Microsoft Azure confidential ledger
O Microsoft Azure confidential ledger (ACL) é um serviço novo e altamente seguro para gerir registos de dados confidenciais. Ele é executado exclusivamente em enclaves seguros apoiados por hardware, um ambiente de tempo de execução altamente monitorado e isolado, que mantém possíveis ataques à distância. Além disso, o Azure confidential ledger funciona numa Base de Computação Fidedigna (TCB) minimalista, que garante que ninguém, nem mesmo a Microsoft, está "acima" do livro razão.
Como o próprio nome sugere, o livro-razão confidencial do Azure utiliza a plataforma de Computação Confidencial do Azure e a Estrutura de Consórcio Confidencial para fornecer uma solução de alta integridade protegida contra adulterações e evidente. Um livro-razão abrange três ou mais instâncias idênticas, cada uma das quais é executada em um enclave dedicado e totalmente atestado com suporte de hardware. A integridade do livro razão é mantida através de uma blockchain baseada em consenso.
O Azure confidential ledger oferece vantagens únicas em termos de integridade dos dados, incluindo imutabilidade, proteção contra adulterações e operações só de acrescentar. Estas funcionalidades, que garantem que todos os registos são mantidos intactos, são ideais quando os registos de metadados críticos não podem ser modificados, como para efeitos de conformidade regulamentar e de arquivo.
Aqui estão alguns exemplos de coisas que você pode armazenar em seu livro-razão:
- Registos relacionados com as suas transações comerciais (por exemplo, transferências de dinheiro ou edições de documentos confidenciais).
- Atualizações para ativos confiáveis (por exemplo, aplicativos principais ou contratos).
- Alterações administrativas e de controle (por exemplo, concessão de permissões de acesso).
- Eventos operacionais de TI e segurança (por exemplo, alertas do Microsoft Defender for Cloud).
Para obter mais informações, você pode assistir à demonstração do livro-razão confidencial do Azure.
Principais Funcionalidades
O livro-razão confidencial é exposto por meio de APIs REST, que podem ser integradas em aplicativos novos ou existentes. Os administradores podem gerenciar o livro-razão confidencial com APIs administrativas (Plano de controle). O livro-razão confidencial também pode ser chamado diretamente pelo código do aplicativo por meio de APIs funcionais (Data Plane). As APIs administrativas suportam operações básicas, como criar, atualizar, obter e excluir. As APIs funcionais permitem a interação direta com seu livro-razão instanciado e incluem operações como colocar e obter dados.
Segurança do livro-razão
As APIs do razão suportam o processo de autenticação baseada em certificado com funções de proprietário, bem como autenticação baseada em ID do Microsoft Entra e também acesso baseado em função (por exemplo, proprietário, leitor e colaborador).
Os dados para o livro-razão são enviados através da conexão TLS 1.3 e a conexão TLS 1.3 termina dentro dos enclaves de segurança suportados por hardware (enclaves Intel® SGX), garantindo que ninguém possa intercetar a conexão entre o cliente de um cliente e os nós confidenciais do servidor de contabilidade.
Armazenamento contábil
Os livros contábeis confidenciais são criados como blocos em contêineres de armazenamento de blob pertencentes a uma conta de Armazenamento do Azure. Os dados de transação podem ser armazenados criptografados ou em texto sem formatação, dependendo das suas necessidades.
Os administradores podem gerenciar o livro-razão confidencial com APIs administrativas (plano de controle), e o livro-razão confidencial pode ser chamado diretamente pelo código do aplicativo por meio de APIs funcionais (plano de dados). As APIs administrativas suportam operações básicas, como criar, atualizar, obter e excluir.
As APIs funcionais permitem a interação direta com seu livro-razão confidencial instanciado e incluem operações como colocar e obter dados.
Restrições
- Depois que um livro razão confidencial é criado, você não pode alterar o tipo de razão (privado ou público).
- A exclusão do livro-razão confidencial do Azure leva a uma "exclusão difícil", portanto, seus dados não serão recuperáveis após a exclusão.
- Os nomes do livro-razão confidencial do Azure devem ser globalmente exclusivos. Não são permitidos livros com o mesmo nome, independentemente do seu tipo.
Terminologia
| Termo | Definição |
|---|---|
| ACL | Razão confidencial do Azure |
| Livro-razão | Um registro imutável somente apêndice de transações (também conhecido como Blockchain) |
| Consolidação | Uma confirmação de que uma transação foi anexada ao livro-razão. |
| Recibo | Prova de que o livro razão processou uma transação. |