Workflow
A Microsoft Azure-igazolás bizonyítékokat kap az enklávéktól, és kiértékeli a bizonyítékokat az Azure biztonsági alapkonfigurációja és a konfigurálható szabályzatok alapján. Sikeres ellenőrzés esetén az Azure Attestation létrehoz egy igazolási jogkivonatot az enklávé megbízhatóságának megerősítéséhez.
Az Azure-igazolási munkafolyamatban a következő szereplők vesznek részt:
- Függő entitás: Az az összetevő, amely az Azure-igazolásra támaszkodik az enklávé érvényességének ellenőrzéséhez.
- Ügyfél: Az az összetevő, amely adatokat gyűjt egy enklávéból, és kéréseket küld az Azure-igazolásnak.
- Azure-igazolás: Az az összetevő, amely enklávé bizonyítékot fogad el az ügyféltől, érvényesíti és visszaadja az igazolási jogkivonatot az ügyfélnek
Intel® Software Guard-bővítmények (SGX) enklávéérvényesítési munkafolyamat
Az alábbiakban egy tipikus SGX-enklávéigazolási munkafolyamat általános lépéseit követjük (az Azure Attestation használatával):
- Az ügyfél bizonyítékot gyűjt egy enklávéból. A bizonyítékok az enklávé környezetéről és az enklávéban futó ügyfélkódtárról szólnak.
- Az ügyfél rendelkezik egy URI-val, amely az Azure-igazolás egy példányára hivatkozik. Az ügyfél bizonyítékokat küld az Azure-igazolásnak. A szolgáltatónak küldött pontos információ az enklávé típusától függ
- Az Azure Attestation ellenőrzi a beküldött információkat, és egy konfigurált szabályzattal értékeli ki azokat. Ha az ellenőrzés sikeres, az Azure Attestation kiad egy igazolási jogkivonatot, és visszaadja az ügyfélnek. Ha ez a lépés sikertelen, az Azure-igazolás hibát jelent az ügyfélnek
- Az ügyfél elküldi az igazolási jogkivonatot a függő entitásnak. A függő entitás meghívja az Azure Attestation nyilvános kulcs metaadat-végpontját az aláíró tanúsítványok lekéréséhez. A függő entitás ezután ellenőrzi az igazolási jogkivonat aláírását, és biztosítja az enklávé megbízhatóságát
Megjegyzés:
Amikor igazolási kérelmeket küld a 2018-09-01-es verziójú API-verzióban , az ügyfélnek bizonyítékokat kell küldenie az Azure-igazolásnak a Microsoft Entra hozzáférési jogkivonattal együtt.
A megbízható platformmodul (TPM) enklávéérvényesítési munkafolyamata
Az alábbiakban egy tipikus TPM-enklávéigazolási munkafolyamat általános lépéseit követjük (az Azure Attestation használatával):
- Az eszköz/platform rendszerindításkor a különböző rendszertöltők és rendszerindítási szolgáltatások mérik a TPM által támogatott eseményeket, és biztonságosan tárolják őket TCG-naplókként. Az ügyfél összegyűjti a TCG-naplókat az eszközről és a TPM-ajánlatból, ami bizonyítékként szolgál az igazolásra.
- Az ügyfél hitelesíti a Microsoft Entra-azonosítót, és hozzáférési jogkivonatot szerez be.
- Az ügyfél rendelkezik egy URI-val, amely az Azure-igazolás egy példányára hivatkozik. Az ügyfél elküldi a bizonyítékot és a Microsoft Entra hozzáférési jogkivonatot az Azure-igazolásnak. A szolgáltatónak küldött pontos információk a platformtól függenek.
- Az Azure Attestation ellenőrzi a beküldött információkat, és egy konfigurált szabályzattal értékeli ki azokat. Ha az ellenőrzés sikeres, az Azure Attestation kiad egy igazolási jogkivonatot, és visszaadja az ügyfélnek. Ha ez a lépés sikertelen, az Azure-igazolás hibát jelent az ügyfélnek. Az ügyfél és az igazolási szolgáltatás közötti kommunikációt az Azure igazolási TPM protokollja határozza meg.
- Az ügyfél ezután elküldi az igazolási jogkivonatot a függő entitásnak. A függő entitás meghívja az Azure Attestation nyilvános kulcs metaadat-végpontját az aláíró tanúsítványok lekéréséhez. A függő entitás ezután ellenőrzi az igazolási jogkivonat aláírását, és biztosítja a platform megbízhatóságát.