Az Always Encrypted igazolásának konfigurálása az Azure-igazolással
A következőre vonatkozik:
Azure SQL Database
A Microsoft Azure-igazolás a megbízható végrehajtási környezetek (T Enterprise kiadás) igazolására szolgáló megoldás, beleértve az Intel Software Guard-bővítményeket (Intel SGX) enklávékat is.
Ha az Azure SQL Database-ben biztonságos enklávékkal rendelkező Always Encryptedhez használt Intel SGX-enklávék igazolásához azure-igazolást szeretne használni, a következőkre van szükség:
Hozzon létre egy igazolási szolgáltatót, és konfigurálja az ajánlott igazolási szabályzattal.
Határozza meg az igazolás URL-címét, és ossza meg az alkalmazás rendszergazdáival.
Fontos
Az Azure SQL Database-ben található Intel SGX-enklávék esetében az igazolás kötelező, és Microsoft Azure-igazolást igényel. Az Azure SQL Database VBS-enklávéi nem támogatják az igazolást. Ez a cikk csak az Intel SGX-enklávékra vonatkozik.
Megjegyzés:
Az igazolás konfigurálása az igazolási rendszergazda feladata. Az Intel SGX-enklávék és igazolások konfigurálásakor lásd a szerepköröket és a felelősségeket.
Igazolásszolgáltató létrehozása és konfigurálása
Az igazolási szolgáltató az Azure Attestation egyik erőforrása, amely az igazolási szabályzatok és a problémák igazolási jogkivonatai alapján kiértékeli az igazolási kérelmeket.
Az igazolási szabályzatok a jogcímszabály nyelvtanával vannak megadva.
Fontos
Az igazolási szolgáltató az Intel SGX-enklávék alapértelmezett szabályzatával jön létre, amely nem ellenőrzi az enklávéban futó kódot. A Microsoft határozottan javasolja, hogy az alábbi kimenetben használt ajánlott szabályzatot állítsa be, és ne használja az Always Encrypted alapértelmezett szabályzatát biztonságos enklávékkal.
A Microsoft a következő szabályzatot javasolja az Azure SQL Database-ben az Always Encryptedhez használt Intel SGX-enklávék igazolásához:
version= 1.0;
authorizationrules
{
[ type=="x-ms-sgx-is-debuggable", value==false ]
&& [ type=="x-ms-sgx-product-id", value==4639 ]
&& [ type=="x-ms-sgx-svn", value>= 2 ]
&& [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"]
=> permit();
};
A szabályzat ellenőrzi a következőt:
Az Azure SQL Database enklávéja nem támogatja a hibakeresést.
Az enklávék betölthetők letiltott vagy engedélyezett hibakereséssel. A hibakeresési támogatás célja, hogy lehetővé tegye a fejlesztők számára az enklávéban futó kód hibaelhárítását. Egy éles rendszerben a hibakeresés lehetővé teszi a rendszergazda számára az enklávé tartalmának vizsgálatát, ami csökkenti az enklávé által biztosított védelmi szintet. Az ajánlott szabályzat letiltja a hibakeresést, hogy ha egy rosszindulatú rendszergazda megpróbálja bekapcsolni a hibakeresési támogatást az enklávégép átvételével, az igazolás sikertelen lesz.
Az enklávé termékazonosítója megegyezik az Always Encryptedhez biztonságos enklávékkal hozzárendelt termékazonosítóval.
Minden enklávé egyedi termékazonosítóval rendelkezik, amely megkülönbözteti az enklávét a többi enklávétól. Az Always Encrypted enklávéhoz rendelt termékazonosító 4639.
A kódtár biztonsági verziószáma (SVN) nagyobb vagy egyenlő 2-nél.
Az SVN lehetővé teszi, hogy a Microsoft válaszoljon az enklávékódban azonosított lehetséges biztonsági hibákra. Biztonsági probléma felderítése és kijavítása esetén a Microsoft üzembe helyezi az enklávé új verzióját egy új (növekményes) SVN-vel. Az ajánlott szabályzat az új SVN-nek megfelelően frissül. Ha úgy frissíti a házirendet, hogy megfeleljen az ajánlott szabályzatnak, meggyőződhet arról, hogy ha egy rosszindulatú rendszergazda megpróbál betölteni egy régebbi és nem biztonságos enklávét, az igazolás sikertelen lesz.
Az enklávéban lévő kódtár a Microsoft aláírókulcsával lett aláírva (az x-ms-sgx-mrsigner jogcím értéke az aláíró kulcs kivonata).
Az igazolás egyik fő célja az ügyfelek meggyőzése arról, hogy az enklávéban futó bináris az a bináris, amelyet futtatni kell. Az igazolási szabályzatok két mechanizmust biztosítanak erre a célra. Az egyik a mrenclave jogcím, amely a bináris kivonata, amelynek egy enklávéban kellene futnia. Az mrenclave-vel az a probléma, hogy a bináris kivonat a kód aprólékos módosításaival is megváltozik, ami megnehezíti az enklávéban futó kód megfordítása. Ezért javasoljuk az mrsigner használatát, amely az enklávé bináris aláírásához használt kulcs kivonata. Amikor a Microsoft megfordítja az enklávét, a mrsigner ugyanaz marad, amíg az aláírókulcs nem változik. Ily módon megvalósíthatóvá válik a frissített bináris fájlok üzembe helyezése az ügyfelek alkalmazásának feltörése nélkül.
Fontos
Előfordulhat, hogy a Microsoftnak el kell forgatnia az Always Encrypted enklávé bináris aláírásához használt kulcsot, amely várhatóan ritka esemény lesz. Mielőtt üzembe helyezné az új kulccsal aláírt enklávé bináris új verzióját az Azure SQL Database-ben, ez a cikk egy új ajánlott igazolási szabályzatot és útmutatást ad arról, hogyan kell frissítenie a szabályzatot az igazolási szolgáltatókban, hogy az alkalmazások zavartalanul működjenek.
Az igazolási szolgáltató létrehozásának és az igazolási szabályzattal való konfigurálásának útmutatása a következő használatával:
- Rövid útmutató: Azure-igazolás beállítása az Azure Portallal
Fontos
Ha az igazolási szabályzatot az Azure Portallal konfigurálja, állítsa az igazolás típusát a következőre
SGX-IntelSDK: . - Rövid útmutató: Azure-igazolás beállítása az Azure PowerShell-lel
Fontos
Ha az igazolási szabályzatot az Azure PowerShell-lel konfigurálja, állítsa a paramétert a
TeekövetkezőreSgxEnclave: . - Rövid útmutató: Azure-igazolás beállítása az Azure CLI-vel
Fontos
Ha az igazolási szabályzatot az Azure CLI-vel konfigurálja, állítsa a paramétert a
attestation-typekövetkezőreSGX-IntelSDK: .
Az igazolási szabályzat igazolási URL-címének meghatározása
Miután konfigurált egy igazolási szabályzatot, meg kell osztania az igazolási URL-címet olyan alkalmazások rendszergazdáival, amelyek az Always Encryptedt biztonságos enklávékkal használják az Azure SQL Database-ben. Az igazolási URL-cím az Attest URI igazolási szabályzatot tartalmazó igazolási szolgáltató url-címe, amely így néz ki: https://MyAttestationProvider.wus.attest.azure.net.
Az igazolás URL-címének meghatározása az Azure Portal használatával
Az igazolásszolgáltató Áttekintés paneljén másolja a tulajdonság értékét a Attest URI vágólapra.
Az igazolási URL-cím meghatározása a PowerShell használatával
Get-AzAttestation A parancsmaggal lekérheti az igazolás-szolgáltató tulajdonságait, beleértve az AttestURI-t is.
Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroupName
További információ: Igazolásszolgáltató létrehozása és kezelése.
Következő lépések
Kapcsolódó információk
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: