Microsoft Azure Doğrulama için sık sorulan sorular

Güvenilen Donanım Kimlik Yönetimi (THIM), Azure Gizli bilgi işlem (ACC) düğümleri için Azure güvenlik temelini Intel'den getirir ve verileri önbelleğe alır. Önbelleğe alınan bilgiler, güvenilen yürütme ortamlarını (TEE) doğrulamada Azure Doğrulama tarafından daha fazla kullanılır.

THIM aşağıdaki nedenlerle önerilir:

• Yüksek kullanılabilirlik sunar
• Dışta barındırılan hizmetlere ve İnternet bağlantısına bağımlılıkları azaltır.
• Intel sertifikalarının yeni sürümlerini, CRL'leri, Güvenilen Bilgi İşlem Tabanı (TCB) bilgilerini ve Intel'den ACC düğümlerinin Kapanım Kimliğini Alıntılama'yı düzenli aralıklarla getirir. Bu nedenle hizmet, TEE'leri doğrularken Azure Doğrulama tarafından başvurulmasını onaylayarak Intel sertifikalarının geçersiz kılınması veya iptal edilmesi nedeniyle kanıtlama hatalarını büyük ölçüde azaltır

Hayır. Azure Doğrulama, TEE'leri doğrulamak için Güvenilen Donanım Kimlik Yönetimi (THIM) tarafından belirtilen güvenlik temeline bağlıdır. THIM şu anda yalnızca Azure Gizli bilgi işlem düğümlerini destekleyecek şekilde tasarlanmıştır.

SGX kanıtlama işlemi sırasında Azure Doğrulama aşağıdaki doğrulamaları gerçekleştirir:

• İmzalı kapanım teklifinin güvenilen kökünün Intel'e ait olup olmadığını doğrular
• TEE teklifinin Güvenilen Donanım Kimlik Yönetimi (THIM) tarafından tanımlanan Azure güvenlik temelini karşılayıp karşılamadığı doğrulanır
• Müşteri bir kanıtlama sağlayıcısı oluşturduysa ve yukarıdaki doğrulamalara ek olarak özel bir ilke yapılandırdıysa, Azure Doğrulama TEE teklifini kanıtlama ilkesine göre değerlendirir. Kanıtlama ilkelerini kullanarak müşteriler TEE için yetkilendirme kuralları tanımlayabilir ve ayrıca kanıtlama belirtecini oluşturmak için verme kuralları dikte edebilir

Genel olarak, güvenin kökü Intel olan kanıtlama modelleri için kanıtlama istemcisi, kapanım kanıtını getirmek için API'leri kuşatmaya yönelik konuşmalar gerçekleştirir. Enclave API'leri, test edilecek düğümün Intel sertifikalarını getirmek için Intel PCK önbelleğe alma hizmetini dahili olarak çağırır. Sertifikalar, kapanım kanıtını imzalamak için kullanılır ve böylece uzaktan doğrulanabilir bir teminat oluşturulur.

Aynı işlem Azure Doğrulama için de uygulanabilir. Ancak, Güvenilir Donanım Kimlik Yönetimi (THIM) tarafından sunulan avantajlardan yararlanmak için, ACC sanal makinesini yükledikten sonra Azure DCAP kitaplığının yüklenmesi önerilir. Intel ile yapılan sözleşmeye bağlı olarak, Azure DCAP kitaplığı yüklendiğinde, kapanım kanıtı oluşturma istekleri Intel PCK önbelleğe alma hizmetinden THIM'ye yönlendirilir. Azure DCAP kitaplığı Windows ve Linux tabanlı ortamlarda desteklenir.

• Azure Gizli bilgi işlem sanal makinesini yükledikten sonra, Güvenilen Donanım Kimlik Yönetimi (THIM) tarafından sunulan avantajlardan yararlanmak için Azure DCAP kitaplığını (Windows/Linux) yükleyin.
• Kapanım kanıtını alabilen ve Azure Doğrulama istekleri gönderebilen uzak kanıtlama istemcisinin yazılması gerekir. Başvuru için kod örneklerine bakın
• Kanıtlama istekleri varsayılan sağlayıcıların veya özel kanıtlama sağlayıcılarının REST API uç noktasına gönderilebilir
• 2018-09-01-preview API sürümünde istemcinin SGX attest API uç noktasına kanıt ile birlikte Microsoft Entra erişim belirteci göndermesi gerekir. Microsoft Entra erişim belirteci, 2020-10-01 API sürümünde SGX kanıtlaması gerçekleştirmek için gerekli bir parametre değildir

Azure Doğrulama tarafından oluşturulan kanıtlama belirteci otomatik olarak imzalanan bir sertifika kullanılarak imzalanır. İmzalama sertifikaları, OpenID meta veri uç noktası aracılığıyla kullanıma sunulur. Bağlı olan taraf bu uç noktadan imzalama sertifikalarını alabilir ve kanıtlama belirtecinin imza doğrulamasını gerçekleştirebilir. İmzalama sertifikası, Azure Doğrulama çalıştığı TEE'nin SGX alıntısını da içerir. Bağlı olan taraf Azure Doğrulama geçerli bir SGX kapanım içinde çalışıp çalışmadığını da denetlemeyi tercih ederse, SGX teklifi imzalama sertifikasından alınabilir ve yerel olarak doğrulanabilir. Daha fazla bilgi için bkz. kod örnekleri

Kanıtlama belirtecinin geçerlilik süresi 8 saattir. Şu anda değeri özelleştirmek için herhangi bir sağlama yoktur.

OpenID meta veri uç noktasında kullanıma sunulan birden çok sertifika, Azure Doğrulama tarafından desteklenen farklı kullanım örneklerine (örneğin SGX kanıtlama) karşılık gelir. RFC 7515 tarafından belirtilen standartlara göre, kanıtlama belirteci üst bilgisindeki kid parametresiyle eşleşen anahtar kimliğine (çocuk) sahip sertifika imza doğrulaması için kullanılır. Eşleşen çocuk bulunmazsa, OpenID meta veri uç noktası tarafından kullanıma sunulan tüm sertifikaları denemesi beklenir.

TEE kanıt oluşturma sırasında, TEE içinde çalıştırılan kod, kanıta rastgele bilgiler içerebilir. Örneğin, TEE bir veya daha fazla asimetrik anahtar çifti oluşturabilir, bu anahtar çiftlerinin ortak anahtar bileşenlerini JWKS JSON dizesi olarak seri hale getirebilir ve JWKS JSON dizesini TEE kanıtına RunTimeData { quote, JWKS JSON dizesi } olarak ekleyebilir. Azure Doğrulama RuntimeData'nın SHA256 karması, teklifin "rapor verileri" özniteliğinin daha düşük 32 bayt ile eşleşip eşleşmediğini denetler. TEE kanıtını değerlendirme sonrasında Azure Doğrulama JWKS ile birlikte "x-ms-runtime" talebi altında "keys" adlı bir talep olarak kullanılabilir JWT oluşturur. RunTimeData, güvenli kanal oluşturmak ve verileri TEE'ye güvenli bir şekilde iletmek için bağlı olan taraf tarafından daha fazla kullanılabilir.

Azure Doğrulama, müşterinin hizmet örneğini dağıttığı coğrafyada BCDR amaçlarıyla işleme ve çoğaltma sırasında bekleyen müşteri verilerini depolar.