Microsoft Azure 機密總帳
Microsoft Azure 機密總帳 (ACL) 是一項高安全性的新服務,可用來管理敏感性資料記錄。 它以獨佔方式在硬體支援的安全記憶體保護區上執行,這是一個高度監視和隔離的運行時間環境,可避免潛在的攻擊。 此外,Azure 機密總帳會在最基本的信賴運算基礎 (TCB) 上執行,這可確保任何人都無法「凌駕於」總帳之上,即便 Microsoft 亦然。
如其名稱所示,Azure 機密總賬會 利用 Azure 機密運算平臺 和 機密聯盟架構 ,提供受到竄改且明顯的高完整性解決方案。 一個總賬橫跨三個或多個相同的實例,每個實例都會在專用、完全證明的硬體支援記憶體保護區中執行。 總帳的完整性是透過以共識為基礎的區塊鏈來維護。
Azure 機密總帳提供獨特的資料完整性優勢,包括不變性、防竄改和僅限附加的作業。 這些功能可確保所有記錄都保持不變,非常適合在不得修改重要中繼資料記錄時使用,例如法規合規性和封存等用途。
以下是您可以儲存在總賬上的一些範例:
- 與商務交易相關的記錄(例如,資金轉移或機密文件編輯)。
- 更新 信任的資產(例如核心應用程式或合約)。
- 管理員 控制變更(例如授與訪問許可權)。
- 操作 IT 和安全性事件(例如,適用於雲端的 Microsoft Defender 警示)。
如需詳細資訊,您可以觀看 Azure 機密總賬示範。
主要功能
機密總賬會透過 REST API 公開,其可整合到新的或現有的應用程式。 管理員 istrators 可以使用 管理員 控制型 API(控制平面)來管理機密總帳。 機密總帳也可以透過功能 API(數據平面)直接由應用程式程式代碼呼叫。 管理員 支援基本作業,例如建立、更新、取得和刪除。 功能 API 允許與您的具現化總賬直接互動,並包含放置和取得數據等作業。
總賬安全性
總帳 API 支援具有擁有者角色的憑證式驗證程式,以及 Microsoft Entra 識別符型驗證,以及角色型存取(例如擁有者、讀者和參與者)。
數據會透過 TLS 1.3 連線傳送至總帳,而 TLS 1.3 聯機會在硬體支援的安全性記憶體保護區 (Intel® SGX 記憶體保護區)內終止,確保沒有人能夠攔截客戶用戶端與機密總賬伺服器節點之間的連線。
總帳記憶體
機密總帳會在屬於 Azure 儲存體 帳戶的 Blob 記憶體容器中建立為區塊。 事務數據可以儲存為加密或純文本,視您的需求而定。
管理員 istrators 可以使用 管理員 控制 API 來管理機密總帳,而機密總賬可以直接透過功能 API(數據平面)呼叫您的應用程式程序代碼。 管理員 支援基本作業,例如建立、更新、取得和刪除。
功能 API 允許與具現化機密總賬進行直接互動,並包含放置和取得數據等作業。
限制
- 建立機密總賬之後,您無法變更總賬類型(私人或公用)。
- Azure 機密總賬刪除會導致「硬式刪除」,因此您的數據在刪除之後將無法復原。
- Azure 機密總賬名稱必須是全域唯一的。 不允許具有相同名稱的總賬,不論其類型為何。
辭彙
| 詞彙 | 定義 |
|---|---|
| ACL | Azure 機密總帳 |
| 總帳 | 不可變的僅附加交易記錄(也稱為區塊鏈) |
| 提交 | 確認交易已附加至總帳。 |
| 收據 | 證明總賬已處理交易。 |