Questo articolo risponde alle domande frequenti sul libro mastro riservato di Azure.
Generale
Come è possibile stabilire se il servizio contabilità riservata di Azure sarebbe utile per l'organizzazione?
Il libro mastro riservato di Azure è ideale per le organizzazioni con record sufficientemente importanti per un utente malintenzionato motivato a tentare di compromettere il sistema di registrazione o archiviazione sottostante, inclusi gli scenari "insider", in cui un dipendente non autorizzato potrebbe tentare di forgiare, modificare o rimuovere record precedenti.
Cosa rende il libro mastro riservato di Azure molto più sicuro?
Come suggerisce il nome, il libro mastro usa la piattaforma confidential computing di Azure e Confidential Consortium Framework per fornire una soluzione di integrità elevata protetta e evidente. Un libro mastro si estende su tre o più istanze identiche, ognuna delle quali viene eseguita in un enclave dedicato completamente supportato dall'hardware. L'integrità del libro mastro viene mantenuta tramite una blockchain basata sul consenso.
Quando si scrive nel libro mastro riservato di Azure, è necessario archiviare le ricevute di scrittura?
Non necessariamente. Alcune soluzioni richiedono oggi agli utenti di mantenere le ricevute di scrittura per la convalida futura dei log. Ciò richiede agli utenti di gestire tali ricevute in una struttura di archiviazione sicura, che aggiunge un carico aggiuntivo. Il libro mastro elimina questa sfida tramite un approccio basato sull'albero merkle, in cui le ricevute di scrittura includono un percorso ad albero completo a una radice di trust firmata. Gli utenti possono verificare le transazioni senza archiviare o gestire i dati del libro mastro.
Ricerca per categorie verificare l'autenticità del libro mastro?
È possibile verificare che i nodi del server libro mastro con cui il client sta comunicando siano autenticati. Per informazioni dettagliate, vedere Autenticazione dei nodi libro mastro riservati.
La comunicazione tra un client e un elenco di controllo di accesso può essere compromessa da un Amministrazione di Azure, perché Azure controlla tls tra client e ACL?
La connessione TLS viene stabilita tra un client e un nodo specifico in esecuzione all'interno di un enclave. Quando la connessione termina all'interno dell'enclave, né gli amministratori di Azure né altri utenti hanno accesso ai dati dell'enclave grazie alla sicurezza fornita dall'hardware specializzato Intel SGX.
ACL offre query sugli attributi diversi dall'ID ricevuta/transazione?
Oltre a eseguire query con l'ID ricevuta/transazione, L'ACL offre funzionalità di query cronologiche per leggere i dati da Genesis(o all'interno di un intervallo) per una chiave specifica usando l'ID raccolta (detto anche ID mastro secondario). Saremmo interessati a sapere quali altri attributi sarebbero utili per l'esecuzione di query, in quanto stiamo raccogliendo input per la roadmap del prodotto.
I dati sul disco vengono crittografati separatamente? In tal caso, dove vengono archiviate le chiavi?
Quando si archiviano dati nel libro mastro, è possibile scegliere l'opzione pubblica o privata. L'opzione pubblica non è crittografata; testo normale e una buona soluzione per determinati casi d'uso che richiedono l'uso di libro mastro con effetto manomissione e controllabile. L'opzione privata, tuttavia, è crittografata. I dati vengono crittografati usando tre livelli di crittografia (ad esempio segreti libro mastro, chiave di wrapping dei segreti libro mastro e condivisioni chiave di ripristino), spiegati in dettaglio qui.
Gestione utente
Come è possibile gestire gli utenti in un libro mastro?
È possibile gestire gli utenti in un libro mastro tramite il portale o uno degli SDK disponibili: python, .NET o Java.
Microsoft può aiutarmi a gestire gli utenti in un libro mastro creato?
Nr. Una volta creato un libro mastro, Microsoft non ha accesso alla gestione degli utenti.
Ho creato un libro mastro senza un amministratore. È comunque possibile aggiungere utenti?
Se si crea un libro mastro senza un amministratore, AAD/cert ottiene i diritti di amministratore. Tale identità può essere usata per gestire il libro mastro.