Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In het tijdperk van digitale transformatie is gegevensintegriteit van cruciaal belang. Naarmate bedrijven steeds vaker afhankelijk zijn van beslissingen op basis van gegevens, worden de nauwkeurigheid en beveiliging van hun gegevensbronnen kritiek.
Azure Confidential Ledger is een zeer veilig onveranderbaar gegevensarchief voor het beheren van gevoelige gegevensrecords. De service belichaamt onze toezegging om gegevensopslag te beveiligen, betrouwbaar en onveranderbaar te maken.
Vertrouwelijk grootboek biedt een controleerbaar gegevensarchief met unieke voordelen voor gegevensintegriteit. Deze voordelen zijn onveranderbaarheid, manipulatie- en toevoegbewerkingen. Vertrouwelijk grootboek combineert cryptografische technieken en blockchaintechnologie.
Deze functies zijn ideaal wanneer kritieke metagegevensrecords hun integriteit moeten beveiligen, zoals voor naleving van regelgeving en archiveringsdoeleinden. Gegevens die zijn opgeslagen in een vertrouwelijk grootboek blijven met verbeterde privacy en beschermd tegen interne bedreigingen binnen een organisatie, inclusief de cloudprovider. Het is ook nuttig als een opslagplaats van audittrails of -records die moeten worden beveiligd en selectief moeten worden gedeeld met bepaalde persona's (bijvoorbeeld auditors).
Vertrouwelijk grootboek kan bestaande databases en toepassingen beschermen door te fungeren als een bron van waarheid naar een bepaald tijdstip voor digests en hashes. Elke transactie in een vertrouwelijk grootboek biedt cryptografische proofs in verificatiescenario's. Uw Azure SQL-gegevens kunnen bijvoorbeeld verder worden beveiligd met integriteit, waarbij tabelsamenvatten of logboeken kunnen worden opgeslagen in een vertrouwelijk grootboek.
Voor meer informatie kunt u meer informatie krijgen over het beveiligen van gegevensbronintegriteit met Azure Confidential Ledger of een demo van een Azure Confidential Ledger bekijken. U kunt ook een recent blog lezen over hoe azure-hardwarebeveiliging wordt beveiligd via het Azure Confidential-grootboek.
Diagram van gebruiksscenario's voor Azure Confidential Ledger.
Wat moet ik opslaan?
Hier volgen enkele voorbeelden van dingen die u kunt opslaan in uw exemplaar van het vertrouwelijke grootboek:
- Records met betrekking tot uw zakelijke transacties (bijvoorbeeld geldoverdrachten of vertrouwelijke documentbewerkingen).
- Updates voor vertrouwde assets (bijvoorbeeld kerntoepassingen of contracten).
- Wijzigingen in beheer en beheer (bijvoorbeeld het verlenen van toegangsmachtigingen).
- Operationele IT- en beveiligingsevenementen (bijvoorbeeld Microsoft Defender voor Cloud-waarschuwingen).
Gebruikssituaties
- Ik heb relationele gegevens waarvoor end-to-end-gegevensintegriteitsgaranties zijn vereist: Sla uw gegevens op in de azure SQL Database-grootboekfunctie en schakel vertrouwelijk grootboek in als uw Trusted Digest-archief.
- Ik heb blobgegevens die end-to-end-integriteit nodig hebben: Sla uw gegevens op in Azure Blob Storage en configureer de Azure Marketplace-toepassing die wordt ondersteund door een vertrouwelijk grootboek om handtekeningen op te slaan en te verifiëren.
- Ik heb systeemrecords die integriteitsbeveiliging met verifieerbaarheid nodig hebben: Sla uw records rechtstreeks op in een vertrouwelijk grootboek. Stel dat al uw ontwikkelingsrecords naar het ene vertrouwelijke grootboekexemplaren gaan en dat uw productielogboeken naar een ander exemplaar gaan. Wanneer u wilt controleren, deelt u alleen selectief vertrouwelijke grootboektransacties met de auditor.
- Ik heb vertrouwelijke transactionele gegevens die vertrouwelijkheid en integriteitsbescherming nodig hebben: sla de toepassingsrecords van uw kritieke vertrouwelijke gegevens rechtstreeks op in een vertrouwelijk grootboek.
Gegevensintegriteit inschakelen voor gegevensbronnen
SQL-databases en -opslagsystemen zijn fundamenteel voor bedrijfsgegevensarchitectuur. Vertrouwelijk grootboek verbetert deze systemen door een extra laag integriteitsbeveiliging te bieden. Voor SQL-databases kan het vertrouwelijke grootboek fungeren als een extern grootboek waarin wijzigingen en transacties worden vastgelegd en geverifieerd, waardoor een nieuwe dimensie van beveiliging en vertrouwen wordt toegevoegd.
Voor Blob Storage verbetert het vertrouwelijke grootboek de beveiligingsfuncties door een onveranderbaar logboek van opslagbewerkingen te bieden. Dit logboek is waardevol voor naleving van regelgeving en archiveringsdoeleinden, waarbij gegevensintegriteit in de loop van de tijd cruciaal is.
Hoe het werkt
Vertrouwelijk grootboek wordt exclusief uitgevoerd op beveiligde enclaves met hardware-ondersteuning. Deze sterk bewaakte en geïsoleerde runtime-omgeving houdt potentiële aanvallen in de buurt. Vertrouwelijk grootboek wordt ook uitgevoerd op een minimalistische Trusted Computing Base (TCB). De TCB zorgt ervoor dat niemand, zelfs Microsoft, boven het grootboek staat.
Zoals de naam al aangeeft, maakt de vertrouwelijke grootboekdienst gebruik van het Azure Confidential Computing-platform en het Confidential Consortium Framework om een oplossing met hoge integriteit te bieden die beschermd is tegen manipulatie en waarin manipulatie zichtbaar is. Een grootboek omvat drie of meer identieke instanties. Elk exemplaar wordt uitgevoerd in een toegewezen, volledig geteste enclave met hardware-ondersteuning. De integriteit van de vertrouwelijke grootboekinstantie wordt gehandhaafd door een consensusgebaseerde blockchain.
Belangrijkste kenmerken
Vertrouwelijk grootboek maakt een REST-interface beschikbaar, waardoor het eenvoudiger is om te integreren met nieuwe of bestaande toepassingen. Ook worden SDK's in populaire talen zoals .NET, Java, Python en JavaScript geboden om u te helpen bij de integratie.
Vertrouwelijk grootboek ondersteunt verzamelings-id voor eenvoudig gegevensbeheer. Het groeperen van gegevens met behulp van verzameling-id's is een uitstekende manier om gegevens efficiënt te beheren en op te vragen. Hiermee kunt u eenvoudig specifieke gegevenssets identificeren en ophalen. Deze methode kan de organisatie van gegevens aanzienlijk verbeteren en bewerkingen zoals zoeken en bijwerken efficiënter maken.
Elke transactie op het vertrouwelijke grootboekexemplaar heeft een gekoppeld ontvangstbewijs dat de gegevensstructuur van de Merkle-boom registreert, die wordt gebruikt om de integriteit van de transactie te verifiëren. Lees meer over hoe u transactiebevestigingen kunt verifiëren.
Gegevensopslag in een vertrouwelijk grootboek
Vertrouwelijke grootboekgegevens worden geschreven in blokken die aan elkaar zijn gekoppeld en worden opgeslagen in door Azure ondersteunde bestandsopslag. Transactiegegevens kunnen worden versleuteld opgeslagen (bijvoorbeeld privé grootboektype) of in tekst zonder opmaak (bijvoorbeeld openbaar grootboektype) afhankelijk van uw behoeften.
Beheerders kunnen een vertrouwelijk grootboek maken en beheren met beheer-API's (besturingsvlak), bijvoorbeeld om een resource te verwijderen of over resourcegroepen te verplaatsen. Vertrouwelijk grootboek biedt functionele API's (gegevensvlak) voor gegevensbewerkingen zoals CREATE, UPDATE, PUT en GET.
Grootboekbeveiliging
Vertrouwelijk grootboek ondersteunt zowel Microsoft Entra ID als certificaatgebaseerde referenties voor verificatie met aangepast, op rollen gebaseerd toegangsbeheer (RBAC) voor AuthZ. In tegenstelling tot andere Azure-services wordt gebruikersbeheer gelokaliseerd. Met andere woorden, gebruikers worden opgeslagen en beheerd in het grootboek met behulp van de functionele API's. Dit ontwerp vermindert de TCB en elimineert de noodzaak om te vertrouwen op externe autorisatiesystemen, zoals Azure RBAC.
Vertrouwelijk grootboek maakt gebruik van het TLS 1.3-protocol om clientverbinding tot stand te brengen en gegevens uit te wisselen. De verbinding wordt beëindigd binnen de door hardware ondersteunde beveiligings enclaves (Intel SGX-enclaves), waardoor een man-in-the-middle-aanval wordt voorkomen.
Toepassingen worden aangemoedigd om de echtheid van de grootboekknooppunten te verifiëren door de grootboekknooppunten te verifiëren om een vertrouwensrelatie tot stand te brengen voordat gegevens worden uitgewisseld. Dit proces zorgt ervoor dat de grootboekknooppunten echt zijn en niet schadelijk zijn.
Veerkracht en bedrijfscontinuïteit
Vertrouwelijke grootboekknooppunten worden geïmplementeerd in Azure-beschikbaarheidszones om tolerantie te bieden. Het netwerk kan zichzelf herstellen tijdens storingen in de hele zone. Om bedrijfscontinuïteit te garanderen, worden de bestanden in het exemplaar van het vertrouwelijke grootboek automatisch periodiek gerepliceerd naar een secundair opslagaccount. Wanneer zich een noodgeval voordoet, worden deze bestanden gebruikt voor herstel. Continue bewaking wordt gebruikt om herstelprocessen te observeren en automatisch te starten wanneer de status van het vertrouwelijke exemplaar onder een opgegeven drempelwaarde valt.
Gegevens worden automatisch gerepliceerd naar regionale Azure-paren voor herstel na noodgevallen. Zie Gegevenslocatie voor Azure-confidentieel grootboek voor overwegingen over gegevenslocatie.
Beperkingen
- Nadat een vertrouwelijk grootboekexemplaren is gemaakt, kunt u het grootboektype (privé of openbaar) niet wijzigen.
- Het verwijderen van vertrouwelijke grootboek leidt tot een 'harde verwijdering', zodat uw gegevens niet kunnen worden hersteld na verwijdering.
- Namen van vertrouwelijke grootboeknamen moeten wereldwijd uniek zijn. Grootboeken met dezelfde naam zijn niet toegestaan, ongeacht hun type.
Woordenlijst
| Term | Definitie |
|---|---|
| ACL | Azure Confidential-grootboek. |
| Grootboek | Een onveranderbare record voor alleen toevoegen van transacties (ook wel een blockchain genoemd). |
| Doorvoeren | Een bevestiging dat een transactie is toegevoegd aan het exemplaar van het vertrouwelijke grootboek. |
| Ontvangstbewijs | Bewijs dat het exemplaar van het vertrouwelijke grootboek een transactie heeft verwerkt. |