrizze, hogy az Azure-igazolás egy SGX-enklávéban fut-e – A jogkivonat-aláíró tanúsítványok tartalmazzák a T Enterprise kiadás SGX-idézőjelét, amelyen belül az Azure-igazolás fut. Ha a függő entitás inkább ellenőrzi, hogy az Azure-igazolás érvényes SGX-enklávéban fut-e, az SGX-ajánlat lekérhető az aláíró tanúsítványból, és helyben érvényesíthető. További információért lásd a kódmintákat
3. Az Azure Attestation SGX-ajánlat kötésének ellenőrzése az igazolási jogkivonatot aláíró kulccsal – A függő entitás ellenőrizheti, hogy az igazolási jogkivonatot aláíró nyilvános kulcs kivonata megegyezik-e az Azure Attestation SGX-ajánlat jelentésadatmezőjével. További információért lásd a kódmintákat
4. Ellenőrizze, hogy az Azure-igazolási kód mérései megfelelnek-e az Azure által közzétett értékeknek – Az igazolási jogkivonat-aláíró tanúsítványokba beágyazott SGX-idézet tartalmazza az Azure-igazolás kódméréseit, például az MRSIGNER-t. Ha a függő entitás ellenőrizni szeretné, hogy az SGX-ajánlat az Azure-ban futó Azure-igazoláshoz tartozik-e, az MRSIGNER érték lekérhető az SGX-ajánlatból az igazolási jogkivonat aláíró tanúsítványában, és összehasonlítható az Azure-igazolási csapat által biztosított értékkel. Ha szeretné elvégezni ezt az ellenőrzést, küldjön egy kérelmet Azure-támogatás oldalon. Az Azure Attestation csapata az MRSIGNER forgatásának tervezésekor fogja önt elérni.

A kódaláíró tanúsítványok elforgatásakor az Azure-igazolási szolgáltató várhatóan megváltozik. Az Azure Attestation csapata az alábbi bevezetési ütemtervet követi minden mrsigner-rotációhoz:

i. Az Azure Attestation csapata két hónapos türelmi idővel értesíti a közelgő MRSIGNER-értéket a kód megfelelő módosításához

ii. A két hónapos türelmi időszak után az Azure-igazolás elkezdi használni az új MRSIGNER-értéket

iii. Három hónappal az értesítés dátuma után az Azure-igazolás leáll a régi MRSIGNER-érték használatával

Üzletmenet-folytonosság és vészhelyreállítás (BCDR) támogatása

Az Azure-igazolások üzletmenet-folytonossága és vészhelyreállítása (BCDR) lehetővé teszi a régióban előforduló jelentős rendelkezésre állási problémákból vagy katasztrófaeseményekből eredő szolgáltatáskimaradások enyhítését.

A két régióban üzembe helyezett fürtök normál körülmények között egymástól függetlenül működnek. Egy régió meghibásodása vagy kimaradása esetén a következők történnek:

• Az Azure Attestation BCDR zökkenőmentes feladatátvételt biztosít, amelyben az ügyfeleknek nem kell további lépéseket tenniük a helyreállításhoz.
• A régióHoz tartozó Azure Traffic Manager észleli, hogy az állapotadat-mintavétel csökkentett teljesítményű, és a végpontot párosított régióra váltja.
• A meglévő kapcsolatok nem működnek, és belső kiszolgálóhiba vagy időtúllépési problémák lépnek fel.
• Minden vezérlősík-művelet le lesz tiltva. Az ügyfelek nem hozhatnak létre igazolási szolgáltatókat az elsődleges régióban.
• Minden adatsík-műveletet, beleértve az igazolási hívásokat és a szabályzatkonfigurációt, a másodlagos régió fogja kiszolgálni. Az ügyfelek továbbra is dolgozhatnak az adatsík-műveleteken az elsődleges régiónak megfelelő eredeti URI-val.

Következő lépések

• Az Azure Attestation alapfogalmai
• Igazolási szabályzat létrehozása és aláírása
• Azure-igazolás beállítása a PowerShell használatával