Microsoft Azure 기밀 원장
Microsoft ACL(Azure 기밀 원장)은 중요한 데이터 레코드를 관리하는 데 사용하는 매우 안전한 새로운 서비스입니다. 하드웨어 지원 보안 Enclave에서만 실행되며, 긴밀하게 모니터링되며 격리된 런타임 환경으로, 잠재적인 공격을 방지합니다. 또한 Azure 기밀 원장은 최소한의 TCB(신뢰할 수 있는 컴퓨팅 베이스)에서 실행되므로 Microsoft를 비롯한 누구도 원장보다 "위"가 아닙니다.
이름에서 알 수 있듯이 Azure confidential ledger는 Azure 기밀 컴퓨팅 플랫폼과 기밀 컨소시엄 프레임워크를 활용하여 변조 방지 및 명백한 무결성 높은 솔루션을 제공합니다. 하나의 원장은 세 개 이상의 동일한 인스턴스에 걸쳐 있으며, 각 인스턴스는 완전히 증명된 전용 하드웨어 지원 enclave에서 실행됩니다. 원장의 무결성은 합의 기반 블록체인을 통해 유지 관리됩니다.
Azure 기밀 원장은 불변성, 변조 방지 및 추가 전용 작업을 비롯한 고유한 데이터 무결성 이점을 제공합니다. 모든 레코드가 그대로 유지되도록 하는 이러한 기능은 규정 준수 및 보관 목적과 같이 중요한 메타데이터 레코드를 수정하지 않아야 하는 경우에 이상적입니다.
원장에 저장할 수 있는 항목의 예를 몇 가지 들면 다음과 같습니다.
- 비즈니스 트랜잭션과 관련된 레코드(예: 송금 또는 기밀 문서 편집)
- 신뢰할 수 있는 자산에 대한 업데이트(예: 핵심 애플리케이션 또는 계약)
- 관리 및 제어 변경(예: 액세스 권한 부여)
- 운영 IT 및 보안 이벤트(예: Microsoft Defender for Cloud 경고)
자세한 내용을 보려면 Azure confidential ledger 데모를 시청하세요.
주요 기능
기밀 원장은 신규 또는 기존 애플리케이션에 통합할 수 있는 REST API를 통해 노출됩니다. 관리자는 관리 API(컨트롤 플레인)를 사용하여 기밀 원장을 관리할 수 있습니다. 기밀 원장은 기능적 API(데이터 평면)를 통해 애플리케이션 코드로 직접 호출할 수도 있습니다. 관리 API는 만들기, 업데이트, 가져오기 및 삭제와 같은 기본 작업을 지원합니다. 기능 API를 사용하면 인스턴스화된 원장과 직접 상호 작용하고 데이터 배치 및 가져오기와 같은 작업을 포함할 수 있습니다.
원장 보안
원장 API는 소유자 역할이 있는 인증서 기반 인증 프로세스뿐만 아니라 Microsoft Entra ID 기반 인증과 역할 기반 액세스(예: 소유자, 판독기, 기여자)도 지원합니다.
원장에 대한 데이터는 TLS 1.3 연결을 통해 전송되고 TLS 1.3 연결은 하드웨어 지원 보안 Enclave(Intel® SGX Enclave) 내부에서 종료되어 아무도 고객 클라이언트와 기밀 원장 서버 노드 간의 연결을 가로챌 수 없도록 합니다.
원장 스토리지
Confidential Ledger는 Azure Storage 계정에 속한 Blob Storage 컨테이너에서 블록으로 생성됩니다. 트랜잭션 데이터는 필요에 따라 암호화된 상태로 또는 일반 텍스트로 저장될 수 있습니다.
관리자는 관리 API(컨트롤 플레인)를 사용하여 기밀 원장을 관리할 수 있으며, 기능 API(데이터 평면)를 통해 애플리케이션 코드에서 기밀 원장을 직접 호출할 수 있습니다. 관리 API는 만들기, 업데이트, 가져오기 및 삭제와 같은 기본 작업을 지원합니다.
기능 API를 사용하면 인스턴스화된 기밀 원장과 직접 상호 작용하고 데이터 배치 및 가져오기와 같은 작업을 포함할 수 있습니다.
제약 조건
- Confidential ledger가 만들어지면 원장 유형(프라이빗 또는 퍼블릭)을 변경할 수 없습니다.
- Azure 기밀 원장을 삭제하면 "영구 삭제"가 발생하므로 삭제 후 데이터를 복구할 수 없습니다.
- Azure 기밀 원장 이름은 전역적으로 고유해야 합니다. 이름이 같은 원장은 형식에 관계없이 허용되지 않습니다.
용어
| 기간 | 정의 |
|---|---|
| ACL | Azure 기밀 원장 |
| 원장 | 불변의 트랜잭션 추가 레코드(블록체인이라고도 함) |
| Commit | 트랜잭션이 원장에 추가되었다는 확인. |
| Receipt | 원장이 트랜잭션을 처리했다는 증명. |