Condividi tramite

Attestazione per enclavi SGX

  • Articolo

Il confidential computing di Azure offre macchine virtuali (VM) basate su Intel SGX per isolare una parte del codice o dei dati. Quando si esegue una compilazione con enclavi SGX, è possibile verificare e convalidare che il proprio ambiente attendibile sia sicuro. Questa verifica è il processo di attestazione.

Panoramica

Con l'attestazione, una relying party può avere maggiore fiducia che il proprio software venga eseguito in un'enclave, sia aggiornato e sia sicuro.

Ad esempio, un'enclave può chiedere all'hardware sottostante di generare delle credenziali. Queste credenziali includono la prova che l'enclave esiste sulla piattaforma. Una seconda enclave può ricevere e verificare che la stessa piattaforma abbia generato il report.

Diagramma del processo di attestazione, che mostra lo scambio sicuro del client con enclave che contiene i dati e il codice dell'applicazione.

Implementare l'attestazione con un servizio di attestazione sicuro compatibile con il software e l'hardware del sistema. Due opzioni sono l'attestazione di Microsoft Azuree i servizi di attestazione e provisioning di Intel. Entrambi i servizi sono compatibili con le VM serie DCsv2Intel SGX nel confidential computing di Azure. Tuttavia, le VM serie DCsv3 e serie DCdsv3 non sono compatibili con il servizio di attestazione Intel.

Passaggio successivo

Esempi di attestazione di Microsoft Azure per le app con riconoscimento dell'enclave