MunkafolyamatWorkflow

Microsoft Azure igazolás igazolja a enklávékat, és kiértékeli az Azure biztonsági alapkonfiguráció és a konfigurálható szabályzatok elleni bizonyítékokat.Microsoft Azure Attestation receives evidence from enclaves and evaluates the evidence against Azure security baseline and configurable policies. Sikeres ellenőrzés után az Azure-igazolás igazoló jogkivonatot hoz létre az enklávé megbízhatóságának megerősítéséhez.Upon successful verification, Azure Attestation generates an attestation token to confirm trustworthiness of the enclave.

Az Azure igazolási munkafolyamatában a következő szereplők vesznek részt:The following actors are involved in an Azure Attestation work flow:

  • Függő entitás: az az összetevő, amely az Azure-igazolásra támaszkodik az enklávé érvényességének ellenőrzéséhez.Relying party: The component which relies on Azure Attestation to verify enclave validity.
  • Ügyfél: az a komponens, amely adatokat gyűjt egy enklávéból, és kéréseket küld az Azure-igazolásnak.Client: The component which collects information from an enclave and sends requests to Azure Attestation.
  • Azure-tanúsítvány: az a komponens, amely az ügyféltől származó enklávé-bizonyítékokat fogad el, ellenőrzi, és visszaadja a tanúsító jogkivonatot az ügyfélnek.Azure Attestation: The component which accepts enclave evidence from client, validates it and returns attestation token to the client

Intel® Software Guard Extensions (SGX ENKLÁVÉHOZ) enklávé ellenőrzési munkafolyamataIntel® Software Guard Extensions (SGX) enclave validation work flow

Az alábbi általános lépések egy tipikus SGX ENKLÁVÉHOZ enklávé-igazolási munkafolyamatban (az Azure igazolás használatával):Here are the general steps in a typical SGX enclave attestation workflow (using Azure Attestation):

  1. Az ügyfél egy enklávéból származó bizonyítékot gyűjt.Client collects evidence from an enclave. A bizonyítékok az enklávé környezetére és az enklávéban futó ügyféloldali könyvtárra vonatkozó információk.Evidence is information about the enclave environment and the client library running inside the enclave.
  2. Az ügyfél rendelkezik egy URI-val, amely az Azure-igazolás egy példányára hivatkozik.The client has an URI which refers to an instance of Azure Attestation. Az ügyfél bizonyítékokat küld az Azure-igazolásra.The client sends evidence to Azure Attestation. A szolgáltatónak küldött pontos információk az enklávé típusától függenek.Exact information submitted to the provider depends on the enclave type.
  3. Az Azure-igazolás ellenőrzi a beküldött adatokat, és kiértékeli azt egy konfigurált házirend alapján.Azure Attestation validates the submitted information and evaluates it against a configured policy. Ha az ellenőrzés sikeres, az Azure igazolása hibát jelez, és visszaadja az ügyfélnek.If the verification succeeds, Azure Attestation issues an attestation token and returns it to the client. Ha ez a lépés meghiúsul, az Azure-igazolás hibát jelez az ügyfélnek.If this step fails, Azure Attestation reports an error to the client.
  4. Az ügyfél elküldi az igazolási jogkivonatot a függő entitásnak.The client sends the attestation token to relying party. A függő entitás meghívja az Azure-tanúsítvány nyilvános kulcsú metaadat-végpontját az aláíró tanúsítványok lekéréséhez.The relying party calls public key metadata endpoint of Azure Attestation to retrieve signing certificates. A függő entitás ezután ellenőrzi az igazolási jogkivonat aláírását, és biztosítja az enklávé megbízhatóságát.The relying party then verifies the signature of the attestation token and ensures the enclave trustworthiness.

SGX ENKLÁVÉHOZ enklávé ellenőrzési folyamata

Megjegyzés

Amikor igazolási kérelmeket küld az 2018-09-01 – előzetes verziójú API-verzióban, az ügyfélnek bizonyítania kell az Azure-igazolást az Azure ad hozzáférési jogkivonatával együtt.When you send attestation requests in the 2018-09-01-preview API version, the client needs to send evidence to Azure Attestation along with the Azure AD access token.

A platformmegbízhatósági modul (TPM) enklávé ellenőrzési munkafolyamataTrusted Platform Module (TPM) enclave validation work flow

Az alábbi általános lépések egy tipikus TPM enklávé-igazolási munkafolyamatban (az Azure igazolás használatával):Here are the general steps in a typical TPM enclave attestation workflow (using Azure Attestation):

  1. Az eszköz/platform rendszerindításkor a különböző rendszerindító és rendszerindítási szolgáltatások mérik a TPM által támogatott és biztonságosan tárolt eseményeket (TCG-napló).On device/platform boot, various boot loaders and boot services measure events which backed by the TPM and are securely stored (TCG log).
  2. Az ügyfél a TCG-naplókat az eszközről és a TPM-idézetből gyűjti, amely igazolja az igazolást.Client collects the TCG logs from the device and TPM quote, which acts the evidence for attestation.
  3. Az ügyfél rendelkezik egy URI-val, amely az Azure-igazolás egy példányára hivatkozik.The client has an URI which refers to an instance of Azure Attestation. Az ügyfél bizonyítékokat küld az Azure-igazolásra.The client sends evidence to Azure Attestation. A szolgáltatónak küldött pontos információk a platformtól függenek.Exact information submitted to the provider depends on the platform.
  4. Az Azure-igazolás ellenőrzi a beküldött adatokat, és kiértékeli azt egy konfigurált házirend alapján.Azure Attestation validates the submitted information and evaluates it against a configured policy. Ha az ellenőrzés sikeres, az Azure igazolása hibát jelez, és visszaadja az ügyfélnek.If the verification succeeds, Azure Attestation issues an attestation token and returns it to the client. Ha ez a lépés meghiúsul, az Azure-igazolás hibát jelez az ügyfélnek.If this step fails, Azure Attestation reports an error to the client. Az ügyfél és az igazolási szolgáltatás közötti kommunikációt az Azure igazolási TPM protokollja határozza meg.The communication between the client and attestation service is dictated by the Azure attestation TPM protocol.
  5. Az ügyfél ezután elküldi az igazolási jogkivonatot a függő entitásnak.The client then sends the attestation token to relying party. A függő entitás meghívja az Azure-tanúsítvány nyilvános kulcsú metaadat-végpontját az aláíró tanúsítványok lekéréséhez.The relying party calls public key metadata endpoint of Azure Attestation to retrieve signing certificates. A függő entitás ezután ellenőrzi az igazolási jogkivonat aláírását, és biztosítja a platformok megbízhatóságát.The relying party then verifies the signature of the attestation token and ensures the platforms trustworthiness.

TPM-ellenőrzési folyamat

Következő lépésekNext steps