Fitur Rilis Kunci Aman dengan AKV dan Azure Confidential Computing (ACC)

Artikel
10/26/2023

Secure Key Release (SKR) adalah fungsionalitas penawaran Azure Key Vault (AKV) Managed HSM dan Premium. Rilis kunci aman memungkinkan rilis kunci yang dilindungi HSM dari AKV ke Trusted Execution Environment (TEE) yang dibuktikan, seperti enklave aman, TEE berbasis VM, dll. SKR menambahkan lapisan perlindungan akses lain ke kunci dekripsi/enkripsi data tempat Anda dapat menargetkan lingkungan runtime aplikasi + TEE dengan konfigurasi yang diketahui mendapatkan akses ke materi kunci. Kebijakan SKR yang ditentukan pada saat pembuatan kunci yang dapat diekspor mengatur akses ke kunci ini.

Dukungan SKR dengan penawaran AKV

Alur Rilis Kunci Aman Secara Keseluruhan dengan TEE

SKR hanya dapat merilis kunci berdasarkan klaim yang dihasilkan Microsoft Azure Attestation (MAA). Ada integrasi yang ketat pada definisi kebijakan SKR untuk klaim MAA.

Diagram of Secure Key Release Flow.

Langkah-langkah di bawah ini adalah untuk AKV Premium.

Langkah 1: Buat HSM Premium Key Vault yang Didukung

Ikuti detailnya di sini untuk pembuatan AKV berbasis Az CLI

Pastikan untuk mengatur nilai [--sku] ke "premium".

Langkah 2: Membuat Kebijakan Rilis Kunci Aman

Kebijakan Rilis Kunci Aman adalah kebijakan rilis format json seperti yang didefinisikan di sini yang menentukan serangkaian klaim yang diperlukan selain otorisasi untuk merilis kunci. Klaim di sini adalah klaim berbasis MAA sebagaimana dirujuk di sini untuk SGX dan di sini untuk AMD SEV-SNP CVM.

Kunjungi halaman contoh spesifik TEE untuk detail selengkapnya. Untuk informasi selengkapnya tentang tata bahasa kebijakan SKR, lihat Tata bahasa kebijakan rilis kunci aman Azure Key Vault.

Sebelum Anda mengatur kebijakan SKR, pastikan untuk menjalankan aplikasi TEE Anda melalui alur pengesahan jarak jauh. Pengesahan jarak jauh tidak tercakup sebagai bagian dari tutorial ini.

Contoh

{
    "version": "1.0.0",
    "anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
                {
                    "claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-isolation-tee.x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

Langkah 3: Membuat kunci yang dapat diekspor di AKV dengan kebijakan SKR terlampir

Detail yang tepat dari jenis kunci dan atribut lain yang terkait dapat ditemukan di sini.

az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"

Langkah 4: Aplikasi yang berjalan dalam TEE melakukan pengesahan jarak jauh

Langkah ini dapat dikhususkan untuk jenis TEE yang Anda jalankan aplikasi Intel SGX Enclave atau Komputer Virtual Rahasia (CVM) berbasis AMD SEV-SNP atau Kontainer Rahasia yang berjalan di Enklave CVM dengan AMD SEV-SNP dll.

Ikuti contoh referensi ini untuk berbagai penawaran jenis TEE dengan Azure: