Microsoft Azure 機密總帳
Microsoft Azure 機密總帳 (ACL) 是一項高安全性的新服務,可用來管理敏感性資料記錄。 此服務只能在硬體支援的安全記憶體保護區上執行,是個受到嚴密監視且獨立的執行階段環境,可遏止潛在攻擊。 此外,Azure 機密總帳會在最基本的信賴運算基礎 (TCB) 上執行,這可確保任何人都無法「凌駕於」總帳之上,即便 Microsoft 亦然。
顧名思義,Azure 機密總帳會利用 Azure 機密運算平台 和 機密聯盟架構 來提供防竄改且明顯的高完整性解決方案。 一個總帳跨越三個以上相同的執行個體,每個執行個體都會在專用、完全證明的硬體支援記憶體保護區中執行。 總帳的完整性是透過共識型區塊鏈來維護。
Azure 機密總帳提供獨特的資料完整性優勢,包括不變性、防竄改和僅限附加的作業。 這些功能可確保所有記錄都保持不變,非常適合在不得修改重要中繼資料記錄時使用,例如法規合規性和封存等用途。
以下是您可以儲存在總帳上的一些範例:
- 與商務交易相關的記錄 (例如,資金轉移或機密文件編輯)。
- 信任資產的更新 (例如核心應用程式或合約)。
- 系統管理和控制變更 (例如授與存取權限)。
- 操作 IT 和安全性事件 (例如適用於雲端的 Microsoft Defender 警示)。
如需詳細資訊,您可以觀看 Azure 機密總帳示範。
主要功能
機密總帳會透過 REST API 公開,其可整合到新的或現有的應用程式。 系統管理員可以使用系統管理 API 來管理機密總帳 (控制平面)。 機密總帳也可以透過功能 API (資料平面) 直接由應用程式程式碼呼叫。 系統管理 API 支援基本作業,例如建立、更新、取得和刪除。 功能 API 允許與您的具現化總帳直接互動,並包含放置和取得資料等作業。
總帳安全性
總帳 API 支援具有擁有者角色的憑證式驗證流程,以及 Microsoft Entra ID 型驗證,以及角色型存取 (例如擁有者、讀者和參與者)。
資料會透過 TLS 1.3 連線傳送至總帳,而 TLS 1.3 連線會在硬體支援的安全性記憶體保護區 (Intel® SGX 記憶體保護區) 內終止,確保沒有人能夠攔截客戶用戶端與機密總帳伺服器節點之間的連線。
總帳儲存體
機密總帳會在屬於 Azure 儲存體帳戶的 Blob 儲存體容器中建立為區塊。 交易資料可以加密或純文本形式儲存,視您的需求而定。
系統管理員可以使用系統管理 API (控制平面) 管理機密總帳,而機密總帳可以透過功能 API (資料平面) 直接由您的應用程式程式碼呼叫。 系統管理 API 支援基本作業,例如建立、更新、取得和刪除。
功能 API 允許與您的具現化機密總帳直接互動,並包含放置和取得資料等作業。
限制
- 建立機密總帳之後,您就無法變更總帳類型 (私人或公用)。
- Azure 機密總帳刪除會導致「硬式刪除」,因此您的資料在刪除之後將無法復原。
- Azure 機密總帳名稱必須是全域唯一的。 不允許具有相同名稱的總帳,不論其類型為何。
辭彙
| 詞彙 | 定義 |
|---|---|
| ACL | Azure 機密總帳 |
| 總帳 | 不可變的僅附加交易記錄 (也稱為區塊鏈) |
| 提交 | 確認交易已附加至總帳。 |
| 收據 | 證明總帳已處理交易。 |