Проектирование архитектуры многопартийных вычислений

хранилище BLOB-объектов Azure
Служба Azure Kubernetes (AKS)
База данных SQL Azure

Многопартийные вычисления или вычисления, сохраняющие конфиденциальность, позволяют сторонам в бизнес-отношениях совместно использовать данные, выполнять вычисления и прибыть к взаимному результату без разглашания своих частных данных. Службы Azure могут помочь вам создать многопартийное вычислительное решение. Решение может включать облачные и локальные ресурсы.

Многопартийные вычисления имеют следующие атрибуты:

  • Участвует несколько компаний или организаций.
  • Стороны независимы.
  • Стороны не доверяют друг другу всем своим данным.
  • Все стороны получают доступ к общей вычислительной платформе и хранилищу данных.
  • Некоторые процессы должны быть закрытыми для некоторых участвующих сторон.

Цепочка поставок является примером рабочего процесса, включающего несколько сторон. Сырьевой поток от точки происхождения до производства. Товары от производителя проходят через партнеров по доставке в центр распространения. Из центра товары отправляются в розничные магазины.

На схеме показана прогрессия членов цепочки поставок в виде изображений клипов.

Этот процесс состоит из компаний, работающих вместе. К этим сторонам относятся поставщик сырья, производитель, фирмы доставки, операторы склада и розничные магазины. Продукт несколько раз меняет руки во время цепочки поставок. Различные стороны должны отслеживать продукт на всех этапах.

Технологии многопартийных вычислений

Многопартийные вычисления включают различные технологии, позволяющие сторонам безопасно выполнять транзакции по сети.

На схеме показаны реестры, реализованные как конфиденциальные вычисления, Служба Azure Kubernetes, виртуальные машины или предложения партнеров.

Один из вариантов — распределенные реестры. Блокчейн является примером. Блокчейн — это реестр данных, который можно совместно использовать между независимыми сторонами, где все стороны доверяют данным в реестре. Транзакции собираются в блоках с каждым блоком, связывающимся с предыдущим блоком. Некоторые распределенные реестры не используют блоки. Каждая транзакция может быть связана с предыдущей транзакцией в реестре.

Другая возможность для многопартийных вычислений использует защищенную оборудованием память на самом ЦП. Эти регионы, называемые безопасными анклавами, криптографически защищены. Такой подход означает, что даже привилегированный администратор, имеющий полный доступ к серверу, не может просматривать процесс или данные внутри этих безопасных анклавах.

Так как безопасные анклава имеют возможность удаленно подтвердить себя другими анклавами, вы можете разработать несколько сетей организации, где система выполняется из анклава. Этот подход называется доверенной средой выполнения.

Конфиденциальный реестр Azure — это управляемая Azure служба, которая позволяет запускать модели блокчейна в безопасных анклавах.

Наконец, можно выбрать централизованную систему, которая обеспечивает неизменяемость и надежность. База данных SQL Azure реестр предлагает доверие, необходимое для многопартийных вычислений в реляционной базе данных. Возможно, вам не потребуется децентрализованный консенсус, а просто неизменяемость аспекта реестра.

Модели сети блокчейна

Чтобы решить, подходит ли блокчейн для бизнес-процесса, рассмотрите следующие вопросы:

  • Пересекает ли этот бизнес-процесс границы доверия?
  • Совместно ли совместное использование и обновление данных несколькими сторонами?
  • Существуют ли посредники, которые контролируют единый источник истины?
  • Включает ли этот процесс шаги проверки с низкой стоимостью вручную?

Если ответы на эти вопросы да, бизнес-процесс является хорошим кандидатом на блокчейн-подход. Даже если некоторые ответы нет, блокчейн может по-прежнему имеет смысл. Внимательно ознакомьтесь с другими многопартийными вычислительными параметрами, прежде чем принимать решения.

Существуют различные типы сетей блокчейна для решения ваших бизнес-потребностей. Одной из характеристик является критерий для участия в сети. Если сеть открыта для всех, она называется общедоступной сетью блокчейна. Вы просто скачиваете клиент и присоединяетесь. Большинство криптовалют работают таким образом.

Альтернативой является разрешенная сеть блокчейна, в которой требуется разрешение от существующих членов сети для присоединения. Эта модель работает для предприятий, работающих с известными организациями. Например, суперstore может потребоваться иметь закрытую и разрешенную сеть блокчейна для участников цепочки поставок.

Для бизнес-процесса могут потребоваться только данные, подтверждающие изменения или несанкционированные данные, которые не требуют блокчейна. Если процесс может выполняться централизованно или все стороны доверяют друг другу данными, блокчейн также может быть ненужным.

Многопартийные вычисления Azure

В этом разделе описаны варианты многопартийных вычислений, доступные с помощью служб Azure.

Блокчейн с помощью Azure Виртуальные машины

Вы можете запустить программное обеспечение реестра с помощью Azure Виртуальные машины. Создайте столько виртуальных машин, сколько вам нужно, и подключите их к сети блокчейна.

Развертывание собственных виртуальных машин позволяет настроить решение. Этот подход включает в себя затраты на управление, такие как обновления, высокий уровень доступности и требования к непрерывности бизнес-процессов. У вас может быть несколько организаций и несколько облачных учетных записей. Подключение отдельных узлов может быть сложным.

Существуют шаблоны развертывания в Azure для большинства реестров блокчейна для виртуальных машин.

Блокчейн в Kubernetes

Так как большинство реестров блокчейна поддерживают развертывание в контейнерах, вы можете использовать Kubernetes для управления контейнерами. Служба Azure Kubernetes (AKS) — это управляемая Azure служба Kubernetes, которую можно использовать для развертывания и настройки узлов блокчейна.

Реализация AKS предоставляет управляемую службу для виртуальных машин, которые управляют кластером AKS. Однако ваша организация по-прежнему должна управлять кластерами AKS и любыми параметрами сети или хранилища в архитектуре.

Существуют шаблоны развертывания в Azure для большинства реестров блокчейна для AKS.

Блокчейн как услуга

поддержка Azure сторонние службы, которые выполняют программное обеспечение реестра в Azure. Поставщик услуг управляет инфраструктурой. Они обрабатывают обслуживание и обновления. Высокий уровень доступности и управление консорциумом включены в службу.

ConsenSys предлагает кворум в Azure. Кворум — это уровень протокола с открытым исходным кодом, поддерживающий приложения на основе Ethereum.

В будущем могут быть и другие предложения.

Конфиденциальный реестр Azure

Конфиденциальный реестр Azure — это управляемая служба, основанная на платформе конфиденциального консорциума. Она реализует разрешенную сеть блокчейна узлов в конфиденциальных вычислениях Azure. Конфиденциальный реестр основан на существующем шифровании.

  • Существующее шифрование
    • Неактивные данные Шифрование неактивных данных при хранении в хранилище BLOB-объектов или базе данных.
    • Передаваемые данные. Шифрование данных, передаваемых между общедоступными или частными сетями.
  • Конфиденциальные вычисления
    • Используемые данные. Шифрование используемых данных в памяти и во время вычислений.

Конфиденциальные вычисления позволяют шифрование данных в основной памяти. Конфиденциальные вычисления позволяют обрабатывать данные из нескольких источников без предоставления входных данных другим сторонам. Этот тип безопасных вычислений поддерживает многопартийные вычислительные сценарии, в которых защита данных является обязательной на каждом шаге, например обнаружение отмывания денег, обнаружение мошенничества и безопасный анализ данных здравоохранения.

Данные, хранящиеся в конфиденциальном реестре, неизменяемы и неизменяемы в реестре только для добавления. Реестр также является независимым проверяемым. Конфиденциальный реестр использует безопасные анклава для децентрализованной сети блокчейна и требует минимальной доверенной вычислительной базы.

Реестр Базы данных SQL Azure

База данных SQL Azure реестр позволяет участникам проверять целостность данных централизованно размещенных данных без консенсуса сети блокчейна. Для некоторых централизованных решений важно доверять, но децентрализованная инфраструктура не требуется. Такой подход позволяет избежать сложностей и производительности такой инфраструктуры.

На схеме показана архитектура реестра базы данных.

Реестр предоставляет возможности незаконного подтверждения для базы данных. Эти возможности позволяют криптографически подтвердить, что данные не были изменены.

Реестр помогает защитить данные от любого злоумышленника или пользователя с высоким уровнем привилегий, включая базы данных, систему и администраторов облака. Исторические данные сохраняются. Если строка обновляется в базе данных, его предыдущее значение сохраняется в таблице журнала. Это обеспечивает защиту без каких-либо изменений приложения.

Реестр — это функция База данных SQL Azure. Его можно включить в любой существующей База данных SQL Azure.

Параметры сравнения

Конфиденциальный реестр и реестр База данных SQL Azure

Эта таблица сравнивает конфиденциальный реестр с реестром База данных SQL Azure.

Реестр Базы данных SQL Конфиденциальный реестр
Централизованная система, требующая незаконного изменения Да Нет
Децентрализованная система, требующая изменения данных No Да
Защищает реляционные данные от изменения Да Нет
Защита неструктурированных данных от изменения No Да
Защита хранилища данных цепочки вне цепочки в блокчейне Да Нет
Безопасное хранилище вне сети для файлов, на которые ссылается блокчейн No Да
Реляционные данные можно запрашивать Да Нет
Неструктурированные сохраненные данные можно запрашивать No Да

Конфиденциальный реестр и Хранилище BLOB-объектов Azure

Неизменяемый компонент хранилища Хранилище BLOB-объектов Azure гарантирует, что данные, записанные в него, могут быть прочитаны, но никогда не изменялись. Эта таблица сравнивает эту технологию с конфиденциальным реестром.

Конфиденциальный реестр Неизменяемое хранилище
Конфиденциальные анклавы оборудования Да Нет
Целостность данных только для добавления Да Да, ограничено интервалами
Шифрование данных с использованием Да Нет
Подтверждение реестра блокчейна Да Нет

Решение по многопартийным вычислениям

На этой схеме приведены варианты многопартийных вычислений со службами Azure.

Схема суммирует решения по выбору варианта многопартийных вычислений.

Скачайте файл Visio для этой архитектуры.

Следующие шаги