Richtlinienbeispiele für die sichere Schlüsselfreigabe für Azure Confidential Computing

Artikel
06/18/2024

Die sichere Schlüsselfreigabe (Secure Key Release, SKR) kann nur als exportierbar markierte Schlüssel basierend auf den generierten Ansprüchen von Microsoft Azure Attestation (MAA) freigeben. Es gibt eine enge Integration der SKR-Richtliniendefinition in MAA-Ansprüche. MAA-Ansprüche der Trusted Execution Environment (TEE) finden Sie hier.

Folgen Sie der Grammatik für Richtlinien, um weitere Beispiele zum Anpassen der SKR-Richtlinien zu erhalten.

Beispiele für SKR-Richtlinien für Intel SGX-Anwendungsenklaven

Beispiel 1: Intel SGX-basierte SKR-Richtlinie, die die Details des MR-Signaturgebers (Signaturgeber der SGX-Enklave) als Teil der MAA-Ansprüche überprüft


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Beispiel 2: Intel SGX-basierte SKR-Richtlinie, die die Details des MR-Signaturgebers (Signaturgeber der SGX-Enklave) oder der MR-Enklave als Teil der MAA-Ansprüche überprüft


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Beispiel 3: Intel SGX-basierte SKR-Richtlinie, die die Details des MR-Signaturgebers (Signaturgeber der SGX-Enklave) und der MR-Enklave mit minimaler SVN-Nummer als Teil der MAA-Ansprüche überprüft

{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-svn",
          "greater": 1
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Beispiele für TEE SKR-Richtlinien für eine vertrauliche VM AMD SEV-SNP-basierte VM

Beispiel 1: Eine SKR-Richtlinie, die überprüft, ob es sich um eine Azure-kompatible CVM handelt, die auf echter AMD SEV-SNP-Hardware ausgeführt wird, und die autoritative MAA-URL-Stelle ist auf viele Regionen verteilt.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        },
        {
            "authority": "https://sharedeus2.weu2.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

Beispiel 2: Eine SKR-Richtlinie, die überprüft, ob die CVM eine Azure-kompatible CVM ist und auf echter AMD SEV-SNP-Hardware ausgeführt wird und eine bekannte VM-ID aufweist. (VM-IDs sind in Azure eindeutig.)

{
  "version": "1.0.0",
  "allOf": [
    {
      "authority": "https://sharedweu.weu.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-isolation-tee.x-ms-attestation-type",
          "equals": "sevsnpvm"
        },
        {
          "claim": "x-ms-isolation-tee.x-ms-compliance-status",
          "equals": "azure-compliant-cvm"
        },
        {
          "claim": "x-ms-azurevm-vmid",
          "equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
        }
      ]
    }
  ]
}

Beispiele für SKR-Richtlinien für vertrauliche Container in Azure Container Instances (ACI)

Beispiel 1: Vertrauliche Container in ACI überprüfen die initiierten Container und Containerkonfigurationsmetadaten als Teil des Starts der Containergruppe mit zusätzlichen Überprüfungen, ob es sich um AMD SEV-SNP-Hardware handelt.

Hinweis

Die Containermetadaten sind ein regionsbasierter Richtlinienhash, wie in diesem Beispiel dargestellt.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://fabrikam1.wus.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-uvm"
                },
                {
                    "claim": "x-ms-sevsnpvm-hostdata",
                    "equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
                }
            ]
        }
    ]
}

References

Microsoft Azure Attestation (MAA)

Sichere Schlüsselfreigabe – Konzept und grundlegende Schritte

Freigeben über

Richtlinienbeispiele für die sichere Schlüsselfreigabe für Azure Confidential Computing

Beispiele für SKR-Richtlinien für Intel SGX-Anwendungsenklaven

Beispiele für TEE SKR-Richtlinien für eine vertrauliche VM AMD SEV-SNP-basierte VM

Beispiele für SKR-Richtlinien für vertrauliche Container in Azure Container Instances (ACI)

References

Feedback

Zusätzliche Ressourcen