Microsoft Azure Confidential Ledger
Microsoft Azure Confidential Ledger (ACL) is een nieuwe en ook zeer veilige service voor het beheren van gevoelige gegevensrecords. Het wordt uitsluitend uitgevoerd op beveiligde enclaves met hardware-ondersteuning, een sterk bewaakte en geïsoleerde runtime-omgeving, die potentiële aanvallen in de bay houdt. Bovendien wordt Azure Confidential Ledger uitgevoerd op een minimalistische Trusted Computing Base (TCB), die ervoor zorgt dat niemand, zelfs Microsoft, 'boven' het grootboek staat.
Zoals de naam al aangeeft, maakt Azure Confidential Ledger gebruik van het Azure Confidential Computing-platform en het Confidential Consortium Framework om een oplossing met hoge integriteit te bieden die met manipulatie is beveiligd en duidelijk is. Eén grootboek omvat drie of meer identieke exemplaren, die elk worden uitgevoerd in een toegewezen, volledig geteste enclave met hardware-ondersteuning. De integriteit van het grootboek wordt gehandhaafd via een blockchain op basis van consensus.
Azure Confidential Ledger biedt echt unieke voordelen voor gegevensintegriteit, waaronder onveranderbaarheid, controle op manipulatie en bewerkingen met alleen toevoegbewerkingen. Deze functies, die zorgen dat alle records intact blijven, zijn ideaal wanneer kritieke metagegevensrecords niet mogen worden gewijzigd, zoals voor regelgevingsnaleving en archiveringsdoeleinden.
Hier volgen enkele voorbeelden van dingen die u op uw grootboek kunt opslaan:
- Records met betrekking tot uw zakelijke transacties (bijvoorbeeld geldoverdrachten of vertrouwelijke documentbewerkingen).
- Updates voor vertrouwde assets (bijvoorbeeld kerntoepassingen of contracten).
- Wijzigingen in beheer en beheer (bijvoorbeeld het verlenen van toegangsmachtigingen).
- Operationele IT- en beveiligingsevenementen (bijvoorbeeld Microsoft Defender voor Cloud waarschuwingen).
Voor meer informatie kunt u de demo van het Azure Confidential Ledger bekijken.
Belangrijke functies
Het vertrouwelijke grootboek wordt weergegeven via REST API's, die kunnen worden geïntegreerd in nieuwe of bestaande toepassingen. Beheerders kunnen het vertrouwelijke grootboek beheren met beheer-API's (Control Plane). Het vertrouwelijke grootboek kan ook rechtstreeks worden aangeroepen door toepassingscode via Functionele API's (Data Plane). De beheer-API's ondersteunen basisbewerkingen, zoals maken, bijwerken, ophalen en verwijderen. De functionele API's maken directe interactie mogelijk met uw geïnstantieerde grootboek en bevatten bewerkingen zoals put- en get-gegevens.
Grootboekbeveiliging
De grootboek-API's ondersteunen verificatieproces op basis van certificaten met eigenaarsrollen en verificatie op basis van Microsoft Entra-id's en ook op rollen gebaseerde toegang (bijvoorbeeld eigenaar, lezer en inzender).
De gegevens naar het grootboek worden verzonden via de TLS 1.3-verbinding en de TLS 1.3-verbinding wordt beëindigd binnen de door hardware ondersteunde beveiligings enclaves (Intel® SGX-enclaves), zodat niemand de verbinding tussen de client van een klant en de vertrouwelijke grootboekserverknooppunten kan onderscheppen.
Grootboekopslag
Vertrouwelijke grootboeken worden gemaakt als blokken in blob-opslagcontainers die behoren tot een Azure Storage-account. Transactiegegevens kunnen worden versleuteld of in tekst zonder opmaak worden opgeslagen, afhankelijk van uw behoeften.
Beheerders kunnen het vertrouwelijke grootboek beheren met beheer-API's (Control Plane) en het vertrouwelijke grootboek kan rechtstreeks worden aangeroepen door uw toepassingscode via Functionele API's (Data Plane). De beheer-API's ondersteunen basisbewerkingen, zoals maken, bijwerken, ophalen en verwijderen.
De functionele API's maken directe interactie mogelijk met uw geïnstantieerde vertrouwelijke grootboek en bevatten bewerkingen zoals put- en get-gegevens.
Beperkingen
- Zodra een vertrouwelijk grootboek is gemaakt, kunt u het grootboektype (privé of openbaar) niet meer wijzigen.
- Verwijdering van Azure Confidential-grootboek leidt tot een 'harde verwijdering', zodat uw gegevens na verwijdering niet kunnen worden hersteld.
- Azure Confidential-grootboeknamen moeten wereldwijd uniek zijn. Grootboeken met dezelfde naam, ongeacht hun type, zijn niet toegestaan.
Woordenlijst
Term | Definitie |
---|---|
ACL | Azure Confidential-grootboek |
Grootboek | Een onveranderbare record voor alleen toevoegen van transacties (ook wel blockchain genoemd) |
Doorvoeren | Een bevestiging dat een transactie is toegevoegd aan het grootboek. |
Ontvangstbewijs | Bewijs dat het grootboek een transactie heeft verwerkt. |