Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье определены некоторые основные понятия, связанные с аттестацией Microsoft Azure.
Веб-токен JSON (JWTs)
Веб-токен JSON (JWT) — это открытый стандартный метод RFC7519 для безопасного передачи информации между сторонами в качестве объекта нотации объектов JavaScript (JSON). Эти сведения можно проверить и доверять, так как он имеет цифровую подпись. Токены JWT можно подписывать при помощи секрета или пары открытого и закрытого ключей.
Веб-ключ JSON (JWK)
Веб-ключ JSON (JWK) — это структура данных JSON, представляющая криптографический ключ. Эта спецификация также определяет структуру данных JWK Set JSON, представляющую набор JWKs.
Поставщик аттестации
Поставщик аттестации принадлежит поставщику ресурсов Azure с именем Microsoft.Attestation. Поставщик ресурсов — это конечная точка службы, которая предоставляет контракт REST аттестации Azure и развертывается с помощью Azure Resource Manager. Каждый поставщик аттестации учитывает определенную, обнаруживаемую политику. Поставщики аттестации создаются с политикой по умолчанию для каждого типа аттестации (обратите внимание, что анклав VBS не имеет политики по умолчанию). Дополнительные сведения о политике аттестации для SGX см. в примерах политики аттестации .
Запрос аттестации
Запрос аттестации — это сериализованный объект JSON, отправленный клиентским приложением поставщику аттестации. Объект запроса для анклава SGX имеет два свойства:
- "Quote" — значение свойства "Quote" — это строка, содержащая закодированное с использованием Base64URL представление аттестационной цитаты.
- "EnclaveHeldData" — значение свойства EnclaveHeldData является строкой, содержащей в кодировке Base64URL представление удерживаемых данных анклава.
Аттестация Azure проверяет предоставленную "цитату", чтобы убедиться, что хэш SHA256 предоставленных данных, удерживаемых анклавом, представлен в первых 32 байтах поля reportData в этой цитате.
Политика аттестации
Политика аттестации используется для обработки доказательств аттестации и настраивается клиентами. Основой аттестации Azure является механизм политики, который обрабатывает утверждения, составляющие доказательства. Политики используются для определения того, должен ли Azure Attestation выдавать токен аттестации на основе доказательств, и, таким образом, подтверждать (или нет) аттестатора. Соответственно, отказ от передачи всех политик приводит к тому, что токен JWT не выдается.
Если политика по умолчанию в поставщике аттестации не соответствует потребностям, клиенты могут создавать пользовательские политики в любом из регионов, поддерживаемых аттестацией Azure. Управление политиками — это ключевая функция, предоставляемая службой аттестации Azure клиентам. Политики зависят от конкретного типа аттестации и могут использоваться для идентификации анклавов или добавления утверждений в выходной токен, а также для изменения утверждений в выходном токене.
См. примеры политики аттестации.
Преимущества подписания политики
Политика аттестации — это то, что в конечном итоге определяет, выдан ли маркер аттестации Azure. Политика также определяет утверждения, создаваемые в маркере аттестации. Важно, чтобы политика, оцененная службой, является политикой, написанной администратором, и что она не была изменена внешними сущностями.
Модель доверия определяет модель авторизации поставщика аттестации для определения и обновления политики. Поддерживаются две модели: одна на основе авторизации Microsoft Entra и на основе владения управляемыми клиентом криптографическими ключами (называемой изолированной моделью). Изолированная модель позволяет Azure Attestation гарантировать, что отправленная клиентом политика не будет изменена.
В изолированной модели администратор создает поставщика аттестации, указывая в одном файле набор X.509 сертификатов доверенной подписи. Затем администратор может добавить подписанную политику в систему поставщика аттестации. Аттестация Azure при обработке запроса аттестации проверяет подпись политики с помощью открытого ключа, представленного параметром jwk или x5c в заголовке. Аттестация Azure проверяет, находится ли открытый ключ в заголовке запроса в списке доверенных сертификатов подписи, связанных с поставщиком аттестации. Таким образом проверяющая сторона (аттестация Azure) может доверять политике, подписанной с помощью сертификатов X.509, о которых она знает.
См. примеры сертификатов подписанта политики для ознакомления с образцами.
Токен аттестации
Ответ аттестации Azure — это строка JSON, значение которой содержит JWT. Сервис Azure Attestation упаковывает утверждения и создает подписанный JWT. Операция подписывания выполняется с помощью самозаверяющего сертификата с именем субъекта, соответствующим элементу AttestUri поставщика аттестации.
API метаданных Get OpenID возвращает ответ конфигурации OpenID, указанный протоколом обнаружения OpenID Connect. API получает метаданные о сертификатах подписывания, используемых аттестацией Azure.
См. примеры маркера аттестации.
Шифрование неактивных данных
Чтобы защитить данные клиентов, Azure Attestation сохраняет свои данные в Azure Storage. Хранилище Azure обеспечивает шифрование неактивных данных по мере записи данных в центры обработки данных и расшифровывает их для клиентов, чтобы получить к нему доступ. Это шифрование происходит с помощью управляемого ключа шифрования Майкрософт.
Помимо защиты данных в службе хранилища Azure, аттестация Azure также задействует шифрование дисков Azure (ADE) для шифрования виртуальных машин службы. Для Azure Attestation, функционирующей в анклавах в средах конфиденциальных вычислений Azure, расширение ADE на данный момент не поддерживается. В таких сценариях, чтобы предотвратить хранение данных в памяти, файл страницы отключен.
Данные клиента не сохраняются на локальных жестких дисках экземпляра аттестации Azure.