Megosztás a következőn keresztül:

Microsoft Azure Confidential Ledger

  • Cikk

A Microsoft Azure Confidential Ledger (ACL) egy új és rendkívül biztonságos szolgáltatás a bizalmas adatrekordok kezeléséhez. Kizárólag hardveralapú biztonságos enklávékon fut, amely egy erősen monitorozott és elkülönített futtatókörnyezet, amely a potenciális támadásokat tartja veszélyben. Emellett az Azure Confidential Ledger egy rendkívül egyszerű Trusted Computing Base (TCB) rendszeren fut, amely biztosítja, hogy senki (beleértve a Microsoftot is) ne legyen rangsorban a tranzakciónapló felett.

Ahogy a neve is sugallja, az Azure Confidential Ledger az Azure Confidential Computing platformot és a Bizalmas konzorciumi keretrendszert használja, hogy magas integritású megoldást biztosítson, amely illetéktelen beavatkozással védett és nyilvánvaló. Egy főkönyv három vagy több azonos példányra terjed ki, amelyek mindegyike dedikált, teljes mértékben igazolt hardveres enklávéban fut. A főkönyv integritása konszenzusalapú blokkláncon keresztül tartható fenn.

Az Azure Confidential Ledger egyedi előnyökkel biztosítja az adatok integritását, úgymint módosíthatatlanság, illetéktelen hozzáférés megakadályozása és csak hozzáfűzési műveletek engedélyezése. Ezek az összes rekord sértetlenségét biztosító szolgáltatások ideálisak abban az esetben, ha a kritikus metaadatrekordokat tilos módosítani, például a jogszabályi megfelelőség miatt és archiválási célból.

Íme néhány példa a főkönyvben tárolható dolgokra:

  • Az üzleti tranzakciókhoz kapcsolódó rekordok (például pénzátutalások vagy bizalmas dokumentumok szerkesztése).
  • Megbízható eszközök (például alapalkalmazások vagy szerződések) frissítései.
  • Rendszergazdai és vezérlési változások (például hozzáférési engedélyek megadása).
  • Üzemeltetési informatikai és biztonsági események (például Felhőhöz készült Microsoft Defender riasztások).

További információkért tekintse meg az Azure bizalmas főkönyv bemutatóját.

A legfontosabb jellemzők    

A bizalmas főkönyv REST API-k segítségével érhető el, amelyek integrálhatók új vagy meglévő alkalmazásokba. A rendszergazdák felügyeleti API-kkal (vezérlősíkkal) kezelhetik a bizalmas főkönyvet. A bizalmas főkönyv közvetlenül is meghívható alkalmazáskóddal a Funkcionális API-k (Data Plane) használatával. A felügyeleti API-k olyan alapvető műveleteket támogatnak, mint a létrehozás, frissítés, lekérés és törlés. A funkcionális API-k lehetővé teszik a közvetlen interakciót a példányosított főkönyvvel, és olyan műveleteket is tartalmazhatnak, mint például az adatok elhelyezése és lekérése.

A főkönyv biztonsága

A főkönyv API-k támogatják a tanúsítványalapú hitelesítési folyamatot tulajdonosi szerepkörökkel, valamint Microsoft Entra-azonosítóalapú hitelesítéssel és szerepköralapú hozzáféréssel (például tulajdonos, olvasó és közreműködő).

A rendszer tLS 1.3-kapcsolaton keresztül küldi el a főkönyvbe érkező adatokat, és a TLS 1.3 kapcsolat megszakad a hardveralapú biztonsági enklávékon (Intel® SGX-enklávékon) belül, biztosítva, hogy senki ne tudja elfogni az ügyfél ügyfele és a bizalmas főkönyv-kiszolgáló csomópontjai közötti kapcsolatot.

Ledger Storage

A bizalmas főkönyvek blokkokként jönnek létre egy Azure Storage-fiókhoz tartozó Blob Storage-tárolókban. A tranzakciós adatok az igényeinek megfelelően titkosítva vagy egyszerű szövegben tárolhatók.

A rendszergazdák felügyeleti API-kkal (Control Plane) kezelhetik a bizalmas főkönyvet, a bizalmas főkönyvet pedig közvetlenül az alkalmazáskód hívhatja meg funkcionális API-kon (adatsíkon) keresztül. A felügyeleti API-k olyan alapvető műveleteket támogatnak, mint a létrehozás, frissítés, lekérés és törlés.

A funkcionális API-k lehetővé teszik a közvetlen interakciót a példányosított bizalmas főkönyvvel, és olyan műveleteket is tartalmazhatnak, mint az adatok elhelyezése és lekérése.

Megszorítások

  • A bizalmas főkönyv létrehozása után nem módosíthatja a főkönyv típusát (privát vagy nyilvános).
  • Az Azure bizalmas főkönyvének törlése "kemény törléshez" vezet, így a törlés után az adatok nem állíthatók helyre.
  • A bizalmas Azure-naplóneveknek globálisan egyedinek kell lenniük. Az azonos nevű főkönyvek típusuktól függetlenül nem engedélyezettek.

Terminológia

Időszak Definíció
ACL Bizalmas Azure-napló
Főkönyv A tranzakciók nem módosítható csak hozzáfűzhető rekordja (más néven blokklánc)
Véglegesítés Annak megerősítése, hogy a tranzakció hozzá lett fűzve a főkönyvhöz.
Nyugta Annak igazolása, hogy a főkönyv feldolgozta a tranzakciót.

Következő lépések