Esempi di criteri di rilascio delle chiavi sicure per Confidential Computing di Azure
Secure Key Release (SKR) può rilasciare solo chiavi contrassegnate esportabili in base alle attestazioni generate da Microsoft attestazione di Azure (MAA). Esiste una stretta integrazione nella definizione dei criteri SKR per le richieste MAA. Le richieste MAA da parte dell'ambiente di esecuzione attendibile (TEE) sono disponibili qui.
Seguire la grammatica dei criteri per altri esempi su come personalizzare i criteri SKR.
Esempi di criteri SKR per enclavi dell'applicazione Intel SGX
Esempio 1: criteri SKR basati su Intel SGX che convalidano i dettagli del firmatario MR (firmatario enclave SGX) come parte delle richieste MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Esempio 2: criteri SKR basati su Intel SGX che convalidano i dettagli firmatario MR (firmatario dell'enclave SGX) o dell'enclave MR come parte delle richieste MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Esempio 3: criteri SKR basati su Intel SGX che convalidano il firmatario MR (firmatario dell'enclave SGX) e dell'enclave MR con un minimo di dettagli sul numero SVN come parte delle richieste MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Esempi di criteri SKR TEE di macchina virtuale riservata basata su AMD SEV-SNP
Esempio 1: un criterio SKR che convalida la conformità ad Azure di una CVM ed è in esecuzione su un hardware originale AMD SEV-SNP e l'autorità dell'URL MAA è distribuita in molte aree.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Esempio 2: un criterio SKR che convalida la conformità ad Azure di una CVM ed è in esecuzione su un hardware AMD SEV-SNP originale e fa riferimento a un ID di macchina virtuale noto. (In Azure, gli ID delle macchine virtuali sono univoci)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Esempi di criteri SKR per contenitori riservati in istanze di Azure Container
Esempio 1: contenitori riservati in ACI che convalidano i contenitori avviati e i metadati di configurazione dei contenitori come parte dell'avvio del gruppo di contenitori con convalide aggiuntive che attestano che si tratta di un hardware AMD SEV-SNP.
Nota
I metadati dei contenitori sono un codice hash dei criteri basato su Rego, come in questo esempio.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}