Microsoft Azure Confidential Ledger
A Microsoft Azure Confidential Ledger (ACL) egy új és rendkívül biztonságos szolgáltatás a bizalmas adatrekordok kezeléséhez. Kizárólag hardveralapú biztonságos enklávékon fut, amely egy erősen monitorozott és elkülönített futtatókörnyezet, amely a potenciális támadásokat tartja veszélyben. Emellett az Azure Confidential Ledger egy rendkívül egyszerű Trusted Computing Base (TCB) rendszeren fut, amely biztosítja, hogy senki (beleértve a Microsoftot is) ne legyen rangsorban a tranzakciónapló felett.
Ahogy a neve is sugallja, az Azure Confidential Ledger az Azure Confidential Computing platformot és a Bizalmas konzorciumi keretrendszert használja, hogy magas integritású megoldást biztosítson, amely illetéktelen beavatkozással védett és nyilvánvaló. Egy főkönyv három vagy több azonos példányra terjed ki, amelyek mindegyike dedikált, teljes mértékben igazolt hardveres enklávéban fut. A főkönyv integritása konszenzusalapú blokkláncon keresztül tartható fenn.
Az Azure Confidential Ledger egyedi előnyökkel biztosítja az adatok integritását, úgymint módosíthatatlanság, illetéktelen hozzáférés megakadályozása és csak hozzáfűzési műveletek engedélyezése. Ezek az összes rekord sértetlenségét biztosító szolgáltatások ideálisak abban az esetben, ha a kritikus metaadatrekordokat tilos módosítani, például a jogszabályi megfelelőség miatt és archiválási célból.
Íme néhány példa a főkönyvben tárolható dolgokra:
- Az üzleti tranzakciókhoz kapcsolódó rekordok (például pénzátutalások vagy bizalmas dokumentumok szerkesztése).
- Frissítések megbízható eszközökre (például alapalkalmazásokra vagy szerződésekre).
- Rendszergazda a változások megkülönböztetése és szabályozása (például hozzáférési engedélyek megadása).
- Üzemeltetési informatikai és biztonsági események (például Felhőhöz készült Microsoft Defender riasztások).
További információkért tekintse meg az Azure bizalmas főkönyv bemutatóját.
A legfontosabb jellemzők
A bizalmas főkönyv REST API-k segítségével érhető el, amelyek integrálhatók új vagy meglévő alkalmazásokba. Rendszergazda istratorok Rendszergazda istrative API-kkal (Vezérlősík) kezelhetik a bizalmas főkönyvet. A bizalmas főkönyv közvetlenül is meghívható alkalmazáskóddal a Funkcionális API-k (Data Plane) használatával. A Rendszergazda istrative API-k olyan alapvető műveleteket támogatnak, mint a létrehozás, a frissítés, a lekérés és a törlés. A funkcionális API-k lehetővé teszik a közvetlen interakciót a példányosított főkönyvvel, és olyan műveleteket is tartalmazhatnak, mint például az adatok elhelyezése és lekérése.
A főkönyv biztonsága
A főkönyv API-k támogatják a tanúsítványalapú hitelesítési folyamatot tulajdonosi szerepkörökkel, valamint Microsoft Entra-azonosítóalapú hitelesítéssel és szerepköralapú hozzáféréssel (például tulajdonos, olvasó és közreműködő).
A rendszer tLS 1.3-kapcsolaton keresztül küldi el a főkönyvbe érkező adatokat, és a TLS 1.3 kapcsolat megszakad a hardveralapú biztonsági enklávékon (Intel® SGX-enklávékon) belül, biztosítva, hogy senki ne tudja elfogni az ügyfél ügyfele és a bizalmas főkönyv-kiszolgáló csomópontjai közötti kapcsolatot.
Ledger Storage
A bizalmas főkönyvek blokkokként jönnek létre egy Azure Storage-fiókhoz tartozó Blob Storage-tárolókban. A tranzakciós adatok az igényeinek megfelelően titkosítva vagy egyszerű szövegben tárolhatók.
Rendszergazda istratorok Rendszergazda istrative API-kkal (Control Plane) kezelhetik a bizalmas főkönyvet, a bizalmas főkönyvet pedig közvetlenül az alkalmazáskód hívhatja meg funkcionális API-kon (adatsíkon). A Rendszergazda istrative API-k olyan alapvető műveleteket támogatnak, mint a létrehozás, a frissítés, a lekérés és a törlés.
A funkcionális API-k lehetővé teszik a közvetlen interakciót a példányosított bizalmas főkönyvvel, és olyan műveleteket is tartalmazhatnak, mint az adatok elhelyezése és lekérése.
Megszorítások
- A bizalmas főkönyv létrehozása után nem módosíthatja a főkönyv típusát (privát vagy nyilvános).
- Az Azure bizalmas főkönyvének törlése "kemény törléshez" vezet, így a törlés után az adatok nem állíthatók helyre.
- A bizalmas Azure-naplóneveknek globálisan egyedinek kell lenniük. Az azonos nevű főkönyvek típusuktól függetlenül nem engedélyezettek.
Terminológia
| Időszak | Definíció |
|---|---|
| ACL | Bizalmas Azure-napló |
| Főkönyv | A tranzakciók nem módosítható csak hozzáfűzhető rekordja (más néven blokklánc) |
| Véglegesítés | Annak megerősítése, hogy a tranzakció hozzá lett fűzve a főkönyvhöz. |
| Nyugta | Annak igazolása, hogy a főkönyv feldolgozta a tranzakciót. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: