JavaScript용 Azure Attestation 클라이언트 라이브러리 - 버전 1.0.0
MAA(Microsoft Azure Attestation) 서비스는 플랫폼의 신뢰성과 내부에서 실행되는 이진 파일의 무결성을 원격으로 확인하기 위한 통합 솔루션입니다. 이 서비스는 Intel(tm) SGX(Software Guard Extensions) enclave 및 VBS(가상화 기반 보안) Enclave와 같은 TEE(신뢰할 수 있는 실행 환경)의 상태를 증명할 수 있는 기능과 함께 TPM(신뢰할 수 있는 플랫폼 모듈)에서 지원하는 플랫폼의 증명을 지원합니다.
증명은 소프트웨어 이진 파일이 신뢰할 수 있는 플랫폼에서 올바르게 인스턴스화되었음을 보여주는 프로세스입니다. 그러면 원격 신뢰 당사자가 이러한 의도된 소프트웨어만 신뢰할 수 있는 하드웨어에서 실행된다고 확신할 수 있습니다. Azure Attestation은 증명을 위한 통합 고객 지향 서비스 및 프레임워크입니다.
Azure Attestation을 사용하면 Azure 기밀 컴퓨팅 및 인텔리전트 에지 보호와 같은 최첨단 보안 패러다임을 사용할 수 있습니다. 고객은 컴퓨터의 위치, 해당 컴퓨터의 VM(가상 머신) 상태 및 해당 VM에서 enclave가 실행되는 환경을 독립적으로 확인할 수 있는 기능을 요청했습니다. Azure Attestation은 이러한 고객과 많은 추가적인 고객 요청에 권한을 부여합니다.
Azure Attestation은 컴퓨팅 엔터티로부터 증거를 받고, 이를 클레임 세트로 전환하며, 구성 가능한 정책에 대해 유효성을 검사하고, 클레임 기반 애플리케이션(예: 신뢰 당사자 및 감사 기관)에 대한 암호화 증명을 생성합니다.
Azure 라이브러리에 대한 자세한 내용은 azure sdk typescript 릴리스를 참조하세요.
참고: Microsoft Azure Attestation 서비스에 대한 미리 보기 SDK입니다. Azure Attestation 서비스에 액세스하기 위한 모든 필수 기능을 제공하며, '있는 그대로'로 간주되어야 하며, 향후 변경될 수 있으며 이전 버전과의 호환성이 손상될 수 있습니다.
주요 링크:
시작
현재 지원되는 환경
- Node.js의 LTS 버전
- 최신 버전의 Safari, Chrome, Edge, Firefox.
자세한 내용은 지원 정책을 참조하세요.
필수 구성 요소
- Azure 구독
- 기존 Azure Attestation 인스턴스 또는 각 Azure 지역에서 사용할 수 있는 "공유 공급자"를 사용할 수 있습니다. Azure Attestation 서비스 인스턴스를 만들어야 하는 경우 Azure Portal 또는 Azure CLI를 사용할 수 있습니다.
@azure/attestation 패키지를 설치합니다.
NPM을 사용하여 JavaScript용 Microsoft Azure Attestation 클라이언트 라이브러리를 설치합니다.
npm install @azure/attestation
클라이언트 인증
Microsoft Azure Attestation 서비스와 상호 작용하려면 증명 클라이언트 또는 증명 관리 클라이언트 클래스의 인스턴스를 만들어야 합니다. 포털에 표시된 "증명 URI"가 되거나 공유 증명 공급자 중 하나가 되는 증명 인스턴스 URL이 필요합니다.
증명 관리 클라이언트를 사용하거나 API를 호출 attestTpm
하려면 클라이언트 자격 증명도 필요합니다. 클라이언트 자격 증명을 사용하려면 클라이언트 개체를 인스턴스화하려면 (클라이언트 ID, 클라이언트 암호, 테넌트 ID) 가 필요합니다.
이 시작 섹션에서는 DefaultAzureCredential 공급자를 통해 클라이언트 비밀 자격 증명을 사용하여 인증하지만 @azure/ID 패키지를 통해 더 많은 인증 메커니즘을 제공합니다. @azure/identity 패키지를 설치하려면 다음을 수행합니다.
npm install @azure/identity
자격 증명 만들기/가져오기
아래 Azure CLI 코드 조각을 사용하여 클라이언트 비밀 자격 증명을 만들거나 가져옵니다.
서비스 주체를 만들고 Azure 리소스에 대한 액세스를 구성합니다.
az ad sp create-for-rbac -n <your-application-name> --skip-assignment
출력:
{ "appId": "generated-app-ID", "displayName": "dummy-app-name", "name": "http://dummy-app-name", "password": "random-password", "tenant": "tenant-ID" }
서비스 주체 objectId를 기록해 둡
az ad sp show --id <appId> --query objectId
출력:
"<your-service-principal-object-id>"
위의 반환된 자격 증명을 사용하여 AZURE_CLIENT_ID (appId), AZURE_CLIENT_SECRET (암호) 및 AZURE_TENANT_ID (테넌트) 환경 변수를 설정합니다. 다음 예제에서는 Powershell에서 이 작업을 수행하는 방법을 보여줍니다.
$Env:AZURE_CLIENT_ID="generated-app-ID"
$Env:AZURE_CLIENT_SECRET="random-password"
$Env:AZURE_TENANT_ID="tenant-ID"
Azure ID API 및 사용 방법에 대한 자세한 내용은 Azure ID 클라이언트 라이브러리를 참조하세요.
주요 개념
이 미리 보기 SDK에는 네 가지 주요 기능 제품군이 제공됩니다.
Microsoft Azure Attestation 서비스는 "격리" 및 "AAD"의 두 가지 개별 모드로 실행됩니다. 서비스가 "격리" 모드에서 실행되는 경우 고객은 인증 자격 증명 이외의 추가 정보를 제공하여 증명 인스턴스의 상태를 수정할 권한이 있는지 확인해야 합니다.
마지막으로 Microsoft Azure Attestation 서비스를 사용할 수 있는 각 지역은 Azure 기준에 대한 확인만 필요한 SGX enclave를 증명하는 데 사용할 수 있는 "공유" 인스턴스를 지원합니다(공유 공급자에 적용되는 정책은 없음). 공유 공급자에서는 TPM 증명을 사용할 수 없습니다. 공유 인스턴스에는 AAD 인증이 필요하지만 RBAC 정책이 없습니다. 유효한 AAD 전달자 토큰을 가진 고객은 공유 인스턴스를 사용하여 증명할 수 있습니다.
증명
SGX 또는 TPM 증명은 신뢰할 수 있는 실행 환경에서 수집된 증거의 유효성을 검사하여 해당 환경에 대한 Azure 기준과 해당 환경에 적용된 고객 정의 정책을 모두 충족하는지 확인하는 프로세스입니다.
증명 서비스 토큰 서명 인증서 검색 및 유효성 검사
Azure Attestation 서비스의 핵심 운영 보장 중 하나는 서비스가 "TCB에서 작동"한다는 것입니다. 즉, Microsoft 운영자가 서비스 작업을 변조하거나 클라이언트에서 보낸 데이터가 손상될 수 있는 방법은 없습니다. 이 보장을 위해 증명 서비스의 핵심은 Intel(tm) SGX enclave에서 실행됩니다.
고객이 작업이 실제로 Enclave 내에서 수행되었는지 확인할 수 있도록 증명 서비스의 대부분의 응답은 증명 서비스의 enclave 내에 있는 키로 서명된 JSON 웹 토큰으로 인코딩됩니다.
이 토큰은 지정된 인스턴스에 대해 MAA 서비스에서 발급한 서명 인증서로 서명됩니다.
MAA 서비스 인스턴스가 SGX enclave에서 서비스가 실행되는 지역에서 실행되는 경우 서버에서 발급한 인증서는 oe_verify_attestation_certificate API를 사용하여 확인할 수 있습니다.
개체에는 AttestationResponse
및 value
의 두 가지 주요 특성이 token
포함됩니다. 특성에는 token
증명 서비스에서 반환하는 전체 토큰이 포함되며, value
특성에는 JSON 웹 토큰 응답의 본문이 포함됩니다.
정책 관리
각 증명 서비스 인스턴스에는 고객이 정의한 추가 조건을 정의하는 정책이 적용됩니다.
증명 정책에 대한 자세한 내용은 증명 정책을 참조하세요.
정책 관리 인증서 관리
증명 인스턴스가 "격리" 모드로 실행되는 경우 인스턴스를 만든 고객은 인스턴스를 만들 때 정책 관리 인증서를 제공하게 됩니다. 모든 정책 수정 작업을 수행하려면 고객이 기존 정책 관리 인증서 중 하나를 사용하여 정책 데이터에 서명해야 합니다. 정책 관리 인증서 관리 API를 사용하면 클라이언트가 정책 관리 인증서를 "롤"할 수 있습니다.
격리 모드 및 AAD 모드
각 Microsoft Azure Attestation 서비스 인스턴스는 "AAD" 모드 또는 "격리" 모드에서 작동합니다. MAA 인스턴스가 AAD 모드에서 작동하는 경우 증명 인스턴스를 만든 고객이 Azure Active Directory 및 Azure 역할 기반 액세스 제어 정책을 통해 증명 인스턴스에 대한 액세스를 확인할 수 있음을 의미합니다.
AttestationType
Microsoft Azure Attestation 서비스는 환경에 따라 다양한 유형의 증명을 지원합니다. 현재 MAA는 다음과 같은 신뢰할 수 있는 실행 환경을 지원합니다.
- OpenEnclave - OpenEnclave
oe_get_report
또는oe_get_evidence
API를 사용하여 증명 증거가 수집된 SGX Enclave에서 코드를 실행하는 Intel(tm) 프로세서입니다. - SgxEnclave - Intel SGX SDK를 사용하여 증명 증거가 수집된 SGX Enclave에서 코드를 실행하는 Intel(tm) 프로세서입니다.
- Tpm - 프로세서의 신뢰할 수 있는 플랫폼 모듈을 사용하여 증명 증거를 제공하는 가상화 기반 보안 환경입니다.
런타임 데이터 및 Inittime 데이터
RuntimeData는 Intel SGX Quote 생성 논리 또는 API에 oe_get_report
/oe_get_evidence
표시되는 데이터를 나타냅니다. 증명 API 호출자가 특성을 제공한 runtime_data
경우 Azure Attestation 서비스는 SGX Quote/OE Report/OE Evidence에 있는 필드의 report_data
처음 32바이트가 의 SHA256 해시와 일치하는지 유효성을 runtime_data
검사합니다.
InitTime 데이터는 증명되는 SGX Enclave를 구성하는 데 사용되는 데이터를 나타냅니다.
InitTime 데이터는 Azure DCsv2 시리즈 가상 머신에서 지원되지 않습니다.
추가 개념
예제
클라이언트 인스턴스 만들기
기본 Azure 자격 증명(DefaultAzureCredential
)을 사용하여 uriendpoint
에서 증명 클라이언트의 인스턴스를 만듭니다.
const credentials = new DefaultAzureCredential();
const client = new AttestationClient(endpoint, {credentials: credentials});
// Retrieve the set of attestation policy signers from the attestation client.
const attestationSigners = await client.getAttestationSigners();
API를 attestTpm
호출하지 않는 경우 증명 클라이언트에 액세스하기 위해 자격 증명을 제공할 필요가 없습니다. 즉, 클라이언트는 다음을 사용하여 간단하게 만들 수 있습니다.
const client = new AttestationClient(endpoint);
// Retrieve the set of attestation policy signers from the attestation client.
const attestationSigners = await client.getAttestationSigners();
uri endpoint
에서 증명 관리 클라이언트의 인스턴스를 만듭니다.
관리 클라이언트에는 Azure 자격 증명 이 필요합니다 .
const client = new AttestationAdministrationClient(endpoint, new DefaultAzureCredential());
// Retrieve the SGX policy from the specified attestation instance.
const policyResponse = await client.getPolicy(KnownAttestationType.SgxEnclave);
증명 정책 가져오기
메서드는 getPolicy
서비스에서 증명 정책을 검색합니다.
증명 정책은 증명 유형별로 인스턴스화되며 매개 변수는 AttestationType
검색할 인스턴스의 형식을 정의합니다.
const policyResult = await adminClient.getPolicy(attestationType);
// The text policy document is available in the `policyResult.body`
// property.
// The actual attestation token returned by the MAA service is available
// in `policyResult.token`.
지정된 증명 유형에 대한 증명 정책 설정
증명 서비스 인스턴스가 격리 모드에서 실행되는 경우 set_policy API는 호출자가 증명 인스턴스에 대한 정책을 수정할 권한이 있는지 확인하는 데 사용할 수 있는 서명 인증서(및 프라이빗 키)를 제공해야 합니다. 서비스 인스턴스가 AAD 모드에서 실행 중인 경우 서명 인증서 및 키는 선택 사항입니다.
서비스 인스턴스가 AAD 모드에서 실행 중인 경우 setPolicy 호출은 예상대로 수행됩니다.
const client = new AttestationAdministrationClient(endpoint, new DefaultAzureCredential());
const newPolicy = `<New Attestation Policy>`;
// Set the new attestation policy. Set the policy as an unsecured policy.
const setPolicyResult = await client.setPolicy(KnownAttestationType.SgxEnclave, newPolicy);
서비스 인스턴스가 격리 모드에서 실행되는 경우 setPolicy 호출을 수행하려면 클라이언트가 정책 관리 프라이빗 키 및 인증서 중 하나에 액세스할 수 있음을 증명할 수 있어야 합니다.
const client = new AttestationAdministrationClient(endpoint, new DefaultAzureCredential());
const newPolicy = `<New Policy Document>`;
// Set the new attestation policy. Set the policy as an secured policy.
const privateKey = <Retrieve isolated mode private key from storage>
const certificate = <Retrieve certificate associated with that private key>
const setPolicyResult = await client.setPolicy(
KnownAttestationType.OpenEnclave,
newPolicy,
{
privateKey: privateKey,
certificate: certificate
}
);
아래의 setPolicy API는 정책 문서에 certificate
포함된 JSON 웹 토큰을 만들고 로 서명한 다음 증명 서비스로 privateKey
전송됩니다.
클라이언트가 증명 서비스의 enclave에서 정책 문서를 받기 전에 증명 정책 문서를 수정하지 않았는지 확인하려는 경우 서비스에서 정책 문서를 받았는지 확인하는 데 사용할 수 있는 PolicyResult objct에 반환된 속성을 사용할 수 있습니다.
-
policySigner
- 호출에setPolicy
가certificate
포함된 경우 이 값은 호출 시 제공된 인증서가setPolicy
됩니다. 정책 서명자가 설정되지 않은 경우 null이 됩니다. -
policyTokenHash
- setPolicy API에 대한 서비스로 전송된 JSON 웹 서명 의 해시입니다.
해시를 확인하기 위해 클라이언트는 증명 정책 토큰(증명 정책을 설정하는 데 사용되는 토큰을 나타내는 도우미 클래스)을 만들고 해당 토큰에서 생성된 해시를 확인할 수 있습니다.
const expectedPolicy = createAttestationPolicyToken(
`<Policy Document>`,
privateKey,
certificate);
// Use your favorite SHA256 hash generator function to create a hash of the
// stringized JWS.
const expectedHash = generateSha256Hash(expectedPolicy.serialize());
// The hash returned in expectedHash should match the value in
// `setResult.body.policyTokenHash`.
SGX 및 Open Enclave 증명
메서드를 attestSgxEnclave
사용하여 SGX enclave를 증명합니다.
고객이 암호화된 환경과 상호 작용하는 핵심 과제 중 하나는 환경에서 실행되는 코드("enclave 코드")와 안전하게 통신할 수 있도록 하는 방법입니다.
이 문제에 대한 한 가지 해결 방법은 Enclave 코드와의 보안 통신을 가능하게 하는 패턴인 "보안 키 릴리스"입니다.
"보안 키 릴리스" 패턴을 구현하기 위해 Enclave 코드는 임시 비대칭 키를 생성합니다. 그런 다음 키의 퍼블릭 부분을 일부 형식(JSON 웹 키 또는 PEM 또는 다른 serialization 형식)으로 직렬화합니다.
그런 다음 enclave 코드는 공개 키의 SHA256 값을 계산하고 SGX 견적을 생성하는 코드에 대한 입력으로 전달합니다(OpenEnclave의 경우 oe_get_evidence 또는 oe_get_report).
그런 다음 클라이언트는 SGX 견적과 직렬화된 키를 증명 서비스에 보냅니다. 증명 서비스는 견적의 유효성을 검사하고 키의 해시가 견적에 있는지 확인하고 "증명 토큰"을 발급합니다.
그런 다음 클라이언트는 해당 증명 토큰(직렬화된 키 포함)을 타사 "신뢰 당사자"로 보낼 수 있습니다. 그런 다음 신뢰 당사자는 증명 서비스가 증명 토큰을 생성했는지 확인하므로 직렬화된 키를 사용하여 "신뢰 당사자"가 보유한 일부 데이터를 암호화하여 서비스로 보낼 수 있습니다.
이 예제에서는 요청과 연결된 증명 토큰을 검색하기 위해 증명 서비스로 호출하는 일반적인 패턴 중 하나를 보여 줍니다.
이 예제에서는 엔드포인트에 대한 증명 URI로 구성된 기존 AttestationClient
개체가 있다고 가정합니다. 또한 증명하려는 SGX Enclave 내에서 생성된 OpenEnclave 보고서(report
)와 SGX 견적에서 참조되는 "런타임 데이터"(binaryRuntimeData
)가 있다고 가정합니다.
const attestationResult = await client.attestOpenEnclave(report, {
runTimeData: binaryRuntimeData
});
binaryRuntimeData
증명 서비스로 전송된 가 JSON 데이터로 해석될 수도 있습니다. 이 경우 클라이언트는 증명 API 호출에서 를 지정 runTimeJson
해야 합니다.
const attestationResult = await client.attestOpenEnclave(report, {
runTimeJson: binaryRuntimeData
});
마찬가지로 Intel SDK를 사용하여 "견적"을 생성하는 경우 다음을 사용하여 견적의 유효성을 검사할 수 있습니다.
const attestationResult = await client.attestSgxEnclave(quote, {
runTimeData: binaryRuntimeData
});
증명 토큰 유효성 검사를 수행하는 방법에 대한 추가 정보는 MAA 서비스 증명 샘플에서 찾을 수 있습니다.
토큰 인증서 검색
를 사용하여 getSigningCertificates
증명 서비스에서 반환된 토큰의 유효성을 검사하는 데 사용할 수 있는 인증서를 검색합니다. 이 호출은 또는 API를 호출하는 경우 필요하지 않은 Azure 자격 증명을 사용하여 클라이언트를 attestSgxEnclave
attestOpenEnclave
만듭니다.
const credentials = new DefaultAzureCredential();
const client = new AttestationClient(endpoint, {credentials: credentials});
const attestationSigners = await client.getAttestationSigners();
console.log(`There are ${attestationSigners.length} signers`);
문제 해결
대부분의 증명 서비스 작업은 Azure Core에 정의된 예외를 발생합니다. 증명 서비스 API는 유용한 오류 코드와 함께 오류 발생 시 을 throw RestError
합니다. 이러한 오류 중 대부분은 복구할 수 있습니다.
try {
await client.attestSgxEnclave(openEnclaveReport);
} catch (error) {
console.log(`Exception thrown for invalid request: ${error.message}`);
}
로깅
로깅을 사용하도록 설정하면 실패에 대한 유용한 정보를 파악하는 데 도움이 될 수 있습니다. HTTP 요청 및 응답 로그를 보려면 AZURE_LOG_LEVEL
환경 변수를 info
로 설정합니다. 또는 @azure/logger
에서 setLogLevel
을 호출하여 런타임에 로깅을 사용하도록 설정할 수 있습니다.
import { setLogLevel } from "@azure/logger";
setLogLevel("info");
로그를 사용하는 방법에 대한 자세한 내용은 @azure/logger package docs를 참조하세요.
MAA 서비스에 대한 추가 문제 해결 정보는 여기에서 찾을 수 있습니다.
다음 단계
Microsoft Azure Attestation 서비스에 대한 자세한 내용은 설명서 페이지를 참조하세요.
참여
이 프로젝트에 대한 기여와 제안을 환영합니다. 대부분의 경우 기여하려면 권한을 부여하며 실제로 기여를 사용할 권한을 당사에 부여한다고 선언하는 CLA(기여자 라이선스 계약)에 동의해야 합니다. 자세한 내용은 기여자 라이선스 계약 사이트를 참조하세요.
끌어오기 요청을 제출하면 CLA-bot은 CLA를 제공하고 PR을 적절하게 데코레이팅해야 하는지 여부를 자동으로 결정합니다(예: 레이블, 설명). 봇에서 제공하는 지침을 따르기만 하면 됩니다. 이 작업은 CLA를 사용하여 모든 리포지토리에서 한 번만 수행하면 됩니다.
이 프로젝트에는 Microsoft Open Source Code of Conduct(Microsoft 오픈 소스 준수 사항)가 적용됩니다. 자세한 내용은 사용 규정 FAQ를 참조하거나 opencode@microsoft.com에 추가 질문 또는 의견을 알려주세요.
이러한 라이브러리를 빌드, 테스트 및 기여하는 방법에 대한 자세한 내용은 CONTRIBUTING.md 참조하세요.
피드백 제공
버그가 발생하거나 제안이 있는 경우 프로젝트의 문제 섹션에 문제를 제출하세요.
관련된 프로젝트
Azure SDK for JavaScript