Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Azure Kanıtlama ile ilgili bazı temel kavramlar tanımlanmaktadır.
JSON Web Belirteci (JWTs)
JSON Web Belirteci (JWT), javascript nesne gösterimi (JSON) nesnesi olarak taraflar arasında bilgileri güvenli bir şekilde iletmek için açık standart bir RFC7519 yöntemidir. Bu bilgiler dijital olarak imzalandığından doğrulanabilir ve güvenilir olabilir. JWT'ler, gizli anahtar veya ortak/özel anahtar çifti kullanılarak imzalanabilir.
JSON Web Anahtarı (JWK)
JSON Web Anahtarı (JWK), şifreleme anahtarını temsil eden bir JSON veri yapısıdır. Bu belirtim, bir JWK kümesini temsil eden bir JWK Kümesi JSON veri yapısını da tanımlar.
Kanıtlama sağlayıcısı
Kanıtlama sağlayıcısı, Microsoft.Attestation adlı Azure kaynak sağlayıcısına aittir. Kaynak sağlayıcısı, Azure Kanıtlama REST sözleşmesi sağlayan ve Azure Resource Manager kullanılarak dağıtılan bir hizmet uç noktasıdır. Her kanıtlama sağlayıcısı belirli, bulunabilir bir ilkeyi kabul eder. Kanıt sağlayıcıları, her doğrulama türü için varsayılan bir ilkeyle oluşturulur (VBS güvenli bölgesinin varsayılan bir ilkesi bulunmadığını unutmayın). SGX için varsayılan ilke hakkında daha fazla ayrıntı için kanıtlama ilkesi örneklerine bakın.
Kanıtlama isteği
Kanıtlama isteği, istemci uygulaması tarafından kanıtlama sağlayıcısına gönderilen serileştirilmiş bir JSON nesnesidir. SGX yerleşkesi için istek nesnesinin iki özelliği vardır.
- "Quote" – "Quote" özelliğinin değeri, kanıtlama teklifinin Base64URL kodlanmış gösterimini içeren bir dizedir.
- "EnclaveHeldData" – "EnclaveHeldData" özelliğinin değeri, Enclave Held Data'nın Base64URL kodlanmış gösterimini içeren bir dizedir.
Azure Kanıtlama, sağlanan Enclave Held Data'nın SHA256 karmasının, alıntıdaki reportData alanının ilk 32 baytında bulunduğunu doğrulamak için sağlanan "Quote'u" etkinleştirir.
Kanıtlama ilkesi
Kanıtlama ilkesi, kanıtlama kanıtını işlemek için kullanılır ve müşteriler tarafından yapılandırılabilir. Azure Kanıtlama'nın temeli, kanıtı oluşturan talepleri işleyen bir ilke altyapısıdır. İlkeler, Azure Attestation'ın kanıta dayalı bir belirteç verip vermemesi ve dolayısıyla Attester'i onaylaması ya da onaylamaması için kullanılır. Buna göre, tüm politikaların geçirilememesi JWT belirtecinin verilmemesine neden olur.
Kanıtlama sağlayıcısındaki varsayılan ilke gereksinimleri karşılamıyorsa, müşteriler Azure Kanıtlama tarafından desteklenen bölgelerin herhangi birinde özel ilkeler oluşturabilir. İlke yönetimi, Azure Kanıtlama tarafından müşterilere sağlanan önemli bir özelliktir. İlkeler kanıtlama türüne özgüdür ve kuşatmaları tanımlamak veya çıkış belirtecine talep eklemek ya da çıkış belirtecindeki talepleri değiştirmek için kullanılabilir.
Kanıtlama ilkesi örneklerine bakın.
İlke imzalamanın avantajları
Kanıtlama ilkesi, bir kanıtlama belirtecinin Azure Kanıtlama tarafından düzenlenip verilmediğini belirleyen ilkedir. İlke aynı zamanda doğrulama belirtecinde oluşturulacak iddiaları da belirler. Hizmet tarafından değerlendirilen ilkenin, yönetici tarafından yazılan ilke olması ve dış etkenler tarafından değiştirilmemesi çok önemlidir.
Güven modeli, ilkeyi tanımlamak ve güncelleştirmek için kanıtlama sağlayıcısının yetkilendirme modelini tanımlar. Biri Microsoft Entra yetkilendirmesini, diğeri de müşteri tarafından yönetilen şifreleme anahtarlarını (yalıtılmış model olarak adlandırılır) temel alan iki model desteklenir. Yalıtılmış model, müşteri tarafından gönderilen ilkenin değiştirilmediğini sağlamak amacıyla Azure Attestation'a imkan tanır.
Yalıtılmış modelde, yönetici bir dosyada bir dizi güvenilir imzalama X.509 sertifikası belirten bir kanıtlama sağlayıcısı oluşturur. Yönetici daha sonra kanıtlama sağlayıcısına imzalı bir ilke ekleyebilir. Azure Kanıtlama, kanıtlama isteğini işlerken üst bilgideki "jwk" veya "x5c" parametresiyle temsil edilen ortak anahtarı kullanarak ilkenin imzasını doğrular. Azure Kanıtlama, istek üst bilgisindeki ortak anahtarın kanıtlama sağlayıcısıyla ilişkili güvenilir imzalama sertifikaları listesinde olup olmadığını doğrular. Bu şekilde, bağlı olan taraf (Azure Kanıtlama) bildiği X.509 sertifikaları kullanılarak imzalanan bir ilkeye güvenebilir.
Politika imzalayan sertifika örnekleri için örneklere bakın.
Kanıtlama belirteci
Azure Kanıtlama yanıtı, değeri JWT içeren bir JSON dizesidir. Azure Kanıtlama talepleri paketler ve imzalı bir JWT oluşturur. İmzalama işlemi, kanıtlama sağlayıcısının AttestUri öğesiyle eşleşen konu adına sahip otomatik olarak imzalanan bir sertifika kullanılarak gerçekleştirilir.
OpenID Meta Verileri Al API'si, OpenID Connect Bulma protokolü tarafından belirtilen bir OpenID Yapılandırması yanıtı döndürür. API, Azure Kanıtlama tarafından kullanılan imzalama sertifikaları hakkındaki meta verileri alır.
Kanıtlama belirtecinin örneklerine bakın.
Dinlenme hâlindeki verilerin şifrelenmesi
Azure Kanıtlama, müşteri verilerini korumak için verilerini Azure Depolama'da korur. Azure depolama, veriler veri merkezlerine kaydedildikçe hareketsiz verilerin şifrelenmesini sağlar ve müşterilerin erişebilmesi için verilerin şifresini çözer. Bu şifreleme, Microsoft tarafından yönetilen bir şifreleme anahtarı kullanılarak gerçekleşir.
Azure Depolama'daki verileri korumaya ek olarak Azure Kanıtlama, hizmet VM'lerini şifrelemek için Azure Disk Şifrelemesi'ni (ADE) de kullanır. Azure gizli bilgi işlem ortamlarındaki bir kapanımda çalışan Azure Kanıtlama için ADE uzantısı şu anda desteklenmiyor. Bu tür senaryolarda verilerin bellek içinde depolanmasını önlemek için sayfa dosyası devre dışı bırakılır.
Azure Kanıtlama örneği yerel sabit disk sürücülerinde hiçbir müşteri verisi kalıcı değil.