Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo define alguns conceitos básicos relacionados ao Atestado do Microsoft Azure.
Token Web JSON (JWTs)
JWT (Token Web JSON) é um método de RFC7519 padrão aberto para transmitir informações com segurança entre partes como um objeto JSON (JavaScript Object Notation). Essas informações podem ser verificadas e confiáveis porque são assinadas digitalmente. Os JWTs podem ser assinados por meio de um segredo ou um par de chaves pública/privada.
JWK (Chave Web JSON)
JWK (Chave Web JSON) é uma estrutura de dados JSON que representa uma chave criptográfica. Essa especificação também define uma estrutura de dados JSON do conjunto JWK que representa um conjunto de JWKs.
Provedor de atestado
O provedor de atestado pertence ao provedor de recursos do Azure chamado Microsoft.Attestation. O provedor de recursos é um ponto de extremidade de serviço que fornece o contrato REST do Atestado do Azure e é implantado por meio do Azure Resource Manager. Cada provedor de atestado respeita uma política específica e detectável. Os provedores de atestado são criados com uma política padrão para cada tipo de atestado (observe que o enclave do VBS não tem nenhuma política padrão). Consulte exemplos de uma política de atestado para obter mais detalhes sobre a política padrão do SGX.
Solicitação de atestado
A solicitação de atestado é um objeto JSON serializado enviado pelo aplicativo cliente para o provedor de atestado. O objeto de solicitação para enclave SGX tem duas propriedades:
- "Quote" – O valor da propriedade "Quote" é uma cadeia de caracteres que contém uma representação codificada em Base64URL da citação de atestado.
- "EnclaveHeldData" – O valor da propriedade "EnclaveHeldData" é uma cadeia de caracteres que contém uma representação codificada em Base64URL dos dados mantidos pelo enclave.
O Atestado do Azure valida a "Cotação" fornecida para garantir que o hash SHA256 dos Dados Mantidos pelo Enclave fornecidos seja expresso nos primeiros 32 bytes do campo reportData na cotação.
Política de autenticação
A política de atestado é usada para processar as evidências de atestado e é configurável pelos clientes. O núcleo do Atestado do Azure é um mecanismo de política, que processa as declarações que constituem a evidência. As políticas são usadas para determinar se o Serviço de Atestado do Azure deve emitir um token de atestado com base em evidências (ou não) e, assim, endossar o atestador (ou não). Assim, a falha em cumprir todas as políticas não resulta na emissão de um token JWT.
Se a política padrão no provedor de atestado não atender às necessidades, os clientes poderão criar políticas personalizadas em qualquer uma das regiões com suporte do Atestado do Azure. O gerenciamento de políticas é um recurso importante fornecido aos clientes pelo Atestado do Azure. As políticas são específicas do tipo de atestado e podem ser usadas para identificar enclaves ou adicionar declarações ao token de saída ou modificar declarações em um token de saída.
Veja exemplos de uma política de atestado.
Benefícios da assinatura de política
Uma política de atestado é o que, em última análise, determina se um token de atestado é emitido pelo Azure Attestation. A política também determina as declarações a serem geradas no token de atestado. É crucial que a política avaliada pelo serviço seja a política escrita pelo administrador e que ela não tenha sido adulterada ou modificada por entidades externas.
O modelo de confiança define o modelo de autorização do provedor de atestado para definir e atualizar a política. Há suporte para dois modelos : um baseado na autorização do Microsoft Entra e outro com base na posse de chaves criptográficas gerenciadas pelo cliente (conhecidas como modelo isolado). O modelo isolado permite que o Atestado do Azure garanta que a política enviada pelo cliente não seja adulterada.
No modelo isolado, o administrador cria um provedor de atestado especificando um conjunto de certificados X.509 de assinatura confiável em um arquivo. Em seguida, o administrador pode adicionar uma política assinada ao provedor de atestado. O Atestado do Azure, ao processar a solicitação de atestado, valida a assinatura da política usando a chave pública representada pelo parâmetro "jwk" ou "x5c" no cabeçalho. O Atestado do Azure verifica se a chave pública no cabeçalho da solicitação está na lista de certificados de assinatura confiáveis associados ao provedor de atestado. Dessa forma, a parte confiável (Atestado do Azure) pode confiar em uma política assinada usando os certificados X.509 que ela conhece.
Veja exemplos de certificado do signatário de política para obter exemplos.
Token de autenticação
A resposta do Atestado do Azure é uma cadeia de caracteres JSON cujo valor contém JWT. O Atestado do Azure empacota as declarações e gera um JWT assinado. A operação de assinatura é executada usando um certificado autoassinado com o nome do sujeito correspondente ao elemento AttestUri do provedor de atestado.
A API de Metadados Get OpenID retorna uma resposta de Configuração OpenID, conforme especificado pelo protocolo OpenID Connect Discovery. A API recupera metadados sobre os certificados de assinatura em uso pelo Atestado do Azure.
Veja exemplos de token de autenticação.
Criptografia de dados em repouso
Para proteger os dados do cliente, o Atestado do Azure mantém seus dados no Armazenamento do Azure. O armazenamento do Azure fornece criptografia de dados inativos à medida que os dados são gravados nos centros de dados e os descriptografa para que os clientes os acessem. Essa criptografia ocorre usando uma chave de criptografia gerenciada da Microsoft.
Além de proteger dados no armazenamento do Azure, o Atestado do Azure também aproveita o ADE (Azure Disk Encryption) para criptografar VMs de serviço. Para o Atestado do Azure em execução em um enclave nos ambientes de computação confidencial do Azure, atualmente, não há suporte para a extensão do ADE. Nesses cenários, para impedir que os dados sejam armazenados na memória, o arquivo de página está desabilitado.
Nenhum dado do cliente está sendo mantido nas unidades de disco rígido locais da instância de Atestado do Azure.