構成証明は、さまざまなユース ケースに対応するさまざまなアプリケーションやサービスに統合できます。 Azure Attestation サービスは、リモート構成証明サービスとして機能し、構成証明ポリシーを更新することで必要な目的のために使用できます。 ポリシー エンジンは、プロセッサとして機能し、受信ペイロードを証拠として受け取り、ポリシーで作成された検証を実行します。 このアーキテクチャにより、ワークフローが簡素化され、サービス所有者はさまざまなプラットフォームとユース ケースのソリューションを目的に応じて構築できるようになります。ワークフローは、「Azure Attestation ワークフロー」で説明されているものと同じです。 構成証明ポリシーは、必要な検証に従って作成する必要があります。
プラットフォームの構成証明には、独自の課題があります。 ブートとセットアップのさまざまなコンポーネントでは、ブートの最初の手順を検証し、その信頼をシステム上のすべてのレイヤーへと上方向に拡張していくために使用できるハードウェア ルートオブトラスト アンカーを利用する必要があります。 ハードウェア TPM は、リモート構成証明ソリューション用にこのようなアンカーを提供します。 Azure Attestationは、プラットフォーム構成証明を完全に制御できるようにするための失効フレームワークを備えた、非常にスケーラブルな測定ブートおよびランタイム整合性測定構成証明ソリューションを提供します。
構成証明の手順
構成証明のセットアップには、2 つのセットアップがあります。 1 つはサービス セットアップに関連し、もう一つはクライアント セットアップに関連するものです。
詳細については、「Azure 構成証明ワークフロー」を参照してください。
サービス エンドポイントのセットアップ
サービス エンドポイントのセットアップは、どのような構成証明を実行する上でも最初の手順です。 エンドポイントの設定は、コードを使用するか、Azure portal を使用して実行できます。
ポータルを使用して構成証明エンドポイントを設定する方法を次に示します。
前提条件: 構成証明エンドポイントを作成したい Microsoft Entra テナントとサブスクリプションへのアクセス。 詳細については、「Microsoft Entra テナント」を参照してください。
目的のリソース グループの下に、目的の名前でエンドポイントを作成します。
構成証明ポリシーの更新を担当することになる ID に構成証明共同作成者ロールを追加します。
必要なポリシーを使用してエンドポイントを構成します。
サンプル ポリシーは、「ポリシー」セクションにあります。
注意
TPM エンドポイントは、既定の構成証明ポリシーなしでプロビジョニングされるように設計されています。
クライアントのセットアップ
構成証明サービス エンドポイントと通信するクライアントは、プロトコルのドキュメントの説明されているとおりに、プロトコルに従っていることを確認する必要があります。 統合を容易にするには、構成証明クライアント NuGet を使用します。
- 前提条件: TPM エンドポイントにアクセスするには、Microsoft Entra の ID が必要です。 詳細については、「Microsoft Entra の ID トークン」を参照してください。
- エンドポイントに対する認証に必要となる ID に構成証明閲覧者ロールを追加します。
構成証明ワークフローを実行する
クライアントを使用して構成証明フローをトリガーします。 構成証明が成功すると、構成証明レポート (エンコードされた JWT トークン) が生成されます。 JWT トークンを解析すると、レポートの内容を、予想される結果と比較して簡単に検証できます。
構成証明レポートの内容のサンプルを次に示します。
Open ID メタデータ エンドポイントの使用には、構成証明サービスを記述するプロパティが含まれます。署名キーは、構成証明サービスによって生成されたトークンに署名するために使用されるキーを記述します。 構成証明サービスによって出力されるすべてのトークンは、構成証明署名キーに一覧表示されている証明書のいずれかによって署名されます。