Biztonságos kulcskiadás funkció az AKV és az Azure Confidential Computing (ACC) használatával

A Biztonságos kulcskiadás (SKR) az Azure Key Vault (AKV) felügyelt HSM- és prémium szintű ajánlatának funkciója. A biztonságos kulcskiadás lehetővé teszi egy HSM által védett kulcs AKV-ból való kiadását egy igazolt megbízható végrehajtási környezetbe (T Enterprise kiadás), például biztonságos enklávéba, virtuálisgép-alapú T Enterprise kiadás stb. Az SKR egy újabb hozzáférési védelmi réteget ad hozzá az adatvisszafejtési/titkosítási kulcsokhoz, ahol egy alkalmazás + T Enterprise kiadás az ismert konfigurációval rendelkező futtatókörnyezet hozzáférést kap a kulcsanyaghoz. Az exportálható kulcsok létrehozásakor meghatározott SKR-szabályzatok szabályozzák a kulcsokhoz való hozzáférést.

SKR-támogatás AKV-ajánlatokkal

• Prémium szintű Azure Key Vault
• Azure Key Vault által felügyelt HSM

Általános biztonságos kulcskiadási folyamat a T használatával Enterprise kiadás

Az SKR csak a Microsoft Azure-igazolás (MAA) által létrehozott jogcímek alapján tud kulcsokat kiadni. A MAA-jogcímek SKR-szabályzatdefiníciója szorosan integrálva van.

Az alábbi lépések az AKV Premiumhoz tartoznak.

1. lépés: Key Vault Premium HSM-háttérrendszer létrehozása

Kövesse az Itt található részleteket az Az CLI-alapú AKV-létrehozáshoz

Ügyeljen arra, hogy a [--sku] értékét "prémium" értékre állítsa.

2. lépés: Biztonságos kulcs kiadási szabályzatának létrehozása

A biztonságos kulcs kiadási szabályzata az itt meghatározott json formátumú kiadási szabályzat, amely a kulcs kiadásához szükséges jogosultságok készletét határozza meg. Az itt található jogcímek MAA-alapú jogcímek, az itt hivatkozott SGX-re és itt az AMD Standard kiadás V-SNP CVM-re hivatkozva.

További részletekért látogasson el a T Enterprise kiadás konkrét példák oldalára. Az SKR-szabályzatok nyelvhelyességével kapcsolatos további információkért tekintse meg az Azure Key Vault biztonságos kulcskiadási szabályzatának nyelvtanát.

Mielőtt beállít egy SKR-szabályzatot, mindenképpen futtassa a T Enterprise kiadás alkalmazást a távoli igazolási folyamaton keresztül. A távoli igazolásra az oktatóanyag nem vonatkozik.

Example

{
    "version": "1.0.0",
    "anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
                {
                    "claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-isolation-tee.x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

3. lépés: Exportálható kulcs létrehozása az AKV-ban csatolt SKR-szabályzattal

A kulcs típusának és a társított egyéb attribútumoknak pontos részletei itt találhatók.

az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"

4. lépés: Egy T Enterprise kiadás belül futó alkalmazás távoli igazolást végez

Ez a lépés a T típusára vonatkozhat Enterprise kiadás az alkalmazás Intel SGX Enklávéit vagy AMD Standard kiadás V-SNP-alapú bizalmas virtuális gépeket (CVM) vagy CVM Enklávékban futó bizalmas tárolókat futtat amd Standard kiadás V-SNP-vel stb.

Kövesse az alábbi példákat az Azure-beli különböző T Enterprise kiadás típusú ajánlatokhoz:

• Az AMD EV-SNP-alapú CVM-ben található alkalmazás biztonságos kulcskiadást hajt végre
• Bizalmas tárolók az Azure Container Instances (ACI) és az SKR oldalkocsis tárolók használatával
• Biztonságos kulcs kiadását végző Intel SGX-alapú alkalmazások – Nyílt forráskódú megoldás mystikos implementációja

Gyakori kérdések (GYIK)

Végezhetek SKR-t nem bizalmas számítástechnikai ajánlatokkal?

Nem. Az SKR-hez csatolt szabályzat csak a hardveralapú T Enterprise kiadás-okhoz társított MAA-jogcímeket érti.

Hozhatok saját igazolási szolgáltatót vagy szolgáltatást, és felhasználhatom ezeket az AKV-jogcímeket az ellenőrzéshez és a kiadáshoz?

Nem. Az AKV ma csak a MAA-t érti és integrálja.

Használhatok AKV SDK-t a kulcs RELEA-jának végrehajtásához Standard kiadás?

Igen. A legújabb SDK integrálva a 7.3 AKV API támogatási kulcsával RELEA Standard kiadás.

Megoszthat néhány példát a fő kiadási szabályzatokra?

Igen, a T Enterprise kiadás típus szerinti részletes példák itt láthatók.

Csatolhatok SKR típusú szabályzatot tanúsítványokhoz és titkos kódokhoz?

Nem. Jelenleg nem.

References

SKR-házirend példák

Azure Container Instance with confidential containers Secure Key Release with container side-cars

CVM az AMD Standard kiadás V-SNP-alkalmazásokon biztonságos kulcskiadási példával

AKV REST API SKR-részletekkel

Az Azure Key Vault biztonságos kulcskiadási szabályzatának nyelvtana

AKV SDK-k