Dela via


Grundläggande begrepp

Den här artikeln definierar några grundläggande begrepp som rör Microsoft Azure-attestering.

JSON-webbtoken (JWTs)

JSON Web Token (JWT) är en öppen standardmetod RFC7519 för säker överföring av information mellan parter som ett JSON-objekt (JavaScript Object Notation). Den här informationen kan verifieras och vara betrodd eftersom den är digitalt signerad. JWT:er kan signeras med hjälp av en hemlighet eller ett offentligt/privat nyckelpar.

JSON-webbnyckel (JWK)

JSON Web Key (JWK) är en JSON-datastruktur som representerar en kryptografisk nyckel. Den här specifikationen definierar också en JWK Set JSON-datastruktur som representerar en uppsättning JWK:er.

Attesteringsprovider

Attesteringsprovidern tillhör Azure-resursprovidern Microsoft.Attestation. Resursprovidern är en tjänstslutpunkt som tillhandahåller AZURE Attestation REST-kontrakt och distribueras med Azure Resource Manager. Varje attesteringsprovider respekterar en specifik, identifierbar princip. Attesteringsprovidrar skapas med en standardprincip för varje attesteringstyp (observera att VBS-enklaven inte har någon standardprincip). Mer information om standardprincipen för SGX finns i exempel på en attesteringsprincip .

Begäran om attestering

Attesteringsbegäran är ett serialiserat JSON-objekt som skickas av klientprogrammet till attesteringsprovidern. Begärandeobjektet för SGX-enklaven har två egenskaper:

  • "Quote" – värdet för egenskapen "Quote" är en sträng som innehåller en Base64URL-kodad representation av attesteringsofferten.
  • "EnclaveHeldData" – värdet för egenskapen "EnclaveHeldData" är en sträng som innehåller en Base64URL-kodad representation av enklavens data.

Azure Attestation verifierar den angivna "Offerten" för att säkerställa att SHA256-hashen för de angivna enklavens data uttrycks i de första 32 byteen i fältet reportData i offerten.

Attesteringsprincip

Attesteringsprincipen används för att bearbeta attesteringsbeviset och kan konfigureras av kunderna. Kärnan i Azure Attestation är en principmotor som bearbetar anspråk som utgör bevisen. Principer används för att avgöra om Azure Attestation ska utfärda en attesteringstoken baserat på bevis (eller inte) och på så sätt godkänna Attester (eller inte). Om alla principer inte godkänns resulterar det därför i att ingen JWT-token utfärdas.

Om standardprincipen i attesteringsprovidern inte uppfyller behoven kan kunderna skapa anpassade principer i någon av de regioner som stöds av Azure Attestation. Principhantering är en viktig funktion som tillhandahålls kunder av Azure Attestation. Principer är specifika för attesteringstyp och kan användas för att identifiera enklaver eller lägga till anspråk i utdatatoken eller ändra anspråk i en utdatatoken.

Se exempel på en attesteringsprincip.

Fördelar med principsignering

En attesteringsprincip är det som i slutändan avgör om en attesteringstoken utfärdas av Azure Attestation. Principen avgör också vilka anspråk som ska genereras i attesteringstoken. Det är viktigt att principen som utvärderas av tjänsten är principen som skrivits av administratören och att den inte har manipulerats eller ändrats av externa entiteter.

Förtroendemodellen definierar auktoriseringsmodellen för attesteringsprovidern för att definiera och uppdatera principen. Två modeller stöds – en baserad på Microsoft Entra-auktorisering och en baserad på innehav av kundhanterade kryptografiska nycklar (kallas isolerad modell). Med en isolerad modell kan Azure Attestation se till att den kundinskickade principen inte manipuleras.

I en isolerad modell skapar administratören en attesteringsprovider som anger en uppsättning betrodda X.509-signeringscertifikat i en fil. Administratören kan sedan lägga till en signerad princip till attesteringsprovidern. Azure Attestation verifierar under bearbetningen av attesteringsbegäran principens signatur med hjälp av den offentliga nyckeln som representeras av parametern "jwk" eller "x5c" i huvudet. Azure Attestation verifierar om den offentliga nyckeln i begärandehuvudet finns i listan över betrodda signeringscertifikat som är associerade med attesteringsprovidern. På så sätt kan den förlitande parten (Azure Attestation) lita på en princip som har signerats med hjälp av de X.509-certifikat som den känner till.

Se exempel på principsigneringscertifikat för exempel.

Attesteringstoken

Azure Attestation-svar är en JSON-sträng vars värde innehåller JWT. Azure Attestation paketerar anspråken och genererar en signerad JWT. Signeringsåtgärden utförs med ett självsignerat certifikat med ämnesnamn som matchar attestUri-elementet i attesteringsprovidern.

Api:et Hämta OpenID-metadata returnerar ett OpenID-konfigurationssvar som anges i OpenID Connect Discovery-protokollet. API:et hämtar metadata om signeringscertifikaten som används av Azure Attestation.

Se exempel på attesteringstoken.

Data i paus och kryptering

För att skydda kunddata bevarar Azure Attestation sina data i Azure Storage. Azure Storage tillhandahåller kryptering av vilande data när data skrivs till datacenter och dekrypterar dem så att kunderna kan komma åt dem. Den här krypteringen sker med hjälp av en Microsoft-hanterad krypteringsnyckel.

Förutom att skydda data i Azure Storage använder Azure Attestation även Azure Disk Encryption (ADE) för att kryptera virtuella tjänstdatorer. För Azure Attestation som körs i en enklav i azure-miljöer för konfidentiell databehandling stöds för närvarande inte ADE-tillägget. I sådana scenarier inaktiveras sidfilen för att förhindra att data lagras i minnet.

Inga kunddata sparas på lokala hårddiskar för Azure Attestation-instansen.

Nästa steg