Microsoft Azure libro mastro riservato (anteprima)

Microsoft Azure confidential ledger (ACL) è un servizio nuovo e altamente sicuro per la gestione dei record di dati sensibili. In base a un modello di blockchain autorizzato, il libro mastro riservato di Azure offre vantaggi univoci per l'integrità dei dati. Questi includono l'immutabilità, rendendo il libro mastro di sola aggiunta e la correzione della manomissione, per garantire che tutti i record siano mantenuti intatti.

Il libro mastro riservato viene eseguito esclusivamente su enclave sicuri con supporto hardware, un ambiente di runtime molto monitorato e isolato che tiene a bada i potenziali attacchi. Inoltre, nessuno è "sopra" il libro mastro, nemmeno Microsoft. Progettando se stessi all'esterno della soluzione, il libro mastro riservato di Azure viene eseguito in un TCB (MinimalIc Trusted Computing Base) che impedisce l'accesso agli sviluppatori del servizio Ledger, ai tecnici dei data center e agli amministratori cloud.

Il libro mastro riservato di Azure si rivolge ai casi in cui i record di metadati critici non devono essere modificati, anche a fini di conformità alle normative e di archiviazione. Ecco alcuni esempi di elementi che è possibile archiviare nel libro mastro:

  • Record relativi alle transazioni aziendali, ad esempio trasferimenti di denaro o modifiche di documenti riservati.
  • Aggiornamenti agli asset attendibili (ad esempio, applicazioni di base o contratti).
  • Modifiche amministrative e di controllo ,ad esempio la concessione delle autorizzazioni di accesso.
  • Eventi operativi it-and-security (ad esempio, avvisi di Microsoft Defender per cloud).

Per altre informazioni, vedere la demo di Microsoft Ignite 2020 Azure confidential ledger.

Funzionalità principali

Il libro mastro riservato viene esposto tramite LE API REST che possono essere integrate in applicazioni nuove o esistenti. Il libro mastro riservato può essere gestito dagli amministratori che utilizzano API amministrative (piano di controllo). Può anche essere chiamato direttamente dal codice dell'applicazione tramite API funzionali (piano dati). Le API amministrative supportano operazioni di base, ad esempio create, update, get e delete. Le API funzionali consentono l'interazione diretta con ledger di cui è stata creata un'istanza e includono operazioni come put e get data.

Sicurezza del libro mastro

Questa sezione definisce le protezioni di sicurezza per Ledger. Le API Ledger usano l'autenticazione basata su certificati client. Attualmente, Ledger supporta il processo di autenticazione basato su certificati con ruoli di proprietario. Verrà aggiunto il supporto per l'autenticazione Azure Active Directory (AAD) e anche l'accesso in base al ruolo ,ad esempio proprietario, lettore e collaboratore.

I dati a Ledger vengono inviati tramite la connessione TLS 1.2 e la connessione TLS 1.2 termina all'interno degli enclave di sicurezza supportati dall'hardware (enclave Intel® SGX). Ciò garantisce che nessuno possa intercettare la connessione tra il client di un cliente e i nodi del server del libro mastro riservato.

Archiviazione del libro mastro

I ledger riservati vengono creati come blocchi in contenitori di archiviazione BLOB appartenenti a Archiviazione di Azure account. I dati delle transazioni possono essere archiviati come crittografati o in testo non crittografato a seconda delle esigenze. Quando si crea un libro mastro, si associa un account Archiviazione usando la procedura descritta in Registrare un'entità servizio del libro mastro riservato.

Il libro mastro riservato può essere gestito dagli amministratori che utilizzano API amministrative (piano di controllo) e può essere chiamato direttamente dal codice dell'applicazione tramite API funzionali (piano dati). Le API amministrative supportano operazioni di base, ad esempio create, update, get e delete.

Le API funzionali consentono l'interazione diretta con il libro mastro riservato di cui è stata creata un'istanza e includono operazioni come put e get data.

Limiti dell'anteprima

  • Dopo aver creato un libro mastro riservato, non è possibile modificare il tipo di libro mastro.
  • Confidential Ledger non supporta il ripristino di emergenza standard di Azure in questo momento. Tuttavia, il libro mastro riservato di Azure offre ridondanza predefinita all'interno dell'area di Azure, poiché il libro mastro riservato viene eseguito su più nodi indipendenti.
  • L'eliminazione del libro mastro riservato di Azure comporta un'eliminazione definitiva, quindi i dati non saranno recuperabili dopo l'eliminazione.
  • I nomi dei libro mastro riservati di Azure devono essere univoci a livello globale. I ledger con lo stesso nome, indipendentemente dal tipo, non sono consentiti.

Terminologia

Termine Definizione
ACL Libro mastro riservato di Azure
Libro mastro Record di accodamento non modificabile delle transazioni (noto anche come blockchain)
Commit Conferma del commit locale di una transazione in un nodo. Un commit locale da solo non garantisce che una transazione sia parte del libro mastro.
Commit globale Conferma che è stato eseguito il commit globale della transazione e fa parte del libro mastro.
Ricevuta Prova che la transazione è stata elaborata dal libro mastro.

Passaggi successivi