Delen via


Microsoft Azure Attestation

Microsoft Azure Attestation is een geïntegreerde oplossing voor het op afstand verifiëren van de betrouwbaarheid van een platform en integriteit van de binaire bestanden die erin worden uitgevoerd. De service ondersteunt attestation van de platforms die worden ondersteund door Trusted Platform Modules (TPM's) naast de mogelijkheid om te attesteren aan de status van TEE's (Trusted Execution Environments), zoals Intel Software Guard Extensions (SGX)-enclaves, VBS-enclaves (Virtualization-based Security), Trusted Platform Modules (TPM's), trusted launch for Azure VM's and Azure confidential VM's®.

Attestation is een proces voor het demonstreren dat de software-binaire bestanden op de juiste manier op een vertrouwd platform zijn geïnstantieerd. Externe relying party's kunnen dan betrouwbaarheid krijgen dat alleen dergelijke bedoelde software wordt uitgevoerd op vertrouwde hardware. Azure Attestation is een uniforme klantgerichte service en kader voor Attestation.

Met Azure Attestation kunnen geavanceerde beveiligingsmodellen, zoals Azure Confidential Computing en Intelligent Edge-beveiliging. Klanten hebben de mogelijkheid gevraagd om de locatie van een machine onafhankelijk te controleren, het postuur van een virtuele machine (VM) op die computer en de omgeving waarin enclaves op die VM worden uitgevoerd. Azure Attestation biedt deze en veel aanvullende klantaanvragen.

Azure Attestation ontvangt bewijs van berekeningsentiteiten, zet ze om in een set claims, valideert ze op basis van configureerbare beleidsregels en produceert cryptografische bewijzen voor op claims gebaseerde toepassingen (bijvoorbeeld relying party's en controle-instanties).

Azure Attestation ondersteunt zowel platform- als gast-attestation van op AMD SEV-SNP gebaseerde vertrouwelijke VM's (CVM's). Op Azure Attestation gebaseerde platformattest vindt automatisch plaats tijdens het kritieke opstartpad van CVM's, zonder dat er actie van de klant nodig is. Zie Voor meer informatie over gastverklaring de algemene beschikbaarheid van gastverklaring voor vertrouwelijke VM's aankondigen.

Gebruiksgevallen

Azure Attestation biedt uitgebreide Attestation-Services voor meerdere omgevingen en aparte use-cases.

AMD SEV-SNP-attestation op vertrouwelijke VM's

Azure Confidential VM (CVM) is gebaseerd op AMD-processors met SEV-SNP-technologie. CVM biedt de optie voor schijfversleuteling van vm-besturingssysteem met door het platform beheerde sleutels of door de klant beheerde sleutels en verbindt de schijfversleutelingssleutels met de TPM van de virtuele machine. Wanneer een CVM wordt opgestart, wordt er een SNP-rapport met de firmwaremetingen van de gast-VM verzonden naar Azure Attestation. De service valideert de metingen en geeft een attestation-token uit dat wordt gebruikt om sleutels van Managed-HSM of Azure Key Vault vrij te geven. Deze sleutels worden gebruikt om de vTPM-status van de gast-VM te ontsleutelen, de besturingssysteemschijf te ontgrendelen en de CVM te starten. Het attestation- en sleutelreleaseproces wordt automatisch uitgevoerd op elke CVM-opstartbewerking en het proces zorgt ervoor dat de CVM alleen wordt opgestart na een geslaagde attestation van de hardware.

AMD SEV-SNP-attestation voor vertrouwelijke containers

Azure Confidential Containers is gebaseerd op AMD-processors met SEV-SNP-technologie. Vertrouwelijke containers, gehost op Azure Container Instances en in Azure Kubernetes Service (in preview) bieden de mogelijkheid om groepen containers uit te voeren in een met SEV-SNP beveiligde vertrouwde uitvoeringsomgeving waarmee die groep containers wordt geïsoleerd van het besturingsvlak voor containerbeheer en andere actieve containers. Attestation in vertrouwelijke containers omvat het rechtstreeks ophalen van het AMD Hardware Attestation-rapport van de processor. Dit kan worden bereikt met onze SKR sidecar-container of rechtstreeks in uw toepassingslogica gecompileerd. Het hardwarerapport kan vervolgens worden uitgewisseld met Azure Attestation en managed-HSM of Premium Azure Key Vault (AKV) om geheimen op te halen. U kunt het hardwarerapport ook naar wens aan uw eigen key vault-systeem verstrekken.

Attestation voor vertrouwd starten

Azure-klanten kunnen opstartkit- en rootkit-infecties voorkomen door vertrouwde lancering voor hun virtuele machines (VM's) in te schakelen. Wanneer de VIRTUELE machine beveiligd opstarten is ingeschakeld en vTPM is ingeschakeld met de extensie voor gastattest, worden vTPM-metingen periodiek verzonden naar Azure Attestation voor het bewaken van opstartintegriteit. Een attestation-fout geeft potentiële malware aan, die via Microsoft Defender voor Cloud aan klanten wordt weergegeven, via waarschuwingen en aanbevelingen.

TPM-attestation

Attestation op basis van Trusted Platform Modules (TPM) is essentieel om de status van een platform te bewijzen. Een TPM fungeert als de basis van vertrouwen en de coprocessor voor beveiliging om cryptografische geldigheid te bieden aan de metingen (bewijs). Apparaten met een TPM kunnen afhankelijk zijn van attestation om te bewijzen dat opstartintegriteit niet is aangetast en de claims gebruiken om de activering van de functiestatus tijdens het opstarten te detecteren.

Clienttoepassingen kunnen worden ontworpen om gebruik te maken van TPM-attestation door beveiligingsgevoelige taken te delegeren, zodat deze alleen kunnen worden uitgevoerd nadat een platform op veiligheid is gevalideerd. Dergelijke toepassingen kunnen vervolgens gebruik maken van Azure Attestation om regelmatig een vertrouwensrelatie met het platform tot stand te brengen en van de mogelijkheid toegang te krijgen tot gevoelige gegevens.

SGX-enclave-attestation

Intel® Software Guard Extensions (SGX) verwijst naar isolatie van hardwarekwaliteit, die wordt ondersteund op bepaalde Intel CPU-modellen. SGX maakt het mogelijk code uit te voeren in gezuiverde compartimenten, ook wel SGX-enclaves genoemd. De machtigingen voor toegang en geheugen worden vervolgens beheerd door hardware om een minimaal aanvalsoppervlak met de juiste isolatie te garanderen.

Clienttoepassingen kunnen worden ontworpen om gebruik te maken van SGX-enclaves door beveiligingsgevoelige taken te delegeren in deze enclaves. Dergelijke toepassingen kunnen vervolgens gebruik maken van Azure Attestation om regelmatig een vertrouwensrelatie tot stand te brengen in de enclave en de mogelijkheid om toegang te krijgen tot gevoelige gegevens.

Intel® Xeon® Scalable-processors ondersteunen alleen op ECDSA gebaseerde attestation-oplossingen voor het extern attesteren van SGX-enclaves. Azure Attestation biedt ondersteuning voor validatie van Intel® Xeon® E3-processors en Intel® Xeon® Scalable-serverplatforms op basis van ECDSA.

Notitie

Voor het uitvoeren van attestation van Intel® Xeon® Scalable-serverplatforms op basis van processoren met behulp van Azure Attestation, wordt verwacht dat gebruikers Azure DCAP versie 1.10.0 of hoger installeren.

Enclave-attestation openen

Open Enclave (OE) is een verzameling van bibliotheken die gericht zijn op het maken van een enkelvoudige enclaving-abstractie voor ontwikkelaars voor het bouwen van op TEE gebaseerde toepassingen. Het biedt een universeel veilig app-model dat platformbijzonderheden minimaliseert. Microsoft beschouwt dit als een essentiële opstap voor democratisering van op hardware gebaseerde enclave-technologieën zoals SGX en het verhogen van hun opname op Azure.

OE standaardiseert specifieke vereisten voor de verificatie van een enclave-bewijs. Hiermee wordt OE gekwalificeerd als een uiterst aanpasbare Attestation-consument van Azure Attestation.

Azure Attestation wordt uitgevoerd in een TEE

Azure Attestation is essentieel voor vertrouwelijke computerscenario's, omdat het de volgende acties uitvoert:

  • Controleert of de enclave-bewijzen geldig zijn.
  • Evalueert het enclave-bewijs op basis van een door de klant gedefinieerd beleid.
  • Beheert en tenant-specifieke beleidsregels op.
  • Genereert en ondertekent een token dat wordt gebruikt door relying party's om te communiceren met de enclave.

Om Microsoft operationeel buiten de vertrouwde rekenbasis (TCB) te houden, worden kritieke bewerkingen van Azure Attestation, zoals prijsopgavevalidatie, tokengeneratie, beleidsevaluatie en tokenondertekening, verplaatst naar een SGX-enclave.

Waarom Azure Attestation gebruiken

Azure Attestation is de voorkeurskeuze voor het afleveren van TEEs omdat het de volgende voordelen biedt:

  • Geïntegreerd framework voor het attesteren van meerdere omgevingen, zoals TPM's, SGX-enclaves en VBS-enclaves.
  • Hiermee kunt u aangepaste attestation-providers en configuratie van beleid maken om het genereren van tokens te beperken.
  • Beschermt de gegevens tijdens gebruik met implementatie in een SGX-enclave of vertrouwelijke virtuele machine op basis van AMD SEV-SNP.
  • Service met hoge beschikbaarheid

Vertrouwensrelatie tot stand brengen met Azure Attestation

  1. Controleer of het attestation-token wordt gegenereerd door Azure Attestation - Attestation-token dat is gegenereerd door Azure Attestation, is ondertekend met behulp van een zelfondertekend certificaat. De URL voor handtekeningcertificaten wordt weergegeven via een OpenID-metagegevenseindpunt. Relying party kan het handtekeningcertificaat ophalen en handtekeningverificatie van het attestation-token uitvoeren. Zie codevoorbeelden voor meer informatie
  2. Controleer of Azure Attestation wordt uitgevoerd in een SGX-enclave : de certificaten voor tokenondertekening bevatten SGX-aanhalingstekens van de TEE waarin Azure Attestation wordt uitgevoerd. Als relying party liever controleert of Azure Attestation wordt uitgevoerd in een geldige SGX-enclave, kan de SGX-offerte worden opgehaald uit het handtekeningcertificaat en lokaal worden gevalideerd. Zie codevoorbeelden voor meer informatie
  3. Valideer de binding van de Azure Attestation SGX-offerte met de sleutel die het attestation-token heeft ondertekend. Relying party kan controleren of de hash van de openbare sleutel die het attestation-token heeft ondertekend, overeenkomt met het rapportgegevensveld van de Azure Attestation SGX-offerte. Zie codevoorbeelden voor meer informatie
  4. Controleer of azure Attestation-codemetingen overeenkomen met de gepubliceerde Azure-waarden : de SGX-offerte die is ingesloten in attestation-tokenondertekeningscertificaten bevat codemetingen van Azure Attestation, zoals MRSIGNER. Als relying party geïnteresseerd is om te valideren of de SGX-offerte deel uitmaakt van Azure Attestation die wordt uitgevoerd in Azure, kan de MRSIGNER-waarde worden opgehaald uit de SGX-offerte in het attestation-certificaat voor tokenondertekening en vergeleken met de waarde die is opgegeven door het Azure Attestation-team. Als u deze validatie wilt uitvoeren, dient u een aanvraag in op ondersteuning voor Azure pagina. Het Azure Attestation-team neemt contact met u op wanneer we de MRSIGNER willen draaien.

Mrsigner van Azure Attestation wordt naar verwachting gewijzigd wanneer certificaten voor ondertekening van code worden geroteerd. Het Azure Attestation-team volgt de onderstaande implementatieplanning voor elke mrsigner-rotatie:

i. Het Azure Attestation-team meldt de aanstaande MRSIGNER-waarde met een respijtperiode van twee maanden voor het aanbrengen van relevante codewijzigingen

ii. Na de respijtperiode van twee maanden gaat Azure Attestation de nieuwe MRSIGNER-waarde gebruiken

iii. Drie maanden na meldingsdatum stopt Azure Attestation met het gebruik van de oude MRSIGNER-waarde

Ondersteuning voor bedrijfscontinuïteit en herstel na noodgevallen (BCDR)

Met BCDR (Business Continuity and Disaster Recovery ) voor Azure Attestation kunt u serviceonderbrekingen beperken als gevolg van aanzienlijke beschikbaarheidsproblemen of noodgeval in een regio.

Clusters die in twee regio's zijn geïmplementeerd, werken onafhankelijk van elkaar onder normale omstandigheden. In het geval van een storing of uitval van één regio vindt het volgende plaats:

  • Azure Attestation BCDR biedt naadloze failover waarbij klanten geen extra stap hoeven te zetten om te herstellen.
  • Azure Traffic Manager voor de regio detecteert dat de statustest is gedegradeerd en schakelt het eindpunt over naar een gekoppelde regio.
  • Bestaande verbindingen werken niet en ontvangen interne serverfouten of time-outproblemen.
  • Alle besturingsvlak-bewerkingen worden geblokkeerd. Klanten kunnen geen attestation-providers maken in de primaire regio.
  • Alle bewerkingen van het gegevensvlak, inclusief attest-aanroepen en beleidsconfiguratie, worden geleverd door een secundaire regio. Klanten kunnen blijven werken aan gegevensvlakbewerkingen met de oorspronkelijke URI die overeenkomt met de primaire regio.

Volgende stappen