Ez a cikk az Azure bizalmas naplóval kapcsolatos gyakori kérdésekre ad választ.
General
Hogyan állapíthatom meg, hogy az Azure bizalmas könyvelési szolgáltatás hasznos lenne-e a szervezetem számára?
Az Azure bizalmas napló olyan szervezetek számára ideális, amelyek olyan rekordokat tartalmaznak, amelyek elég értékesek ahhoz, hogy a motivált támadók megpróbálják feltörni az alapul szolgáló naplózási vagy tárolási rendszert, beleértve az "insider" forgatókönyveket is, amelyekben egy gazember alkalmazott megpróbálhat korábbi rekordokat kovácsolni, módosítani vagy eltávolítani.
Mi teszi sokkal biztonságosabbá az Azure bizalmas könyvelését?
Ahogy a neve is sugallja, a főkönyv az Azure Confidential Computing platformot és a Bizalmas konzorciumi keretrendszert használja egy illetéktelen hozzáféréssel védett és nyilvánvaló, magas integritású megoldás biztosítására. Egy főkönyv három vagy több azonos példányra terjed ki, amelyek mindegyike dedikált, teljes mértékben igazolt hardveres enklávéban fut. A főkönyv integritása konszenzusalapú blokkláncon keresztül tartható fenn.
Az Azure bizalmas főkönyvbe való íráskor el kell tárolnom az írási visszaigazolásokat?
Nem feltétlenül. Egyes megoldások megkövetelik, hogy a felhasználók írási visszaigazolásokat tartsanak fenn a jövőbeli naplóérvényesítéshez. Ez megköveteli, hogy a felhasználók biztonságos tárolóhelyen kezeljék ezeket a nyugtákat, ami további terhet jelent. A főkönyv egy Merkle-alapú megközelítéssel szünteti meg ezt a kihívást, ahol az írási visszaigazolások tartalmazzák a teljes fa elérési útját egy aláírt megbízhatósági gyökérhez. A felhasználók anélkül ellenőrizhetik a tranzakciókat, hogy nem tárolnak vagy kezelnek semmilyen tranzakciónapló-adatot.
Hogyan ellenőrizni a főkönyv hitelességét?
Ellenőrizheti, hogy az ügyfél által kommunikált főkönyv-kiszolgáló csomópontok hitelesek-e. További részletekért lásd : A bizalmas főkönyv csomópontok hitelesítése.
Veszélyeztetheti az ügyfél és az ACL közötti kommunikációt egy Azure-Rendszergazda, mivel az Azure szabályozza az ügyfél és az ACL közötti TLS-t?
A TLS-kapcsolat egy ügyfél és egy enklávén belül futó adott csomópont között jön létre. Ahogy a kapcsolat megszakad az enklávéban, sem az Azure-rendszergazdák, sem bárki más nem férhet hozzá az enklávéadatokhoz az Intel SGX specializált hardver által biztosított biztonság miatt.
Az ACL a nyugta-/tranzakcióazonosítótól eltérő attribútumokon kínál lekérdezést?
A nyugtával/tranzakcióazonosítóval való lekérdezés mellett az ACL előzmény típusú lekérdezési képességet is kínál egy adott kulcs adatainak beolvasására a Genesisből (vagy egy tartományon belül) a gyűjteményazonosító (más néven alkönyvazonosító) paraméterrel. Szeretnénk tudni, hogy milyen egyéb attribútumok hasznosak lehetnek a lekérdezéshez, mivel a termékfejlesztési ütemtervhez gyűjtünk bemenetet.
Külön titkosítva van a lemezen lévő adatok? Ha igen, hol vannak tárolva a kulcsok?
Amikor adatokat tárol a főkönyvben, kiválaszthatja a nyilvános vagy a privát lehetőséget. A nyilvános beállítás nincs titkosítva; egyszerű szöveg, és jó illeszkedés bizonyos használati esetekhez, amelyek illetéktelen beavatkozást igénylő és naplózható főkönyv-használatot igényelnek. A privát lehetőség azonban titkosítva van. Az adatok titkosítása három titkosítási szinttel történik (például a Ledger Secrets, a Ledger Secret Wrapping Key és a Recovery Key Shares használatával), amelyet itt részletesen ismertetünk.
Felhasználók kezelése
Hogyan kezelhetem a felhasználókat egy főkönyvben?
A felhasználókat a portálon vagy az elérhető SDK-k egyikén keresztül kezelheti: python, .NET vagy Java.
Segíthet a Microsoft a létrehozott főkönyv felhasználóinak kezelésében?
Nem. A főkönyv létrehozása után a Microsoftnak nincs hozzáférése a felhasználókezeléshez.
Létrehoztam egy főkönyvet rendszergazda nélkül. Továbbra is felvehetek felhasználókat?
Ha rendszergazda nélkül hoz létre egy főkönyvet, az AAD/cert rendszergazdai jogosultságokat kap. Ez az identitás használható a főkönyv kezelésére.