Workflow

A Microsoft Azure-igazolás bizonyítékokat kap az enklávéktól, és kiértékeli a bizonyítékokat az Azure biztonsági alapkonfigurációja és a konfigurálható szabályzatok alapján. Sikeres ellenőrzés esetén az Azure Attestation létrehoz egy igazolási jogkivonatot az enklávé megbízhatóságának megerősítéséhez.

Az Azure-igazolási munkafolyamatban a következő szereplők vesznek részt:

• Függő entitás: Az az összetevő, amely az Azure-igazolásra támaszkodik az enklávé érvényességének ellenőrzéséhez.
• Ügyfél: Az az összetevő, amely adatokat gyűjt egy enklávéból, és kéréseket küld az Azure-igazolásnak.
• Azure-igazolás: Az az összetevő, amely enklávé bizonyítékot fogad el az ügyféltől, érvényesíti és visszaadja az igazolási jogkivonatot az ügyfélnek

Intel® Software Guard-bővítmények (SGX) enklávéérvényesítési munkafolyamat

Az alábbiakban egy tipikus SGX-enklávéigazolási munkafolyamat általános lépéseit követjük (az Azure Attestation használatával):

1. Az ügyfél bizonyítékot gyűjt egy enklávéból. A bizonyítékok az enklávé környezetéről és az enklávéban futó ügyfélkódtárról szólnak.
2. Az ügyfél rendelkezik egy URI-val, amely az Azure-igazolás egy példányára hivatkozik. Az ügyfél bizonyítékokat küld az Azure-igazolásnak. A szolgáltatónak küldött pontos információ az enklávé típusától függ
3. Az Azure Attestation ellenőrzi a beküldött információkat, és egy konfigurált szabályzattal értékeli ki azokat. Ha az ellenőrzés sikeres, az Azure Attestation kiad egy igazolási jogkivonatot, és visszaadja az ügyfélnek. Ha ez a lépés sikertelen, az Azure-igazolás hibát jelent az ügyfélnek
4. Az ügyfél elküldi az igazolási jogkivonatot a függő entitásnak. A függő entitás meghívja az Azure Attestation nyilvános kulcs metaadat-végpontját az aláíró tanúsítványok lekéréséhez. A függő entitás ezután ellenőrzi az igazolási jogkivonat aláírását, és biztosítja az enklávé megbízhatóságát

Megjegyzés:

Amikor igazolási kérelmeket küld a 2018-09-01-es verziójú API-verzióban , az ügyfélnek bizonyítékokat kell küldenie az Azure-igazolásnak a Microsoft Entra hozzáférési jogkivonattal együtt.

A megbízható platformmodul (TPM) enklávéérvényesítési munkafolyamata

Az alábbiakban egy tipikus TPM-enklávéigazolási munkafolyamat általános lépéseit követjük (az Azure Attestation használatával):

1. Az eszköz/platform rendszerindításkor a különböző rendszertöltők és rendszerindítási szolgáltatások mérik a TPM által támogatott eseményeket, és biztonságosan tárolják őket TCG-naplókként. Az ügyfél összegyűjti a TCG-naplókat az eszközről és a TPM-ajánlatból, ami bizonyítékként szolgál az igazolásra.
2. Az ügyfél hitelesíti a Microsoft Entra-azonosítót, és hozzáférési jogkivonatot szerez be.
3. Az ügyfél rendelkezik egy URI-val, amely az Azure-igazolás egy példányára hivatkozik. Az ügyfél elküldi a bizonyítékot és a Microsoft Entra hozzáférési jogkivonatot az Azure-igazolásnak. A szolgáltatónak küldött pontos információk a platformtól függenek.
4. Az Azure Attestation ellenőrzi a beküldött információkat, és egy konfigurált szabályzattal értékeli ki azokat. Ha az ellenőrzés sikeres, az Azure Attestation kiad egy igazolási jogkivonatot, és visszaadja az ügyfélnek. Ha ez a lépés sikertelen, az Azure-igazolás hibát jelent az ügyfélnek. Az ügyfél és az igazolási szolgáltatás közötti kommunikációt az Azure igazolási TPM protokollja határozza meg.
5. Az ügyfél ezután elküldi az igazolási jogkivonatot a függő entitásnak. A függő entitás meghívja az Azure Attestation nyilvános kulcs metaadat-végpontját az aláíró tanúsítványok lekéréséhez. A függő entitás ezután ellenőrzi az igazolási jogkivonat aláírását, és biztosítja a platform megbízhatóságát.

Következő lépések

• Igazolási szabályzat létrehozása és aláírása
• Azure-igazolás beállítása a PowerShell használatával