Microsoft Azure confidential ledger
Microsoft Azure Confidential Ledger (ACL) är en ny och mycket säker tjänst för hantering av känsliga dataposter. Den körs uteslutande på maskinvarustödda säkra enklaver, en kraftigt övervakad och isolerad körningsmiljö som håller potentiella attacker borta. Dessutom körs Azure confidential ledger på en minimalistisk TCB (Trusted Computing Base), som säkerställer att ingen – inte ens Microsoft – är "ovanför" transaktionsregistret.
Som namnet antyder använder Azure Confidential Ledger Azure Confidential Computing-plattformen och Confidential Consortium Framework för att tillhandahålla en lösning med hög integritet som är manipuleringsskyddad och tydlig. En transaktionsregister omfattar tre eller flera identiska instanser, som vart och ett körs i en dedikerad, fullständigt intygad maskinvarustödd enklav. Transaktionsregistrets integritet upprätthålls via en konsensusbaserad blockkedja.
Azure confidential ledger erbjuder unika dataintegritetsfördelar, däribland oföränderlighet, manipuleringssäkerhet och åtgärder med endast tillägg. Dessa funktioner, som säkerställer att alla poster hålls intakta, är idealiska när viktiga metadataposter inte får ändras, till exempel för regelefterlevnad och arkivering.
Här är några exempel på saker som du kan lagra i transaktionsregistret:
- Poster som rör dina affärstransaktioner (till exempel pengaöverföringar eller konfidentiella dokumentredigeringar).
- Uppdateringar till betrodda tillgångar (till exempel kärnprogram eller kontrakt).
- Administrativa ändringar och kontrolländringar (till exempel att bevilja åtkomstbehörigheter).
- Operativa IT- och säkerhetshändelser (till exempel Microsoft Defender för molnaviseringar).
Om du vill ha mer information kan du titta på demot för konfidentiella Azure-transaktionsregister.
Viktiga funktioner
Den konfidentiella transaktionsregistret exponeras via REST-API:er som kan integreras i nya eller befintliga program. Den konfidentiella transaktionsregistret kan hanteras av administratörer som använder administrativa API:er (kontrollplan). Den kan också anropas direkt av programkod via funktionella API:er (dataplan). Administrativa API:er stöder grundläggande åtgärder som att skapa, uppdatera, hämta och ta bort. Funktions-API:erna tillåter direkt interaktion med din instansierade transaktionsregister och inkluderar åtgärder som att placera och hämta data.
Transaktionsregistersäkerhet
Transaktionsregister-API:erna stöder certifikatbaserad autentiseringsprocess med ägarroller samt Azure Active Directory-baserad autentisering (AAD) och även rollbaserad åtkomst (till exempel ägare, läsare och deltagare).
Data till transaktionsregistret skickas via TLS 1.3-anslutning och TLS 1.3-anslutningen avslutas i de maskinvarustödda säkerhetsklaverna (Intel® SGX-enklaver). Detta säkerställer att ingen kan fånga upp anslutningen mellan en kunds klient och de konfidentiella transaktionsregisterservernoderna.
Transaktionsregisterlagring
Konfidentiella transaktionsregister skapas som block i bloblagringscontainrar som tillhör ett Azure Storage-konto. Transaktionsdata kan antingen lagras krypterade eller i klartext beroende på dina behov.
Den konfidentiella transaktionsregistret kan hanteras av administratörer som använder administrativa API:er (kontrollplan) och kan anropas direkt av din programkod via funktionella API:er (dataplan). Administrativa API:er stöder grundläggande åtgärder som att skapa, uppdatera, hämta och ta bort.
Funktions-API:erna tillåter direkt interaktion med din instansierade konfidentiella transaktionsregister och inkluderar åtgärder som att placera och hämta data.
Villkor
- När ett konfidentiellt transaktionsregister har skapats kan du inte ändra transaktionsregistertypen (privat eller offentlig).
- Borttagning av konfidentiella transaktionsregister i Azure leder till en "hård borttagning", så dina data kan inte återställas efter borttagningen.
- Azures konfidentiella transaktionsregisternamn måste vara globalt unika. Transaktionsregister med samma namn, oavsett typ, tillåts inte.
Terminologi
| Period | Definition |
|---|---|
| ACL | Konfidentiellt transaktionsregister i Azure |
| Redovisningen | En oföränderlig post med endast tillägg av transaktioner (kallas även blockkedja) |
| Checka in | En bekräftelse på att en transaktion har lagts till i transaktionsregistret. |
| Mottagandet | Bevis på att transaktionen bearbetades av transaktionsregistret. |