Udostępnij za pośrednictwem


Workflow

Zaświadczenie platformy Microsoft Azure odbiera dowody z enklaw i ocenia dowody względem punktu odniesienia zabezpieczeń platformy Azure i konfigurowalnych zasad. Po pomyślnej weryfikacji zaświadczenie platformy Azure generuje token zaświadczania w celu potwierdzenia wiarygodności enklawy.

Następujący aktorzy uczestniczą w przepływie pracy zaświadczania platformy Azure:

  • Jednostka uzależniona: składnik, który opiera się na zaświadczeniu platformy Azure, aby zweryfikować ważność enklawy.
  • Klient: składnik zbierający informacje z enklawy i wysyłający żądania do zaświadczania platformy Azure.
  • Zaświadczenie platformy Azure: składnik, który akceptuje dowody enklawy od klienta, weryfikuje go i zwraca token zaświadczania do klienta

® Przepływ pracy weryfikacji enklawy intel Software Guard Extensions (SGX)

Poniżej przedstawiono ogólne kroki w typowym przepływie pracy zaświadczania enklawy SGX (przy użyciu zaświadczania platformy Azure):

  1. Klient zbiera dowody z enklawy. Dowody to informacje o środowisku enklawy i bibliotece klienta działającej wewnątrz enklawy
  2. Klient ma identyfikator URI, który odwołuje się do wystąpienia zaświadczania platformy Azure. Klient wysyła dowody do zaświadczania platformy Azure. Dokładne informacje przesłane do dostawcy zależą od typu enklawy
  3. Zaświadczenie platformy Azure weryfikuje przesłane informacje i ocenia je względem skonfigurowanych zasad. Jeśli weryfikacja zakończy się pomyślnie, zaświadczenie platformy Azure wystawia token zaświadczania i zwraca go do klienta. Jeśli ten krok zakończy się niepowodzeniem, zaświadczenie platformy Azure zgłasza klientowi błąd
  4. Klient wysyła token zaświadczania do jednostki uzależnionej. Jednostka uzależniona wywołuje punkt końcowy metadanych klucza publicznego zaświadczania platformy Azure w celu pobrania certyfikatów podpisywania. Następnie jednostka uzależniona weryfikuje podpis tokenu zaświadczania i zapewnia wiarygodność enklawy

SGX enclave validation flow

Uwaga

Po wysłaniu żądań zaświadczania w wersji interfejsu API 2018-09-01-preview klient musi wysłać dowody do zaświadczania platformy Azure wraz z tokenem dostępu firmy Microsoft Entra.

Przepływ pracy weryfikacji enklawy modułu TPM (Trusted Platform Module)

Poniżej przedstawiono ogólne kroki w typowym przepływie pracy zaświadczania enklawy modułu TPM (przy użyciu zaświadczania platformy Azure):

  1. Na rozruchu urządzenia/platformy różne moduły ładującego rozruchu i usługi rozruchu mierzą zdarzenia wspierane przez moduł TPM i bezpiecznie przechowują je jako dzienniki TCG. Klient zbiera dzienniki TCG z urządzenia i oferty modułu TPM, która działa w celu zaświadczania.
  2. Klient uwierzytelnia się w usłudze Microsoft Entra ID i uzyskuje token dostępu.
  3. Klient ma identyfikator URI, który odwołuje się do wystąpienia zaświadczania platformy Azure. Klient wysyła dowody i token dostępu firmy Microsoft Entra do zaświadczania platformy Azure. Dokładne informacje przesłane do dostawcy zależą od platformy.
  4. Zaświadczenie platformy Azure weryfikuje przesłane informacje i ocenia je względem skonfigurowanych zasad. Jeśli weryfikacja zakończy się pomyślnie, zaświadczenie platformy Azure wystawia token zaświadczania i zwraca go do klienta. Jeśli ten krok zakończy się niepowodzeniem, zaświadczenie platformy Azure zgłosi błąd klientowi. Komunikacja między klientem a usługą zaświadczania jest określana przez protokół TPM zaświadczania platformy Azure.
  5. Następnie klient wysyła token zaświadczania do jednostki uzależnionej. Jednostka uzależniona wywołuje punkt końcowy metadanych klucza publicznego zaświadczania platformy Azure w celu pobrania certyfikatów podpisywania. Jednostka uzależniona weryfikuje następnie podpis tokenu zaświadczania i zapewnia wiarygodność platformy.

TPM validation flow

Następne kroki