Megosztás a következőn keresztül:

Alapfogalmak

  • Cikk

Ez a cikk a Microsoft Azure-igazolással kapcsolatos alapvető fogalmakat ismerteti.

JSON webes jogkivonat (JWT-k)

A JSON Web Token (JWT) egy nyílt, szabványos RFC7519 metódus, amely JavaScript Object Notation (JSON) objektumként biztonságosan továbbítja az információkat a felek között. Ezek az információk ellenőrizhetők és megbízhatók, mert digitálisan aláírták. A JWT-k titkos vagy nyilvános/titkos kulcspár használatával írhatók alá.

JSON webkulcs (JWK)

A JSON webkulcs (JWK) egy olyan JSON-adatstruktúra, amely egy titkosítási kulcsot jelöl. Ez a specifikáció egy JWK-készlet JSON-adatstruktúráját is meghatározza, amely JWK-k halmazát jelöli.

Igazolási szolgáltató

Az igazolási szolgáltató a Microsoft.Attestation nevű Azure-erőforrás-szolgáltatóhoz tartozik. Az erőforrás-szolgáltató egy szolgáltatásvégpont, amely azure-igazolási REST-szerződést biztosít, és az Azure Resource Manager használatával van üzembe helyezve. Minden igazolásszolgáltató betart egy adott, felderíthető szabályzatot. Az igazolási szolgáltatók minden igazolási típushoz létrehoznak egy alapértelmezett szabályzatot (vegye figyelembe, hogy a VBS-enklávé nem rendelkezik alapértelmezett szabályzattal). Az SGX alapértelmezett szabályzatával kapcsolatos további részletekért tekintse meg az igazolási szabályzat példáit.

Igazolási kérelem

Az igazolási kérelem egy szerializált JSON-objektum, amelyet az ügyfélalkalmazás küldött az igazolási szolgáltatónak. Az SGX-enklávé kérelemobjektumának két tulajdonsága van:

  • "Idézet" – Az "Idézet" tulajdonság értéke egy sztring, amely az igazolási idézőjel Base64URL kódolt ábrázolását tartalmazza.
  • "EnclaveHeldData" – Az "EnclaveHeldData" tulajdonság értéke egy sztring, amely az Enclave Held Data Base64URL kódolású ábrázolását tartalmazza.

Az Azure Attestation ellenőrzi a megadott "Idézet" értéket, hogy a megadott Enklávé tárolt adatok SHA256 kivonata az idézőjel ReportData mezőjének első 32 bájtjában legyen kifejezve.

Igazolási szabályzat

Az igazolási szabályzat az igazolási bizonyítékok feldolgozására szolgál, és az ügyfelek konfigurálhatók. Az Azure-igazolás lényege egy szabályzatmotor, amely a bizonyítékokat alkotó jogcímeket dolgozza fel. A szabályzatok annak meghatározására szolgálnak, hogy az Azure-igazolásnak ki kell-e adnia egy igazolási jogkivonatot a bizonyítékok alapján (vagy sem), és így támogatja-e az igazolót (vagy sem). Ennek megfelelően az összes szabályzat átadásának elmulasztása azt eredményezi, hogy a rendszer nem bocsát ki JWT-jogkivonatot.

Ha az igazolási szolgáltató alapértelmezett szabályzata nem felel meg az igényeknek, az ügyfelek az Azure-igazolás által támogatott bármely régióban létrehozhatnak egyéni szabályzatokat. A szabályzatkezelés az Azure Attestation által biztosított kulcsfontosságú szolgáltatás az ügyfelek számára. A szabályzatok az igazolási típusra vonatkoznak, és felhasználhatók enklávék azonosítására, jogcímek hozzáadására a kimeneti jogkivonathoz vagy a kimeneti jogkivonat jogcímeinek módosítására.

Példák az igazolási szabályzatra.

A szabályzat-aláírás előnyei

Az igazolási szabályzat végső soron azt határozza meg, hogy egy igazolási jogkivonatot az Azure Attestation állít-e ki. A szabályzat meghatározza az igazolási jogkivonatban létrehozandó jogcímeket is. Fontos, hogy a szolgáltatás által kiértékelt szabályzat a rendszergazda által írt szabályzat legyen, és hogy külső entitások ne módosítják vagy módosítják.

A megbízhatósági modell az igazolási szolgáltató engedélyezési modelljét határozza meg a szabályzat meghatározásához és frissítéséhez. Két modell támogatott: az egyik a Microsoft Entra engedélyezésén alapul, a másik pedig az ügyfél által felügyelt titkosítási kulcsok (más néven izolált modell) birtokán alapul. Az izolált modell lehetővé teszi az Azure-igazolás számára, hogy az ügyfél által elküldött szabályzatot ne módosítsa.

Izolált modellben a rendszergazda létrehoz egy igazolási szolgáltatót, amely egy fájlban megadja a megbízható aláíró X.509-tanúsítványokat. A rendszergazda ezután hozzáadhat egy aláírt szabályzatot az igazolási szolgáltatóhoz. Az Azure Attestation az igazolási kérelem feldolgozása során ellenőrzi a szabályzat aláírását a fejléc "jwk" vagy "x5c" paramétere által képviselt nyilvános kulccsal. Az Azure-igazolás ellenőrzi, hogy a kérelem fejlécében található nyilvános kulcs szerepel-e az igazolási szolgáltatóhoz társított megbízható aláíró tanúsítványok listájában. Így a függő entitás (Azure Attestation) megbízhat az általa ismert X.509-tanúsítványokkal aláírt szabályzatokban.

Példák a szabályzat-aláíró tanúsítványra a mintákhoz.

Igazolási jogkivonat

Az Azure-igazolási válasz egy JSON-sztring, amelynek értéke JWT-t tartalmaz. Az Azure Attestation csomagba csomagolja a jogcímeket, és létrehoz egy aláírt JWT-t. Az aláírási műveletet egy önaláírt tanúsítvány használatával hajtjuk végre, amelynek tulajdonosneve megegyezik az igazolási szolgáltató AttestUri elemével.

A Get OpenID Metadata API az OpenID Connect Discovery protokoll által megadott OpenID-konfigurációs választ ad vissza. Az API lekéri az Azure Attestation által használt aláíró tanúsítványok metaadatait.

Példák az igazolási jogkivonatra.

A tárolt adatok titkosítása

Az ügyféladatok védelme érdekében az Azure Attestation megőrzi az adatait az Azure Storage-ban. Az Azure Storage biztosítja az inaktív adatok titkosítását, mivel az adatok adatközpontokba vannak írva, és visszafejtik azokat az ügyfelek számára, hogy hozzáférjenek azokhoz. Ez a titkosítás microsoftos felügyelt titkosítási kulccsal történik.

Az Azure Storage-beli adatok védelme mellett az Azure Attestation az Azure Disk Encryption (ADE) használatával is titkosítja a szolgáltatás virtuális gépeit. Az Azure-beli bizalmas számítástechnikai környezetekben enklávéban futó Azure-igazolások esetében az ADE-bővítmény jelenleg nem támogatott. Ilyen esetekben az adatok memóriában való tárolásának megakadályozása érdekében a lapfájl le van tiltva.

Az Azure Attestation-példány helyi merevlemez-meghajtói nem őriznek meg ügyféladatokat.

Következő lépések