Przepływ pracy
Zaświadczenie platformy Microsoft Azure odbiera dowody z enklaw i ocenia dowody względem punktu odniesienia zabezpieczeń platformy Azure i konfigurowalnych zasad. Po pomyślnej weryfikacji zaświadczenie platformy Azure generuje token zaświadczania w celu potwierdzenia wiarygodności enklawy.
Następujący aktorzy uczestniczą w przepływie pracy zaświadczania platformy Azure:
- Jednostka uzależniona: składnik, który opiera się na zaświadczeniu platformy Azure, aby zweryfikować ważność enklawy.
- Klient: składnik zbierający informacje z enklawy i wysyłający żądania do zaświadczania platformy Azure.
- Zaświadczenie platformy Azure: składnik, który akceptuje dowody enklawy od klienta, weryfikuje go i zwraca token zaświadczania do klienta
® Przepływ pracy weryfikacji enklawy intel Software Guard Extensions (SGX)
Poniżej przedstawiono ogólne kroki w typowym przepływie pracy zaświadczania enklawy SGX (przy użyciu zaświadczania platformy Azure):
- Klient zbiera dowody z enklawy. Dowody to informacje o środowisku enklawy i bibliotece klienta działającej wewnątrz enklawy
- Klient ma identyfikator URI, który odwołuje się do wystąpienia zaświadczania platformy Azure. Klient wysyła dowody do zaświadczania platformy Azure. Dokładne informacje przesłane do dostawcy zależą od typu enklawy
- Zaświadczenie platformy Azure weryfikuje przesłane informacje i ocenia je względem skonfigurowanych zasad. Jeśli weryfikacja zakończy się pomyślnie, zaświadczenie platformy Azure wystawia token zaświadczania i zwraca go do klienta. Jeśli ten krok zakończy się niepowodzeniem, zaświadczenie platformy Azure zgłasza klientowi błąd
- Klient wysyła token zaświadczania do jednostki uzależnionej. Jednostka uzależniona wywołuje punkt końcowy metadanych klucza publicznego zaświadczania platformy Azure w celu pobrania certyfikatów podpisywania. Następnie jednostka uzależniona weryfikuje podpis tokenu zaświadczania i zapewnia wiarygodność enklawy
Uwaga
Po wysłaniu żądań zaświadczania w wersji interfejsu API 2018-09-01-preview klient musi wysłać dowody do zaświadczania platformy Azure wraz z tokenem dostępu firmy Microsoft Entra.
Przepływ pracy weryfikacji enklawy modułu TPM (Trusted Platform Module)
Poniżej przedstawiono ogólne kroki w typowym przepływie pracy zaświadczania enklawy modułu TPM (przy użyciu zaświadczania platformy Azure):
- Na rozruchu urządzenia/platformy różne moduły ładującego rozruchu i usługi rozruchu mierzą zdarzenia wspierane przez moduł TPM i bezpiecznie przechowują je jako dzienniki TCG. Klient zbiera dzienniki TCG z urządzenia i oferty modułu TPM, która działa w celu zaświadczania.
- Klient uwierzytelnia się w usłudze Microsoft Entra ID i uzyskuje token dostępu.
- Klient ma identyfikator URI, który odwołuje się do wystąpienia zaświadczania platformy Azure. Klient wysyła dowody i token dostępu firmy Microsoft Entra do zaświadczania platformy Azure. Dokładne informacje przesłane do dostawcy zależą od platformy.
- Zaświadczenie platformy Azure weryfikuje przesłane informacje i ocenia je względem skonfigurowanych zasad. Jeśli weryfikacja zakończy się pomyślnie, zaświadczenie platformy Azure wystawia token zaświadczania i zwraca go do klienta. Jeśli ten krok zakończy się niepowodzeniem, zaświadczenie platformy Azure zgłosi błąd klientowi. Komunikacja między klientem a usługą zaświadczania jest określana przez protokół TPM zaświadczania platformy Azure.
- Następnie klient wysyła token zaświadczania do jednostki uzależnionej. Jednostka uzależniona wywołuje punkt końcowy metadanych klucza publicznego zaświadczania platformy Azure w celu pobrania certyfikatów podpisywania. Jednostka uzależniona weryfikuje następnie podpis tokenu zaświadczania i zapewnia wiarygodność platformy.