Microsoft Azure Doğrulama
Microsoft Azure Doğrulama, bir platformun güvenilirliğini ve içinde çalışan ikili dosyaların bütünlüğünü uzaktan doğrulamaya yönelik birleşik bir çözümdür. Hizmet, Güvenilir Platform Modülleri (TPM' ler) tarafından desteklenen platformların kanıtlamasını ve Intel® Software Guard Uzantıları (SGX) kuşatmaları, Sanallaştırma Tabanlı Güvenlik (VBS) kuşatmaları, Güvenilen Platform Modülleri (TPM'ler), Azure VM'leri için güvenilir başlatma ve Azure gizli VM'leri gibi Güvenilen Yürütme Ortamlarının (TEE) durumunu kanıtlama özelliğini destekler.
Kanıtlama, yazılım ikili dosyalarının güvenilir bir platformda düzgün bir şekilde örneklendiğini gösteren bir süreçtir. Bu durumda, uzak bağlı olan taraflar yalnızca bu tür amaçlanan yazılımların güvenilen donanımlarda çalıştığından emin olabilir. Azure Doğrulama, müşteriye yönelik birleşik bir hizmet ve kanıtlama çerçevesidir.
Azure Doğrulama gibi en yeni güvenlik paradigmalarını etkinleştirirAzure Gizli bilgi işlem ve Akıllı Uç koruması. Müşteriler bir makinenin konumunu, bu makinedeki bir sanal makinenin (VM) duruşunu ve içindeki kuşatmaların bu VM üzerinde çalıştığı ortamı bağımsız olarak doğrulama olanağını talep ediyor. Azure Doğrulama bu ve birçok ek müşteri isteğini güçlendirmektedir.
Azure Doğrulama işlem varlıklarından kanıt alır, bunları bir talep kümesine dönüştürür, yapılandırılabilir ilkelere karşı doğrular ve talep tabanlı uygulamalar (örneğin, bağlı olan taraflar ve denetim yetkilileri) için şifreleme kanıtı oluşturur.
Azure Doğrulama, AMD SEV-SNP tabanlı Gizli VM'lerin (CVM) hem platform hem de konuk kanıtlamasını destekler. Azure Doğrulama tabanlı platform kanıtlama, CVM'lerin kritik önyükleme yolu sırasında otomatik olarak gerçekleşir ve müşteri eylemi gerekmez. Konuk kanıtlama hakkında daha fazla bilgi için bkz . Gizli VM'ler için konuk kanıtlamanın genel kullanılabilirliğini duyurma.
Kullanım örnekleri
Azure Doğrulama, birden çok ortam ve ayırt edici kullanım örnekleri için kapsamlı kanıtlama hizmetleri sağlar.
Gizli VM'lerde AMD SEV-SNP kanıtlaması
Azure Gizli VM (CVM), SEV-SNP teknolojisine sahip AMD işlemcileri temel alır. CVM, platform tarafından yönetilen anahtarlar veya müşteri tarafından yönetilen anahtarlar ile VM işletim sistemi disk şifreleme seçeneği sunar ve disk şifreleme anahtarlarını sanal makinenin TPM'sine bağlar. Bir CVM önyüklemesi yapıldığında, konuk VM üretici yazılımı ölçümlerini içeren SNP raporu Azure Doğrulama gönderilir. Hizmet ölçümleri doğrular ve Anahtarları Managed-HSM veya Azure Key Vault'tan serbest bırakmak için kullanılan bir kanıtlama belirteci yayınlar. Bu anahtarlar konuk VM'nin vTPM durumunun şifresini çözmek, işletim sistemi diskinin kilidini açmak ve CVM'yi başlatmak için kullanılır. Kanıtlama ve anahtar bırakma işlemi her CVM önyüklemesinde otomatik olarak gerçekleştirilir ve işlem, CVM'nin yalnızca donanımın başarılı kanıtlaması üzerine önyüklenmesini sağlar.
Gizli Kapsayıcılarda AMD SEV-SNP kanıtlaması
Azure Gizli Kapsayıcılar, SEV-SNP teknolojisine sahip AMD işlemcileri temel alır. Azure Container Instances'ta ve Azure Kubernetes Service'te (önizlemede) barındırılan gizli kapsayıcılar, kapsayıcı gruplarını, bu kapsayıcı grubunu kapsayıcı yönetimi denetim düzleminden ve çalışan diğer kapsayıcılardan yalıtan SEV-SNP korumalı güvenilir yürütme ortamında çalıştırma olanağı sunar. Gizli kapsayıcılarda kanıtlama, AMD donanım kanıtlama raporunu doğrudan işlemciden getirmeyi içerir. Bu, SKR sepet kapsayıcımız ile gerçekleştirilebilir veya doğrudan uygulama mantığınızda derlenebilir. Ardından, gizli dizileri almak için donanım raporu Azure Doğrulama ve managed-HSM veya Premium Azure Key Vault (AKV) ile değiştirilebilir. Donanım raporunu istediğiniz gibi kendi anahtar kasası sisteminize de sağlayabilirsiniz.
Güvenilen Başlatma kanıtlaması
Azure müşterileri sanal makineleri (VM) için güvenilir başlatmayı etkinleştirerek bootkit ve rootkit bulaşmalarını önleyebilir. VM Güvenli Önyükleme olduğunda ve konuk kanıtlama uzantısı yüklü vTPM etkinleştirildiğinde, vTPM ölçümleri önyükleme bütünlüğünü izlemek için düzenli aralıklarla Azure Doğrulama gönderilir. Kanıtlama hatası, uyarılar ve öneriler aracılığıyla Bulut için Microsoft Defender aracılığıyla müşterilere sunulan olası kötü amaçlı yazılımları gösterir.
TPM kanıtlama
Güvenilir Platform Modülleri (TPM) tabanlı kanıtlama, platformun durumunun kanıtını sağlamak için kritik öneme sahiptir. TPM, ölçümlere şifreleme geçerliliği (kanıt) sağlamak için güvenin kökü ve güvenlik yardımcı işlemcisi görevi görür. TPM'si olan cihazlar, önyükleme bütünlüğünün tehlikeye atıldığını kanıtlamak için kanıtlamaya güvenebilir ve önyükleme sırasında özellik durumu etkinleştirmesini algılamak için talepleri kullanabilir.
İstemci uygulamaları, güvenlik açısından hassas görevlerin yalnızca bir platformun güvenli olduğu doğrulandıktan sonra gerçekleştirilecek şekilde temsilci olarak atanarak TPM kanıtlamadan yararlanacak şekilde tasarlanabilir. Bu tür uygulamalar daha sonra platforma düzenli olarak güven ve hassas verilere erişim olanağı sağlamak için Azure Doğrulama kullanabilir.
SGX kapanım kanıtlaması
Intel® Software Guard Uzantıları (SGX), belirli Intel CPU modellerinde desteklenen donanım sınıfı yalıtımı ifade eder. SGX, kodun SGX kuşatmalar olarak bilinen temizlenmiş bölmelerde çalışmasını sağlar. Erişim ve bellek izinleri daha sonra donanım tarafından yönetilerek uygun yalıtımla en düşük saldırı yüzeyinin sağlanması sağlanır.
İstemci uygulamaları, güvenlik açısından hassas görevlerin bu kuşatmalar içinde gerçekleşmesini temsilci olarak belirleyerek SGX kuşatmalarından yararlanacak şekilde tasarlanabilir. Bu tür uygulamalar daha sonra Azure Doğrulama kullanarak kapanıma ve hassas verilere erişme özelliğine düzenli olarak güven oluşturabilir.
Intel® Xeon® Ölçeklenebilir işlemciler yalnızca SGX kuşatmalarını uzaktan kanıtlamaya yönelik ECDSA tabanlı kanıtlama çözümlerini destekler. ECDSA tabanlı kanıtlama modelini kullanan Azure Doğrulama, Intel® Xeon® E3 işlemcilerinin ve Intel® Xeon® Ölçeklenebilir işlemci tabanlı sunucu platformlarının doğrulanması desteklenir.
Not
Azure Doğrulama kullanarak Intel® Xeon® Ölçeklenebilir işlemci tabanlı sunucu platformlarının kanıtlamasını gerçekleştirmek için kullanıcıların Azure DCAP sürüm 1.10.0 veya üzerini yüklemesi beklenir.
Enclave kanıtlamayı açma
Open Enclave (OE), geliştiricilerin TEE tabanlı uygulamalar oluşturması için tek bir birleşik kapanım soyutlaması oluşturmayı hedefleyen bir kitaplık koleksiyonudur. Platforma özgü özellikleri en aza indiren evrensel bir güvenli uygulama modeli sunar. Microsoft bunu SGX gibi donanım tabanlı kapanım teknolojilerini demokratikleştirmeye ve Azure'a katılmalarını artırmaya yönelik temel bir adım taşı olarak görür.
OE, kapanım kanıtlarının doğrulanması için belirli gereksinimleri standartlaştırır. Bu, OE'yi Azure Doğrulama son derece uygun bir kanıtlama tüketicisi olarak niteler.
Azure Doğrulama BIR TEE'de çalışır
Azure Doğrulama, aşağıdaki eylemleri gerçekleştirdiğinden Gizli Bilgi İşlem senaryoları için kritik öneme sahiptir:
- Kapanım kanıtının geçerli olup olmadığını doğrular.
- Kapanım kanıtını müşteri tanımlı bir ilkeye göre değerlendirir.
- Kiracıya özgü ilkeleri yönetir ve depolar.
- Bağlı olan taraflar tarafından kapanımla etkileşime geçmek için kullanılan bir belirteç oluşturur ve imzalar.
Microsoft'u işletimsel olarak güvenilir bilgi işlem tabanından (TCB) uzak tutmak için teklif doğrulama, belirteç oluşturma, ilke değerlendirmesi ve belirteç imzalama gibi Azure Doğrulama kritik işlemleri SGX kapanıma taşınır.
Neden Azure Doğrulama kullanmalısınız?
Azure Doğrulama, AŞAĞıDAKI avantajları sunduğundan TEE'leri test etme için tercih edilen seçenektir:
- TPM'ler, SGX kuşatmalar ve VBS kuşatmaları gibi birden çok ortamı kanıtlamaya yönelik birleşik çerçeve.
- Belirteç oluşturmayı kısıtlamak için özel kanıtlama sağlayıcılarının oluşturulmasına ve ilkelerin yapılandırılmasına olanak tanır.
- Amd SEV-SNP tabanlı bir SGX kapanım veya Gizli Sanal Makinede uygulama ile kullanımdayken verilerini korur.
- Yüksek oranda kullanılabilir hizmet
Azure Doğrulama ile güven oluşturma
- Kanıtlama belirtecinin Azure Doğrulama tarafından oluşturulduğunu doğrulayın - Azure Doğrulama tarafından oluşturulan kanıtlama belirteci otomatik olarak imzalanan bir sertifika kullanılarak imzalanır. İmzalama sertifikaları URL'si bir OpenID meta veri uç noktası aracılığıyla kullanıma sunulur. Bağlı olan taraf imzalama sertifikasını alabilir ve kanıtlama belirtecinin imza doğrulamasını gerçekleştirebilir. Daha fazla bilgi için bkz. kod örnekleri
- Azure Doğrulama bir SGX kapanım içinde çalışıp çalışmadığını doğrulayın - Belirteç imzalama sertifikaları, Azure Doğrulama çalıştığı TEE'nin SGX alıntısını içerir. Bağlı olan taraf Azure Doğrulama geçerli bir SGX kapanım içinde çalışıp çalışmadığını denetlemeyi tercih ederse, SGX teklifi imzalama sertifikasından alınabilir ve yerel olarak doğrulanabilir. Daha fazla bilgi için bkz. kod örnekleri
- kanıtlama belirtecini imzalayan anahtarla Azure Doğrulama SGX teklifinin bağlamasını doğrulayın – Bağlı olan taraf, kanıtlama belirtecini imzalayan ortak anahtarın karmasıyla Azure Doğrulama SGX teklifinin rapor veri alanıyla eşleşip eşleşmediğini doğrulayabilir. Daha fazla bilgi için bkz. kod örnekleri
- Azure Doğrulama kod ölçümlerinin Azure tarafından yayımlanan değerlerle eşleşip eşleşmediğini doğrulayın - Kanıtlama belirteci imzalama sertifikalarına eklenen SGX teklifi, MRSIGNER gibi Azure Doğrulama kod ölçümlerini içerir. Bağlı olan taraf SGX teklifinin Azure'da çalışan Azure Doğrulama ait olup olmadığını doğrulamakla ilgileniyorsa, KANıTLAMA belirteci imzalama sertifikasındaki SGX teklifinden MRSIGNER değeri alınabilir ve Azure Doğrulama ekibi tarafından sağlanan değerle karşılaştırılabilir. Bu doğrulamayı gerçekleştirmek istiyorsanız Azure desteği sayfadan bir istek gönderin. Azure Doğrulama ekibi MRSIGNER'ı döndürmeyi planladığımız zaman size ulaşacaktır.
Kod imzalama sertifikaları döndürüldüğünde Azure Doğrulama mrsigner'ının değişmesi beklenir. Azure Doğrulama ekibi, her mrsigner rotasyonu için aşağıdaki dağıtım zamanlamasını izler:
i. Azure Doğrulama ekibi, ilgili kod değişikliklerini yapmak için yaklaşan MRSIGNER değerini iki aylık yetkisiz kullanım süresiyle bildirir
ii. İki aylık yetkisiz kullanım süresinden sonra Azure Doğrulama yeni MRSIGNER değerini kullanmaya başlar
iii. Bildirim tarihinden sonra üç ay Azure Doğrulama eski MRSIGNER değerini kullanmayı durdurur
İş Sürekliliği ve Olağanüstü Durum Kurtarma (BCDR) desteği
Azure Doğrulama için İş Sürekliliği ve Olağanüstü Durum Kurtarma (BCDR), bölgedeki önemli kullanılabilirlik sorunlarından veya olağanüstü durum olaylarından kaynaklanan hizmet kesintilerini azaltmanıza olanak tanır.
İki bölgeye dağıtılan kümeler normal koşullarda bağımsız olarak çalışır. Bir bölgede hata veya kesinti olması durumunda aşağıdakiler gerçekleşir:
- Azure Doğrulama BCDR, müşterilerin kurtarmak için ek bir adım atmasına gerek kalmadığı sorunsuz yük devretme sağlar.
- Bölge için Azure Traffic Manager, sistem durumu yoklamasının düşürüldüğünü algılar ve uç noktayı eşleştirilmiş bölgeye değiştirir.
- Mevcut bağlantılar çalışmaz ve iç sunucu hatası veya zaman aşımı sorunları alır.
- Tüm kontrol düzlemi işlemleri engellenir. Müşteriler birincil bölgede kanıtlama sağlayıcıları oluşturamaz.
- Test çağrıları ve ilke yapılandırması dahil olmak üzere tüm veri düzlemi işlemleri ikincil bölgeye göre sunulur. Müşteriler, birincil bölgeye karşılık gelen özgün URI ile veri düzlemi işlemleri üzerinde çalışmaya devam edebilir.
Sonraki adımlar
- Azure Doğrulama temel kavramlar hakkında bilgi edinin
- Kanıtlama ilkesi yazma ve imzalama
- PowerShell kullanarak Azure Doğrulama ayarlama