Condividi tramite


Concetti di base

Questo articolo definisce alcuni concetti di base correlati a Microsoft attestazione di Azure.

Token Web JSON (JWT)

JSON Web Token (JWT) è un metodo RFC7519 basato su standard aperti per la trasmissione sicura di informazioni tra entità come oggetto JSON (JavaScript Object Notation). Queste informazioni possono essere verificate e considerate attendibili perché sono firmate digitalmente. I token JWT possono essere firmati con un segreto o con una coppia di chiavi pubblica/privata.

JSON Web Key (JWK)

JSON Web Key (JWK) è una struttura di dati JSON che rappresenta una chiave crittografica. Questa specifica definisce anche una struttura di dati JSON JWK Set che rappresenta un set di chiavi JWK.

Provider di attestazioni

Il provider di attestazioni appartiene al provider di risorse di Azure denominato Microsoft.Attestation. Il provider di risorse è un endpoint del servizio che fornisce il contratto REST di Attestazione di Azure e viene distribuito con Azure Resource Manager. Ogni provider di attestazioni rispetta criteri specifici individuabili. I provider di attestazioni vengono creati con un criterio predefinito per ogni tipo di attestazione (si noti che l'enclave VBS non include criteri predefiniti). Per informazioni dettagliate sui criteri predefiniti per SGX, vedere Esempi di un criterio di attestazione.

Richiesta di attestazione

La richiesta di attestazione è un oggetto JSON serializzato inviato dall'applicazione client al provider di attestazioni. L'oggetto della richiesta per l'enclave SGX ha due proprietà:

  • "Quote": il valore della proprietà "Quote" è una stringa contenente una rappresentazione codificata Base64URL della virgoletta di attestazione.
  • "EnclaveHeldData": il valore della proprietà "EnclaveHeldData" è una stringa contenente una rappresentazione codificata Base64URL dei dati contenuti nell'enclave.

attestazione di Azure convalida l'offerta fornita per assicurarsi che l'hash SHA256 dei dati contenuti nell'enclave specificato sia espresso nei primi 32 byte del campo reportData tra virgolette.

Criteri di attestazione

Il criterio di attestazione viene usato per elaborare l'evidenza dell'attestazione ed è configurabile dai clienti. Il nucleo di attestazione di Azure è un motore di criteri, che elabora attestazioni che costituiscono le prove. I criteri vengono usati per determinare se attestazione di Azure rilasciano un token di attestazione in base all'evidenza (o meno) e quindi approvano o meno l'attestazione. Di conseguenza, l'impossibilità di passare tutti i criteri non comporta l'emissione di alcun token JWT.

Se i criteri predefiniti nel provider di attestazione non soddisfano le esigenze, i clienti possono creare criteri personalizzati in una delle aree supportate da attestazione di Azure. La gestione dei criteri è una funzionalità chiave fornita ai clienti da Attestazione di Azure. I criteri sono specifici del tipo di attestazione e possono essere usati per identificare le enclave o aggiungere attestazioni al token di output o modificare le attestazioni in un token di output.

Vedere esempi di criteri di attestazione.

Vantaggi della firma dei criteri

Un criterio di attestazione è ciò che determina in definitiva se un token di attestazione viene emesso da attestazione di Azure. Il criterio determina anche le attestazioni da generare nel token di attestazione. È fondamentale che i criteri valutati dal servizio siano i criteri scritti dall'amministratore e che non siano stati manomessi o modificati da entità esterne.

Il modello di attendibilità definisce il modello di autorizzazione del provider di attestazioni per la definizione e l'aggiornamento dei criteri. Sono supportati due modelli: uno basato sull'autorizzazione di Microsoft Entra e uno basato sul possesso di chiavi crittografiche gestite dal cliente (definito modello isolato). Il modello isolato consente di attestazione di Azure per assicurarsi che i criteri inviati dal cliente non vengano manomessi.

In un modello isolato l'amministratore crea un provider di attestazioni che specifica un set di certificati di firma X.509 attendibili in un file. L'amministratore può quindi aggiungere un criterio firmato al provider di attestazioni. attestazione di Azure, durante l'elaborazione della richiesta di attestazione, convalida la firma del criterio usando la chiave pubblica rappresentata dal parametro "jwk" o "x5c" nell'intestazione. attestazione di Azure verifica se la chiave pubblica nell'intestazione della richiesta è nell'elenco dei certificati di firma attendibili associati al provider di attestazione. In questo modo, la relying party (Attestazione di Azure) può considerare attendibile un criterio firmato usando certificati X.509 riconosciuti.

Per altre informazioni, vedere Esempi di certificato del firmatario di criteri.

Token di attestazione

attestazione di Azure risposta è una stringa JSON il cui valore contiene JWT. attestazione di Azure crea un pacchetto delle attestazioni e genera un token JWT firmato. L'operazione di firma viene eseguita usando un certificato autofirmato con il nome del soggetto corrispondente all'elemento AttestUri del provider di attestazioni.

L'API Get OpenID Metadata restituisce una risposta OpenID Configuration come specificato dal protocollo OpenID Connect Discovery. L'API recupera i metadati relativi ai certificati di firma usati da Attestazione di Azure.

Vedere esempi di token di attestazione.

Crittografia dei dati inattivi

Per proteggere i dati dei clienti, il servizio di attestazione di Azure salva in modo permanente i dati in Archiviazione di Azure. Archiviazione di Azure fornisce la crittografia dei dati inattivi quando i dati vengono scritti nei data center e la decrittografa per consentire ai clienti di accedervi. Questa crittografia viene eseguita tramite una chiave di crittografia gestita da Microsoft.

Oltre a proteggere i dati in Archiviazione di Azure, Attestazione di Azure usa anche Crittografia dischi di Azure per crittografare le macchine virtuali del servizio. L'estensione di Crittografia dischi di Azure non è attualmente supportata per il servizio di attestazione di Azure in esecuzione in un'enclave in ambienti di confidential computing di Azure. In scenari di questo tipo il file di paging è disabilitato per impedire l'archiviazione dei dati in memoria.

Nessun dato dei clienti viene salvato in modo permanente nelle unità disco rigido locali dell'istanza di Attestazione di Azure.

Passaggi successivi