Alur kerja
Microsoft Azure Attestation menerima bukti dari enklave dan mengevaluasi bukti terhadap garis besar keamanan Azure dan kebijakan yang dapat dikonfigurasi. Setelah verifikasi berhasil, Azure Attestation menghasilkan token pengesahan untuk mengonfirmasi kepercayaan enklave.
Pihak berikut ini terlibat dalam alur kerja Azure Attestation:
- Pihak yang mengandalkan: Komponen yang bergantung pada Azure Attestation untuk memverifikasi validitas enklave.
- Klien: Komponen yang mengumpulkan informasi dari enklave dan mengirim permintaan ke Azure Attestation.
- Azure Attestation: Komponen yang menerima bukti enklave dari klien, memvalidasinya dan mengembalikan token pengesahan kepada klien
Berikut adalah langkah-langkah umum dalam alur kerja pengesahan enklave SGX yang khas (menggunakan Azure Attestation):
- Klien mengumpulkan bukti dari enklave. Bukti adalah informasi tentang lingkungan enklave dan pustaka klien yang berjalan di dalam enklave
- Klien memiliki URI yang mengacu pada instans Azure Attestation. Klien mengirimkan bukti ke Azure Attestation. Informasi yang tepat yang dikirimkan ke penyedia tergantung pada jenis enklave
- Azure Attestation memvalidasi informasi yang dikirimkan dan mengevaluasinya terhadap kebijakan yang dikonfigurasi. Jika verifikasi berhasil, Azure Attestation akan mengeluarkan token pengesahan dan mengembalikannya ke klien. Jika langkah ini gagal, Azure Attestation melaporkan kesalahan kepada klien
- Klien mengirimkan token pengesahan ke pihak yang mengandalkan. Pihak yang mengandalkan memanggil titik akhir metadata kunci publik Azure Attestation untuk mengambil sertifikat penandatanganan. Pihak yang mengandalkan kemudian memverifikasi tanda tangan token pengesahan dan memastikan kepercayaan enklave
Catatan
Saat Anda mengirim permintaan pengesahan dalam versi API pratinjau 2018-09-01, klien perlu mengirim bukti ke Azure Attestation bersama dengan token akses Microsoft Entra.
Berikut adalah langkah-langkah umum dalam alur kerja pengesahan enklave TPM yang khas (menggunakan Azure Attestation):
- Pada boot perangkat/platform, berbagai boot loader dan layanan boot mengukur peristiwa yang didukung oleh TPM dan menyimpannya dengan aman sebagai log TCG. Klien mengumpulkan log TCG dari perangkat dan kutipan TPM, yang bertindak sebagai bukti pengesahan.
- Klien mengautentikasi ke ID Microsoft Entra dan mendapatkan token akses.
- Klien memiliki URI, yang mengacu pada instans Azure Attestation. Klien mengirimkan bukti dan token akses Microsoft Entra ke Azure Attestation. Informasi pasti yang dikirimkan ke penyedia tergantung pada jenis platform.
- Azure Attestation memvalidasi informasi yang dikirimkan dan mengevaluasinya terhadap kebijakan yang dikonfigurasi. Jika verifikasi berhasil, Azure Attestation akan mengeluarkan token pengesahan dan mengembalikannya ke klien. Jika langkah ini gagal, Azure Attestation melaporkan kesalahan kepada klien. Komunikasi antara klien dan layanan pengesahan ditentukan oleh protokol TPM pengesahan Azure.
- Klien lalu mengirimkan token pengesahan ke pihak yang mengandalkan. Pihak yang mengandalkan memanggil titik akhir metadata kunci publik Azure Attestation untuk mengambil sertifikat penandatanganan. Pihak yang mengandalkan kemudian memverifikasi tanda tangan token pengesahan dan memastikan kepercayaan platform.