Microsoft Azure confidential ledger
Microsoft Azure confidential ledger (ACL) je nová a vysoce zabezpečená služba pro správu citlivých datových záznamů. Běží výhradně na hardwarových zabezpečených enklávách, silně monitorovaném a izolovaném prostředí runtime, které udržuje potenciální útoky v zálivu. Azure confidential ledger navíc běží na minimalistickém důvěryhodném architektonickém základu (TCB), který zajišťuje, aby nikdo nebyl nad registrem, ani Microsoft.
Jak název napovídá, důvěrný registr Azure využívá platformu Důvěrné výpočetní operace Azure a architekturu důvěrného konsorcia k poskytování řešení s vysokou integritou, které je chráněné a zřejmé. Jedna kniha pokrývá tři nebo více identických instancí, z nichž každá běží ve vyhrazeném plně otestované hardwarové enklávě. Integrita registru se udržuje prostřednictvím blockchainu založeného na konsensu.
Azure confidential ledger nabízí jedinečné výhody v oblasti integrity dat, včetně neměnnosti, ochrany před úmyslným poškozením a operací spočívajících v pouhém připojení. Tyto funkce, které zajišťují, aby všechny záznamy zůstaly nedotčené, jsou ideální v případě, že se nesmí měnit důležité záznamy metadat, například kvůli zajištění dodržování právních předpisů nebo archivaci.
Tady je několik příkladů toho, co můžete uložit do registru:
- Záznamy týkající se obchodních transakcí (například převody peněz nebo úpravy důvěrných dokumentů).
- Aktualizace důvěryhodných prostředků (například základních aplikací nebo kontraktů).
- Změny správy a řízení (například udělení přístupových oprávnění)
- Provozní události IT a zabezpečení (například upozornění Microsoft Defenderu pro cloud).
Další informace najdete v ukázce důvěrných registrů Azure.
Klíčové funkce
Důvěrný registr je zpřístupněn prostřednictvím rozhraní REST API, která je možné integrovat do nových nebo existujících aplikací. Správci můžou spravovat důvěrný registr pomocí rozhraní API pro správu (řídicí rovina). Důvěrný registr lze také volat přímo kódem aplikace prostřednictvím funkčních rozhraní API (Rovina dat). Rozhraní API pro správu podporují základní operace, jako je vytvoření, aktualizace, získání a odstranění. Funkční rozhraní API umožňují přímou interakci s vaší instancí registru a zahrnují operace, jako je vložení a získání dat.
Zabezpečení registru
Rozhraní API registru podporují proces ověřování na základě certifikátů s rolemi vlastníka a také ověřování na základě ID Microsoft Entra a také přístup založený na rolích (například vlastník, čtenář a přispěvatel).
Data do hlavní knihy se odesílají prostřednictvím připojení TLS 1.3 a připojení TLS 1.3 se ukončí uvnitř enklávy zabezpečení zálohovaného hardwarem (Intel® SGX), aby nikdo nemohl zachytit připojení mezi klientem zákazníka a důvěrnými uzly serveru registru.
Úložiště registru
Důvěrné hlavní knihy se vytvářejí jako bloky v kontejnerech úložiště objektů blob patřících do účtu Azure Storage. Transakční data můžou být buď uložená zašifrovaná, nebo ve formátu prostého textu v závislosti na vašich potřebách.
Správci můžou spravovat důvěrnou registr pomocí rozhraní API pro správu (řídicí rovina) a důvěrný registr může volat přímo kód aplikace prostřednictvím funkčních rozhraní API (Rovina dat). Rozhraní API pro správu podporují základní operace, jako je vytvoření, aktualizace, získání a odstranění.
Funkční rozhraní API umožňují přímou interakci s vaší instancí důvěrného registru a zahrnují operace, jako je vložení a získání dat.
Omezení
- Po vytvoření důvěrné knihy nelze změnit typ registru (soukromý nebo veřejný).
- Odstranění důvěrného registru Azure vede k "pevnému odstranění", takže po odstranění nebudou vaše data obnovitelná.
- Názvy důvěrných registrů Azure musí být globálně jedinečné. Hlavní knihy se stejným názvem bez ohledu na jejich typ nejsou povoleny.
Terminologie
| Termín | definice |
|---|---|
| ACL | Důvěrné hlavní knihy Azure |
| Registr | Neměnný záznam o transakcích jen pro připojení (označovaný také jako blockchain) |
| Potvrzení | Potvrzení, že transakce byla připojena k registru. |
| Potvrzení | Důkaz, že hlavní kniha zpracovala transakci. |