Tento článek odpovídá na nejčastější dotazy týkající se důvěrného registru Azure.
OBECNÉ
Jak zjistím, jestli bude služba Důvěrné registru Azure užitečná pro moji organizaci?
Důvěrný registr Azure je ideální pro organizace, které mají cenné záznamy dostatečně cenné pro motivovaného útočníka, aby se pokusil o ohrožení základního systému protokolování nebo úložiště, včetně scénářů "insider", kdy se neautorovaný zaměstnanec může pokusit o vytvoření, úpravu nebo odebrání předchozích záznamů.
Co znamená, že důvěrný registr Azure je mnohem bezpečnější?
Jak název napovídá, hlavní kniha využívá platformu Azure Confidential Computing a architekturu důvěrného konsorcia k zajištění řešení s vysokou integritou, které je chráněno a zřejmé. Jedna kniha pokrývá tři nebo více identických instancí, z nichž každá běží ve vyhrazeném plně otestované hardwarové enklávě. Integrita registru se udržuje prostřednictvím blockchainu založeného na konsensu.
Při psaní do důvěrného registru Azure je potřeba ukládat potvrzení o zápisu?
Ne nutně. Některá řešení dnes vyžadují, aby uživatelé udržovali potvrzení o zápisu pro budoucí ověření protokolu. To vyžaduje, aby uživatelé mohli tyto účtenky spravovat v zabezpečeném úložném zařízení, což zvyšuje další zátěž. Hlavní kniha eliminuje tuto výzvu prostřednictvím přístupu založeného na stromové struktuře Merkle, kde potvrzení zápisu zahrnují úplnou cestu stromu ke podepsané kořenové kořenové důvěryhodnosti. Uživatelé můžou ověřovat transakce bez ukládání nebo správy jakýchkoli dat registru.
Návody ověřit pravost registru?
Můžete ověřit, že uzly serveru registru, se kterými klient komunikuje, jsou autentické. Podrobnosti najdete v tématu Ověřování důvěrných uzlů registru.
Může být komunikace mezi klientem a seznamem ACL ohrožena správcem Azure, protože Azure řídí protokol TLS mezi klientem a seznamem ACL?
Připojení TLS se naváže mezi klientem a konkrétním uzlem spuštěným uvnitř enklávy. Při ukončení připojení uvnitř enklávy nemá správci Azure ani nikdo jiný přístup k datům enklávy na základě zabezpečení poskytovaného specializovaným hardwarem Intel SGX.
Nabízí seznam ACL dotazování na atributy jiné než ID potvrzení nebo transakce?
Kromě dotazování pomocí ID příjmu nebo transakce nabízí seznam ACL historické možnosti dotazování ke čtení dat z Gene (nebo v rozsahu) pro konkrétní klíč pomocí ID kolekce (označovaného také jako ID podprogramu). Chtěli bychom vědět, jaké další atributy by byly užitečné pro dotazování, protože shromáždíme vstup pro náš plán produktu.
Jsou data na disku šifrovaná samostatně? Pokud ano, kde jsou uložené klíče?
Při ukládání dat do registru můžete zvolit veřejnou nebo soukromou možnost. Veřejná možnost není šifrovaná; prostý text a vhodný pro určité případy použití, které vyžadují manipulaci a auditovatelné použití registru. Soukromá možnost je však šifrovaná. Data se šifrují pomocí tří úrovní šifrování (tj. tajné kódy registru, klíč Ledger Secret Wrapping Key a sdílené složky obnovovacího klíče), které jsou zde podrobně vysvětleny.
Správa uživatelů
Jak můžu spravovat uživatele v registru?
Uživatele v registru můžete spravovat prostřednictvím portálu nebo některé z dostupných sad SDK: python, .NET nebo Java.
Může mi Microsoft pomoct spravovat uživatele v registru, který jsem vytvořil(a)?
Ne. Po vytvoření registru nemá Microsoft přístup ke správě uživatelů.
Vytvořil(a) jsem registr bez správce. Můžu stále přidávat uživatele?
Pokud vytvoříte registr bez správce, získá AAD/cert práva správce. Tuto identitu lze použít ke správě registru.