Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Azure-igazolás egy egységes megoldás a platform megbízhatóságának és a benne futó bináris fájlok integritásának távoli ellenőrzésére. A szolgáltatás támogatja a megbízható platformmodulok (TPM-ek) által támogatott platformok igazolását, valamint a megbízható végrehajtási környezetek (TEE-k) állapotának igazolását, például az Intel® Software Guard-bővítmények (SGX) enklávéit, a virtualizációalapú biztonsági (VBS-) enklávékat, a megbízható platformmodulokat (TPM-eket) és az Azure-belivirtuális gépek megbízható indítását.
Az igazolás azt mutatja be, hogy a szoftver bináris fájljai megfelelően lettek példányosítva egy megbízható platformon. A távoli függő entitások ezután biztosak lehetnek abban, hogy csak az ilyen tervezett szoftverek futnak megbízható hardveren. Az Azure Attestation egy egységes ügyféloldali szolgáltatás és igazolási keretrendszer.
Az Azure-igazolás olyan élvonalbeli biztonsági paradigmákat tesz lehetővé, mint az Azure Confidential Computing és az Intelligent Edge Protection. A szolgáltatás bizonyítékokat kap a számítási entitásoktól, jogcímek készletévé alakítja őket, konfigurálható szabályzatokkal érvényesíti őket, és titkosítási bizonyítékokat állít elő a jogcímalapú alkalmazásokhoz (például függő entitásokhoz és naplózási hatóságokhoz).
Az Azure Attestation támogatja az AMD SEV-SNP-alapú bizalmas virtuális gépek (CVM-ek) platform- és vendégigazolását is. Az Azure Attestation-alapú platformigazolás automatikusan történik a CVM-ek kritikus rendszerindítási útvonala során, és nincs szükség ügyfélműveletre. A vendégigazolásról további információt a Bizalmas virtuális gépek vendégigazolásának általános elérhetőségéről szóló közleményben talál.
Használati esetek
Az Azure Attestation átfogó igazolási szolgáltatásokat nyújt több környezethez és megkülönböztető használati esetekhez.
AMD SEV-SNP-igazolás bizalmas virtuális gépeken
Az Azure Confidential VM (CVM) SEV-SNP technológiával rendelkező AMD-processzorokon alapul. A CVM virtuálisgép-operációsrendszer-lemeztitkosítási lehetőséget kínál platform által felügyelt kulcsokkal vagy ügyfél által felügyelt kulcsokkal, és a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti. A CVM indításakor a vendég virtuális gép belső vezérlőprogramjának méréseit tartalmazó SNP-jelentést küld a rendszer az Azure-igazolásnak. A szolgáltatás ellenőrzi a méréseket, és kiad egy igazolási jogkivonatot, amely a Managed-HSM vagy az Azure Key Vault kulcsainak kiadására szolgál. Ezek a kulcsok a vendég virtuális gép vTPM-állapotának visszafejtéséhez, az operációsrendszer-lemez feloldásához és a CVM elindításához használhatók. Az igazolási és kulcskiadási folyamat minden CVM-rendszerindításkor automatikusan megtörténik, és a folyamat biztosítja, hogy a CVM csak a hardver sikeres igazolása után induljon el.
AMD SEV-SNP hitelesítés bizalmas konténereken
Az Azure Confidential Containers SEV-SNP technológiával rendelkező AMD-processzorokon alapul. Az Azure Container Instancesben és az Azure Kubernetes Service-ben (előzetes verzióban) üzemeltetett bizalmas tárolók lehetővé teszi tárolócsoportok futtatását egy SEV-SNP által védett megbízható végrehajtási környezetben, amely elkülöníti a tárolócsoportot a tárolókezelési vezérlősíktól és más futó tárolóktól. A bizalmas tárolókban való igazolás magában foglalja az AMD hardverigazolási jelentés lekérését közvetlenül a processzorból. Ez elérhető az SKR-oldalkocsi-tárolóval vagy közvetlenül az alkalmazáslogikába fordítva. A hardverjelentés ezután kicserélhető az Azure Attestation és a managed-HSM vagy a Premium Azure Key Vault (AKV) használatával a titkos kódok lekéréséhez. A hardverjelentést igény szerint saját key vault-rendszerének is megadhatja.
Megbízható indítási igazolás
Az Azure-ügyfelek megakadályozhatják a bootkit- és rootkit-fertőzéseket azáltal, hogy engedélyezik a virtuális gépeik (virtuális gépek) megbízható indítását . Ha a virtuális gép biztonságos rendszerindítást végez, és a vTPM engedélyezve van a vendégigazolási bővítmény telepítésével, a rendszerindítási integritás monitorozása érdekében a vTPM-mérések rendszeres időközönként el lesznek küldve az Azure-nak. Az igazolási hiba potenciális kártevőre utal, amelyet a Microsoft Defender for Cloud riasztásokon és javaslatokon keresztül jelez az ügyfeleknek.
TPM-hitelesítés
A megbízható platformmodulok (TPM) -alapú igazolás kritikus fontosságúak a platform állapotának igazolásához. A TPM a megbízhatóság alapjául és biztonsági társfeldolgozóként szolgál, hogy kriptográfiai érvényességet biztosítson a mérésekhez (bizonyíték). A TPM-sel rendelkező eszközök bizonylatokkal bizonyíthatják, hogy a rendszerindítási integritás nem sérült, és a bizonyítékokkal észlelik a funkció állapotának engedélyezését a rendszerindítás során.
Az ügyfélalkalmazások úgy tervezhetők, hogy kihasználhassák a TPM-igazolás előnyeit, ha a biztonsági szempontból érzékeny feladatokat csak a platform biztonságossá tételét követően végzik el. Az ilyen alkalmazások ezt követően az Azure-igazolás használatával rutinszerűen alakíthatják ki a platformba vetett bizalmat és a bizalmas adatokhoz való hozzáférés képességét.
SGX-enklávé igazolás
Az Intel® Software Guard-bővítmények (SGX) hardveres elkülönítésre utalnak, amelyet bizonyos Intel CPU-modellek támogatnak. Az SGX lehetővé teszi a kód futtatását az SGX-enklávéknak nevezett sanitizált rekeszekben. A hozzáférést és a memóriaengedélyeket ezután hardver felügyeli a minimális támadási felület megfelelő elkülönítése érdekében.
Az ügyfélalkalmazások úgy tervezhetők, hogy kihasználhassák az SGX-enklávék előnyeit azáltal, hogy delegálják a biztonsági szempontból érzékeny feladatokat az adott enklávékban. Ezek az alkalmazások ezután az Azure-igazolás használatával rutinszerűen alakíthatják ki az enklávéba vetett bizalmat és a bizalmas adatokhoz való hozzáférés képességét.
Az Intel® Xeon® skálázható processzorai csak az ECDSA-alapú igazolási megoldásokat támogatják az SGX-enklávék távoli igazolásához. Az ECDSA-alapú igazolási modell használatával az Azure Attestation támogatja az Intel® Xeon E3 processzorok és az Intel® Xeon®® skálázható processzoralapú kiszolgálóplatformok érvényesítését.
Feljegyzés
Az Azure Attestation használatával az Intel® Xeon® skálázható processzoralapú kiszolgálóplatformjainak igazolásához a felhasználók várhatóan az Azure DCAP 1.10.0-s vagy újabb verzióját telepítik.
Open Enclave igazolás
Az Open Enclave (OE) kódtárak gyűjteménye, amelyek célja egy egységes, egységesítő absztrakció létrehozása a fejlesztők számára a TEE-alapú alkalmazások létrehozásához. Univerzális biztonságos alkalmazásmodellt kínál, amely minimalizálja a platformspecifikusságokat. A Microsoft alapvető ugródeszkaként tekint a hardveralapú enklávétechnológiák, például az SGX demokratizálása és az Azure-ban való elterjedtségük növelése felé.
Az OE szabványosítja az enklávé bizonyítékok ellenőrzésének konkrét követelményeit. Ez az OE-t az Azure Tanúsítás megfelelő felhasználójának minősíti.
Az Azure hitelesítés egy TEE-ben fut
Az Azure-igazolás kritikus fontosságú a bizalmas számítási forgatókönyvek szempontjából, mivel a következő műveleteket hajtja végre:
- Ellenőrzi, hogy az enklávé bizonyíték érvényes-e.
- Kiértékeli az enklávé bizonyítékait egy ügyfél által meghatározott szabályzattal szemben.
- Bérlőspecifikus szabályzatokat kezel és tárol.
- Létrehoz és aláír egy tokent, amelyet a bízó felek az enklávéval való interakció kialakításához használnak.
Annak érdekében, hogy a Microsoft üzemeltetési szempontból kimaradjon a megbízható számítási bázisból (TCB), az Azure Attestation kritikus műveleteit, mint például az idézetek érvényesítése, a tokenek generálása, a szabályzatok értékelése és a tokenek aláírása egy SGX-enklávéba helyezték át.
Miért érdemes az Azure-igazolást használni?
Az Azure Attestation az előnyben részesített választás a megbízható végrehajtási környezetek igazolásához, mivel a következő előnyöket nyújtja:
- Egységes keretrendszer több környezet, például TPM-ek, SGX-enklávék és VBS-enklávék igazolásához.
- Lehetővé teszi egyéni igazolásszolgáltatók létrehozását és szabályzatok konfigurálását a jogkivonatok létrehozásának korlátozásához.
- Védi az adatokat használat közben az AMD SEV-SNP technológián alapuló SGX-enklávé vagy bizalmas virtuális gép alkalmazásával.
- Magas rendelkezésre állású szolgáltatás
Megbízhatóság létrehozása az Azure-igazolással
- Ellenőrizze, hogy az igazolási jogkivonatot az Azure Attestation hozza-e létre – Az Azure Attestation által létrehozott igazolási jogkivonat aláírása önaláírt tanúsítvánnyal történik. Az aláíró tanúsítványok URL-címe openID metaadat-végponton keresztül érhető el. A függő entitás lekérheti az aláíró tanúsítványt, és elvégezheti az igazolási jogkivonat aláírás-ellenőrzését. További információt a kódmintákban talál.
- Ellenőrizze, hogy az Azure-igazolás egy SGX-enklávéban vagy SEV-SNP tárolóban fut-e – A jogkivonat-aláíró tanúsítványok információkat tartalmaznak arról a TEE-ről, amelyen belül az Azure-igazolás fut. Ez a TEE-anyag lehet egy SGX-ajánlat vagy egy SEV-SNP jelentés. A függő entitás ellenőrizheti, hogy az Azure-igazolás érvényes TEE-ben fut-e, ha helyben érvényesíti az árajánlatot vagy a jelentést. További információ: kódminták – SGX, SEV-SNP
- Az Azure Attestation TEE-jelentés kötésének ellenőrzése az igazolási jogkivonatot aláíró kulccsal – A függő entitás ellenőrizheti, hogy az igazolási jogkivonatot aláíró nyilvános kulcs kivonata megegyezik-e az Azure Attestation TEE jelentés adatmezőjével. További részleteket itt talál.
- Ellenőrizze, hogy az Azure-igazolási kód mérései egyeznek-e az Azure által közzétett értékekkel – Az igazolási jogkivonat aláíró tanúsítványaiban beágyazott TEE-biztosíték tartalmazza az Azure-igazolás TEE-kódméréseit. A hitelesített fél ellenőrizheti, hogy az idézet vagy jelentés az Azure Attestationhez tartozik-e, ha összehasonlítja a TEE-biztosítékban szereplő konkrét értékeket az Azure Attestation csapat által biztosított értékekkel az igazolási jogkivonat aláíró tanúsítványában. Az SGX esetében az MRSIGNER-t ellenőrizni kell. SEV-SNP esetén a HOST_DATA érvényesíteni kell. További részleteket itt talál. Ha szeretné elvégezni ezt az ellenőrzést, küldjön egy kérést az Azure támogatási oldalán. Az Azure Attestation csapata akkor keresi meg Önt, ha ezek az értékek rotálásra vannak ütemezve.
Az érvényes Azure-igazolási példányokat azonosító értékek várhatóan megváltoznak a kódaláíró tanúsítványok elforgatásakor, vagy ha a biztonsági frissítések új szabályzatverziókat igényelnek. Az Azure Attestation csapata az alábbi bevezetési ütemtervet követi minden tervezett forgatáshoz:
i. Az Azure Attestation csapata két hónapos türelmi idővel értesíti az új értékek felhasználóit a vonatkozó kódmódosítások implementálásához
ii. A két hónapos türelmi időszak után az Azure-igazolás elkezdi használni az új értékeket.
Iii. Értesítési dátumot követően három hónappal az Azure Igazoló szolgáltatás leáll a régi értékek használatával.
Az előre nem tervezett rotációk esetében, beleértve a biztonsági frissítések által megkövetelteket is, az Azure Attestation csapata egy hónapos türelmi időszak mellett tájékoztat az új értékekről.
Üzletmenet-folytonosság és vészhelyreállítás (BCDR) támogatása
Az Azure-igazolások üzletmenet-folytonossága és vészhelyreállítása (BCDR) lehetővé teszi a régióban előforduló jelentős rendelkezésre állási problémákból vagy katasztrófaeseményekből eredő szolgáltatáskimaradások enyhítését.
A két régióban üzembe helyezett fürtök egymástól függetlenül működnek normál körülmények között. Egy régió meghibásodása vagy kimaradása esetén a következők történnek:
- Az Azure Attestation BCDR zökkenőmentes feladatátvételt biztosít, amelyben az ügyfeleknek nem kell további lépéseket tenniük a helyreállításhoz.
- A Azure Traffic Manager észleli, hogy a rendszerállapot-ellenőrzés teljesítménye romlott, és a végpontot átváltja a párosított régióba.
- A meglévő kapcsolatok nem működnek, és belső kiszolgálóhiba vagy időtúllépési problémák lépnek fel.
- Minden vezérlősík-művelet le lesz tiltva. Az ügyfelek nem hozhatnak létre igazolási szolgáltatókat az elsődleges régióban.
- Minden adatsík-műveletet, beleértve az igazolási hívásokat és a szabályzatkonfigurációt, a másodlagos régió fogja kiszolgálni. Az ügyfelek továbbra is dolgozhatnak az adatsík-műveleteken az elsődleges régiónak megfelelő eredeti URI-val.