Läs på engelska Redigera

Dela via


Vanliga frågor och svar om Azure Confidential Ledger

Den här artikeln besvarar vanliga frågor om konfidentiella azure-transaktionsregister.

Allmänt

Hur vet jag om azure confidential ledger-tjänsten skulle vara användbar för min organisation?

Azures konfidentiella transaktionsregister är perfekt för organisationer med poster som är tillräckligt värdefulla för att en motiverad angripare ska kunna försöka kompromettera det underliggande loggnings- eller lagringssystemet, inklusive "insider"-scenarier där en obehörig medarbetare kan försöka förfalska, ändra eller ta bort tidigare poster.

Vad gör azure confidential ledger mycket säkrare?

Som namnet antyder använder transaktionsregistret Azure Confidential Computing-plattformen och Confidential Consortium Framework för att tillhandahålla en lösning med hög integritet som är manipuleringsskyddad och uppenbar. Ett transaktionsregister sträcker sig över tre eller flera identiska instanser, som var och en körs i en dedikerad, fullständigt intygad maskinvarustödd enklav. Transaktionsregistrets integritet upprätthålls via en konsensusbaserad blockkedja.

Behöver jag lagra skrivkvitton när jag skriver till Azures konfidentiella transaktionsregister?

Inte nödvändigtvis. Vissa lösningar kräver idag att användare underhåller skrivkvitton för framtida loggvalidering. Detta kräver att användarna hanterar dessa kvitton i en säker lagringsanläggning, vilket ger en extra börda. Transaktionsregistret eliminerar den här utmaningen genom en Merkle-trädbaserad metod, där skrivkvitton innehåller en fullständig trädsökväg till en signerad rot av förtroende. Användare kan verifiera transaktioner utan att lagra eller hantera transaktionsregisterdata.

Hur verifierar jag transaktionsregistrets äkthet?

Du kan kontrollera att de transaktionsregisterservernoder som klienten kommunicerar med är autentiska. Mer information finns i Autentisera konfidentiella transaktionsregisternoder.

Kan kommunikationen mellan en klient och en ACL komprometteras av en Azure-administratör, eftersom Azure styr TLS mellan klienten och ACL?

TLS-anslutningen upprättas mellan en klient och en specifik nod som körs i en enklav. När anslutningen avslutas i enklaven har varken Azure-administratörer eller någon annan åtkomst till enklaverdata på grund av den säkerhet som tillhandahålls av Intel SGX-specialiserad maskinvara.

Erbjuder ACL frågor om andra attribut än kvittot/transaktions-ID:t?

Förutom att fråga med kvittot/transaktions-ID:t erbjuder ACL historisk frågefunktion för att läsa data från Genesis(eller inom ett intervall) för en specifik nyckel med hjälp av samlings-ID:t (kallas även underregister-ID). Vi skulle vara intresserade av att veta vilka andra attribut som skulle vara användbara för frågor, eftersom vi samlar in indata för vår produktöversikt.

Krypteras data på disken separat? I så fall, var lagras nycklarna?

När du lagrar data i transaktionsregistret kan du välja det offentliga eller privata alternativet. Det offentliga alternativet är inte krypterat. oformaterad text och passar bra för vissa användningsfall som kräver manipuleringssäker och granskningsbar transaktionsregisteranvändning. Det privata alternativet är dock krypterat. Data krypteras med tre krypteringsnivåer (t.ex. transaktionshemligheter, hemlighetshanteringsnyckel för transaktionsregister och återställningsnyckelresurser), vilket beskrivs i detalj här.

Användarhantering

Hur hanterar jag användare i en transaktionsregister?

Du kan hantera användare i en transaktionsregister via portalen eller någon av de tillgängliga SDK:erna: python, .NET eller Java.

Kan Microsoft hjälpa mig att hantera användare i ett transaktionsregister som jag har skapat?

Nej. När en transaktionsregister har skapats har Microsoft ingen åtkomst till användarhantering.

Jag har skapat ett transaktionsregister utan administratör. Kan jag fortfarande lägga till användare?

Om du skapar ett transaktionsregister utan administratör får AAD/certifikatet administratörsrättigheter. Den identiteten kan användas för att hantera transaktionsregistret.