Biztonságos kulcskiadás funkció az AKV és az Azure Confidential Computing (ACC) használatával
A Biztonságos kulcskiadás (SKR) az Azure Key Vault (AKV) felügyelt HSM- és prémium szintű ajánlatának funkciója. A biztonságos kulcskiadás lehetővé teszi egy HSM által védett kulcs AKV-ból való kiadását egy igazolt megbízható végrehajtási környezetbe (T Enterprise kiadás), például biztonságos enklávéba, virtuálisgép-alapú T Enterprise kiadás stb. Az SKR egy újabb hozzáférési védelmi réteget ad hozzá az adatvisszafejtési/titkosítási kulcsokhoz, ahol egy alkalmazás + T Enterprise kiadás az ismert konfigurációval rendelkező futtatókörnyezet hozzáférést kap a kulcsanyaghoz. Az exportálható kulcsok létrehozásakor meghatározott SKR-szabályzatok szabályozzák a kulcsokhoz való hozzáférést.
SKR-támogatás AKV-ajánlatokkal
Általános biztonságos kulcskiadási folyamat a T használatával Enterprise kiadás
Az SKR csak a Microsoft Azure-igazolás (MAA) által létrehozott jogcímek alapján tud kulcsokat kiadni. A MAA-jogcímek SKR-szabályzatdefiníciója szorosan integrálva van.
Az alábbi lépések az AKV Premiumhoz tartoznak.
1. lépés: Key Vault Premium HSM-háttérrendszer létrehozása
Kövesse az Itt található részleteket az Az CLI-alapú AKV-létrehozáshoz
Ügyeljen arra, hogy a [--sku] értékét "prémium" értékre állítsa.
2. lépés: Biztonságos kulcs kiadási szabályzatának létrehozása
A biztonságos kulcs kiadási szabályzata az itt meghatározott json formátumú kiadási szabályzat, amely a kulcs kiadásához szükséges jogosultságok készletét határozza meg. Az itt található jogcímek MAA-alapú jogcímek, az itt hivatkozott SGX-re és itt az AMD Standard kiadás V-SNP CVM-re hivatkozva.
További részletekért látogasson el a T Enterprise kiadás konkrét példák oldalára. Az SKR-szabályzatok nyelvhelyességével kapcsolatos további információkért tekintse meg az Azure Key Vault biztonságos kulcskiadási szabályzatának nyelvtanát.
Mielőtt beállít egy SKR-szabályzatot, mindenképpen futtassa a T Enterprise kiadás alkalmazást a távoli igazolási folyamaton keresztül. A távoli igazolásra az oktatóanyag nem vonatkozik.
Example
{
"version": "1.0.0",
"anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
3. lépés: Exportálható kulcs létrehozása az AKV-ban csatolt SKR-szabályzattal
A kulcs típusának és a társított egyéb attribútumoknak pontos részletei itt találhatók.
az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"
4. lépés: Egy T Enterprise kiadás belül futó alkalmazás távoli igazolást végez
Ez a lépés a T típusára vonatkozhat Enterprise kiadás az alkalmazás Intel SGX Enklávéit vagy AMD Standard kiadás V-SNP-alapú bizalmas virtuális gépeket (CVM) vagy CVM Enklávékban futó bizalmas tárolókat futtat amd Standard kiadás V-SNP-vel stb.
Kövesse az alábbi példákat az Azure-beli különböző T Enterprise kiadás típusú ajánlatokhoz:
- Az AMD EV-SNP-alapú CVM-ben található alkalmazás biztonságos kulcskiadást hajt végre
- Bizalmas tárolók az Azure Container Instances (ACI) és az SKR oldalkocsis tárolók használatával
- Biztonságos kulcs kiadását végző Intel SGX-alapú alkalmazások – Nyílt forráskódú megoldás mystikos implementációja
Gyakori kérdések (GYIK)
Végezhetek SKR-t nem bizalmas számítástechnikai ajánlatokkal?
Nem. Az SKR-hez csatolt szabályzat csak a hardveralapú T Enterprise kiadás-okhoz társított MAA-jogcímeket érti.
Hozhatok saját igazolási szolgáltatót vagy szolgáltatást, és felhasználhatom ezeket az AKV-jogcímeket az ellenőrzéshez és a kiadáshoz?
Nem. Az AKV ma csak a MAA-t érti és integrálja.
Használhatok AKV SDK-t a kulcs RELEA-jának végrehajtásához Standard kiadás?
Igen. A legújabb SDK integrálva a 7.3 AKV API támogatási kulcsával RELEA Standard kiadás.
Megoszthat néhány példát a fő kiadási szabályzatokra?
Igen, a T Enterprise kiadás típus szerinti részletes példák itt láthatók.
Csatolhatok SKR típusú szabályzatot tanúsítványokhoz és titkos kódokhoz?
Nem. Jelenleg nem.
References
Azure Container Instance with confidential containers Secure Key Release with container side-cars
CVM az AMD Standard kiadás V-SNP-alkalmazásokon biztonságos kulcskiadási példával
Az Azure Key Vault biztonságos kulcskiadási szabályzatának nyelvtana