本文回答關於 Azure 機密總帳的常見問題。
一般
我該如何判斷 Azure 機密總帳服務是否對我的組織有用?
Azure 機密總帳適用於具有足夠價值記錄的組織,這些記錄足以讓有動機的攻擊者嘗試入侵基礎記錄或儲存系統,包括惡意員工可能嘗試偽造、修改或移除先前記錄的「測試人員」情節。
是什麼讓 Azure 機密總帳更為安全?
顧名思義,總帳會利用 Azure 機密運算平台和機密聯盟架構,提供防篡改的高資料完整性解決方案。 一個總帳跨越三個以上相同的執行個體,每個執行個體都會在專用、完全證明的硬體支援記憶體保護區中執行。 總帳的完整性是透過共識型區塊鏈來維護。
寫入 Azure 機密總帳時,我需要儲存寫入回條嗎?
不一定。 現在有些解決方案要求使用者維護寫入回條,以供日後進行記錄驗證。 這需要使用者在安全的儲存設備中管理這些回條,反而增加額外負擔。 總帳會透過以 Merkle 樹狀結構為基礎的方法消除這項挑戰。該方法中的寫入回條包含已簽署之信任根目錄的完整樹狀結構路徑。 使用者可以驗證交易,而不需儲存或管理任何總帳資料。
我該如何驗證總帳的真實性?
您可以驗證客戶端正在通訊的總帳伺服器節點是否真實。 如需詳細資訊,請參閱驗證機密總帳節點。
由於 Azure 控制用戶端與 ACL 之間的 TLS,Azure 管理員有可能會洩漏用戶端與 ACL 之間的通訊嗎?
TLS 連線會在用戶端與記憶體保護區內執行的特定節點之間建立。 當連線在記憶體保護區內終止時,Azure 管理員或其他人都無法透過 Intel SGX 特製化硬體所提供的安全性存取記憶體保護區資料。
ACL 是否提供回條/交易識別碼以外的屬性查詢?
除了使用回條/交易識別碼進行查詢之外,ACL 還提供了歷程記錄查詢功能,以使用集合識別碼 (也稱為子總帳識別碼) 從 Genesis (或範圍內) 讀取特定索引鍵的資料。 我們有興趣知道哪些其他屬性有助於查詢,因為我們正在針對產品藍圖收集輸入。
磁碟上的資料是否個別加密? 如果是的話,金鑰會儲存在哪裡?
在總帳上儲存資料時,您可以選擇公開或私人選項。 公開選項未加密;純文字非常適合需要防竄改且可稽核之總帳使用的特定使用案例。 但是,私人選項會加密。 資料會使用三個加密層級來加密 (例如「總帳秘密」、「總帳秘密包裝金鑰」和「修復金鑰共用」),此處將詳細說明。
使用者管理
我該如何管理總帳上的使用者?
Microsoft 是否可以協助管理我所建立之總帳上的使用者?
否。 建立總帳之後,Microsoft 就無權存取使用者管理。
我已建立沒有管理員的總帳。 我仍然可以新增使用者嗎?
如果您建立沒有管理員的總帳,AAD/cert 會取得管理員權限。 該身分識別可用來管理總帳。