Azure Doğrulama kullanarak Always Encrypted için Azure Doğrulama

ŞUNUN İÇİN GEÇERLİDİR: Azure SQL Database

Microsoft Azure, Intel Software Guard Extensions (Intel SGX) enclaves dahil Olmak üzere Güvenilen Yürütme Ortamlarını (TEE) test Software Guard Extensions bir çözümdür.

Bir Azure Doğrulama güvenli Always Encrypted için kullanılan Intel SGX Azure SQL Veritabanı için aşağıdakiler gerekir:

  1. Bir belge sağlayıcısı oluşturun ve önerilen sertifika ilkesiyle yapılandırın.

  2. Başvuru URL'sini belirleyin ve uygulama yöneticileriyle paylaşın.

Not

Sertifikayı yapılandırmak, sertifika yöneticisinin sorumluluğundadır. Bkz. SGX enclaves ve attestation yapılandırmasında roller ve sorumluluklar.

Bir belge sağlayıcısı oluşturma ve yapılandırma

Bir kimlik doğrula sağlayıcısı, Azure Doğrulama ilkelerine karşı gelen ve kimlik doğruları veren bir kaynaktır.

Onay ilkeleri talep kuralı dil bilgisi kullanılarak belirtilir.

Önemli

Bir doğrulama sağlayıcısı, Intel SGX enclaves için varsayılan ilkeyle oluşturulur ve bu ilke, enclave içinde çalışan kodu doğrulamaz. Microsoft, güvenli yerleşimler için aşağıdaki önerilen ilkeyi ayarlamanızı ve varsayılan ilkeyi Always Encrypted öneririz.

Microsoft, aşağıdaki ilkeyi kullanarak Always Encrypted için kullanılan Intel SGX Azure SQL Veritabanı:

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 0 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

Yukarıdaki ilke şunları doğrular:

  • Uygulamanın içindeki Azure SQL Veritabanı hata ayıklamayı desteklemez.

    Enclaves, hata ayıklama devre dışı veya etkin olarak yüklenebilir. Hata ayıklama desteği, geliştiricilerin bir yerleşimde çalışan kodda sorun gidermesine olanak sağlayacak şekilde tasarlanmıştır. Üretim sisteminde hata ayıklama, bir yöneticinin, enclave'ın sağladığı koruma düzeyini azaltan içeriği incelemeye olanak sağlar. Önerilen ilke, kötü amaçlı bir yöneticinin, kapatma makinesini ele alarak hata ayıklama desteğini etkinleştirmeye çalıştığından emin olmak için hata ayıklamayı devre dışı bıraksa da, doğrulayıcının başarısız olmasını sağlar.

  • Yerleşimin ürün kimliği, güvenli Always Encrypted için atanan ürün kimliğiyle eştir.

    Her bir enclave, diğer enclaves'lerden ayıran benzersiz bir ürün kimliğine sahip olur. Always Encrypted yerleşimi için atanan ürün kimliği 4639'dür.

  • Kitaplığın güvenlik sürüm numarası (SVN) 0'dan büyüktür.

    SVN, Microsoft'un enclave kodunda tanımlanan olası güvenlik hatalarına yanıt vermelerini sağlar. Bir güvenlik sorunu giderildi ve çözülürse, Microsoft yeni (artırıldı) bir SVN ile yeni bir enclave sürümünü dağıtır. Yukarıdaki önerilen ilke yeni SVN'leri yansıtacak şekilde güncelleştirilir. İlkenizi önerilen ilkeyle eş olacak şekilde güncelleştirerek, kötü amaçlı bir yöneticinin daha eski ve güvenli olmayan bir yerleşimi yüklemeye çalışırsa, doğrulanın başarısız olduğundan emin olursunuz.

  • Enclave kitaplığı Microsoft imzalama anahtarı kullanılarak imzalanmıştır (x-ms-sgx-mrsigner talebi, imzalama anahtarının karmasıdır).

    Taama'nın temel hedeflerinden biri, istemcileri, enclave'de çalışan ikilinin çalışması gereken ikili dosya olduğuna ikna etmektir. Onay ilkeleri bu amaca yönelik iki mekanizma sağlar. Bunlardan biri, bir enclave içinde çalışması gereken ikilinin karması olan mrenclave talebidir. Mrenclave ile ilgili sorun, kodda önemsiz değişikliklerle bile ikili karmanın değişir ve bu da enclave'de çalışan kodun düzeltilemesini zor kılar. Bu nedenle, enclave ikili imzasını imzalamak için kullanılan bir anahtarın karması olan mrsigner'ın kullanımını öneririz. Microsoft, yerleşimi yeniden benimserken, imzalama anahtarı değişmeden mrsigner aynı kalır. Bu şekilde, müşterilerin uygulamalarını bozmadan güncelleştirilmiş ikili dosyalar dağıtmak mümkün hale gelir.

Önemli

Microsoft'un nadir bir olay olması beklenen Always Encrypted ikiliyi imzalamak için kullanılan anahtarı döndürmesi gerekir. Yeni bir anahtarla imzalanan ve Azure SQL Veritabanı'a dağıtılan yeni bir enclave ikili sürümü öncesinde, bu makale yeni bir önerilen onay ilkesi ve uygulamalarınızı kesintisiz olarak çalışmaya devam etmek için onay sağlayıcılarınıza ilkeyi nasıl güncelleştirmeniz gerektiğine ilişkin yönergeler sağlayacak şekilde güncelleştirilecektir.

Şunları kullanarak bir belge sağlayıcısı oluşturma ve bir sertifika ilkesiyle yapılandırma yönergeleri için:

Doğrula ilkeniz içinstation URL'sini belirleme

Bir kimlik doğrula ilkesi yapılandırdıktan sonra, Always Encrypted'yi Azure SQL Veritabanı'de güvenli enclaves ile kullanan uygulamaların yöneticileriyle birlikte bir kimlik doğrulatır. Station URL'si, aşağıdakine benzer bir şekilde, onaylama ilkesi içeren birstation Attest URI sağlayıcısının url'dir. https://MyAttestationProvider.wus.attest.azure.net

Azure portal URL'sini belirlemek için Azure portal'yi kullanma

Belge sağlayıcısının Genel Bakış bölmesinde özelliğin değerini Attest URI panoya kopyalayın.

PowerShell kullanarakstation URL'sini belirleme

Get-AzAttestationCmdlet'ini kullanarak, AttestURI dahil olmak üzere,station provider özelliklerini alın.

Get-AzAttestation -Name $attestationProviderName -ResourceGroupName $attestationResourceGroupName

Daha fazla bilgi için bkz. Bir belge sağlayıcısı oluşturma ve yönetme.

Sonraki Adımlar

Ayrıca bkz.