Alapfogalmak
Az alábbiakban néhány, a Microsoft Azure-igazolással kapcsolatos alapfogalmat talál.
JSON webes jogkivonat (JWT)
A JSON Web Token (JWT) egy nyílt, szabványos RFC7519 metódus, ameddig biztonságosan továbbítják az információkat a felek között JavaScript Object Notation (JSON) objektumként. Ezek az információk ellenőrizhetők és megbízhatók, mert digitálisan aláírták. A JWT-k titkos vagy nyilvános/titkos kulcspár használatával írhatók alá.
JSON webkulcs (JWK)
A JSON webkulcs (JWK) egy olyan JSON-adatstruktúra, amely egy titkosítási kulcsot jelöl. Ez a specifikáció egy JWK-készlet JSON-adatstruktúráját is meghatározza, amely JWK-k halmazát jelöli.
Igazolási szolgáltató
Az igazolási szolgáltató a Microsoft.Attestation nevű Azure-erőforrás-szolgáltatóhoz tartozik. Az erőforrás-szolgáltató egy szolgáltatásvégpont, amely azure-igazolási REST-szerződést biztosít, és az Azure Resource Manager használatával van üzembe helyezve. Minden igazolásszolgáltató betart egy adott, felderíthető szabályzatot. Az igazolási szolgáltatók minden igazolási típushoz létrehoznak egy alapértelmezett szabályzatot (vegye figyelembe, hogy a VBS-enklávé nem rendelkezik alapértelmezett szabályzattal). Az SGX alapértelmezett szabályzatával kapcsolatos további részletekért tekintse meg az igazolási szabályzat példáit.
Igazolási kérelem
Az igazolási kérelem egy szerializált JSON-objektum, amelyet az ügyfélalkalmazás küldött az igazolási szolgáltatónak. Az SGX-enklávé kérelemobjektumának két tulajdonsága van:
- "Idézet" – Az "Quote" tulajdonság értéke egy sztring, amely az igazolási idézőjel Base64URL kódolt ábrázolását tartalmazza
- "EnclaveHeldData" – Az "EnclaveHeldData" tulajdonság értéke egy sztring, amely az Enclave Held Data Base64URL kódolású ábrázolását tartalmazza.
Az Azure-igazolás ellenőrzi a megadott "Árajánlat" értéket, majd biztosítja, hogy a megadott Enklávé tárolt adatok SHA256 kivonata az idézőjel reportData mezőjének első 32 bájtjában legyen kifejezve.
Igazolási szabályzat
Az igazolási szabályzat az igazolási bizonyítékok feldolgozására szolgál, és az ügyfelek konfigurálhatók. Az Azure-igazolás középpontjában egy szabályzatmotor áll, amely feldolgozza a bizonyítékokat alkotó jogcímeket. A szabályzatok annak meghatározására szolgálnak, hogy az Azure-igazolásnak ki kell-e adnia egy igazolási jogkivonatot a bizonyítékok alapján (vagy sem), és ezáltal támogatja-e az igazolót (vagy sem). Ennek megfelelően az összes szabályzat átadásának elmulasztása esetén a rendszer nem bocsát ki JWT-jogkivonatot.
Ha az igazolási szolgáltató alapértelmezett szabályzata nem felel meg az igényeknek, az ügyfelek az Azure-igazolás által támogatott bármely régióban létrehozhatnak egyéni szabályzatokat. A szabályzatkezelés az Azure Attestation által biztosított kulcsfontosságú szolgáltatás az ügyfelek számára. A szabályzatok az igazolási típusra vonatkoznak, és felhasználhatók enklávék azonosítására, jogcímek hozzáadására a kimeneti jogkivonathoz, illetve jogcímek módosítására egy kimeneti jogkivonatban.
Példák az igazolási szabályzatra
A szabályzat-aláírás előnyei
Az igazolási szabályzat végső soron azt határozza meg, hogy az Igazolási jogkivonatot az Azure Attestation bocsátja-e ki. A szabályzat meghatározza az igazolási jogkivonatban létrehozandó jogcímeket is. Ezért rendkívül fontos, hogy a szolgáltatás által kiértékelt szabályzat valójában a rendszergazda által írt szabályzat, amelyet külső entitások nem módosítottak vagy módosítottak.
A megbízhatósági modell az igazolási szolgáltató engedélyezési modelljét határozza meg a szabályzat meghatározásához és frissítéséhez. Két modell támogatott: az egyik a Microsoft Entra engedélyezésén alapul, a másik pedig az ügyfél által felügyelt titkosítási kulcsok (más néven izolált modell) birtokán alapul. Az izolált modell lehetővé teszi az Azure-igazolást, hogy az ügyfél által elküldött szabályzat ne legyen illetéktelen.
Izolált modellben a rendszergazda létrehoz egy igazolási szolgáltatót, amely egy fájlban megadja a megbízható aláíró X.509-tanúsítványokat. A rendszergazda ezután hozzáadhat egy aláírt szabályzatot az igazolási szolgáltatóhoz. Az igazolási kérelem feldolgozása során az Azure Attestation a fejléc "jwk" vagy "x5c" paramétere által képviselt nyilvános kulccsal ellenőrzi a szabályzat aláírását. Az Azure-igazolás azt is ellenőrzi, hogy a kérelem fejlécében található nyilvános kulcs szerepel-e az igazolási szolgáltatóhoz társított megbízható aláíró tanúsítványok listájában. Így a függő entitás (Azure Attestation) megbízhat az általa ismert X.509-tanúsítványokkal aláírt szabályzatokban.
Példák a szabályzat-aláíró tanúsítványra a mintákhoz.
Igazolási jogkivonat
Az Azure-igazolási válasz egy JSON-sztring lesz, amelynek értéke JWT-t tartalmaz. Az Azure-igazolás becsomagozza a jogcímeket, és létrehoz egy aláírt JWT-t. Az aláírási műveletet egy önaláírt tanúsítvány használatával hajtjuk végre, amelynek tulajdonosneve megegyezik az igazolási szolgáltató AttestUri elemével.
A Get OpenID Metadata API az OpenID Csatlakozás Discovery protokoll által megadott OpenID-konfigurációs választ ad vissza. Az API lekéri az Azure Attestation által használt aláíró tanúsítványok metaadatait.
Példák az igazolási jogkivonatra.
A tárolt adatok titkosítása
Az ügyféladatok védelme érdekében az Azure Attestation megőrzi az adatait az Azure Storage-ban. Az Azure Storage az adatközpontokba írott inaktív adatok titkosítását biztosítja, és visszafejti azokat az ügyfelek számára, hogy hozzáférjenek azokhoz. Ez a titkosítás microsoftos felügyelt titkosítási kulccsal történik.
Az Azure Storage-beli adatok védelme mellett az Azure Attestation az Azure Disk Encryption (ADE) használatával is titkosítja a szolgáltatás virtuális gépeit. Az Azure-beli bizalmas számítástechnikai környezetekben enklávéban futó Azure-igazolások esetében az ADE-bővítmény jelenleg nem támogatott. Ilyen esetekben az adatok memóriában való tárolásának megakadályozása érdekében a lapfájl le van tiltva.
Az Azure Attestation-példány helyi merevlemez-meghajtói nem őriznek meg ügyféladatokat.