Udostępnij za pośrednictwem


Microsoft Azure Confidential Ledger

Microsoft Azure Confidential Ledger (ACL) to nowa, wysoce bezpieczna usługa do zarządzania poufnymi rekordami danych. Działa wyłącznie na zabezpieczonych enklawach opartych na sprzęcie, silnie monitorowanym i izolowanym środowisku uruchomieniowym, które utrzymuje potencjalne ataki w ogóle. Ponadto, usługa Azure Confidential Ledger działa na minimalistycznej bazie poufnego przetwarzania (TCB, Trusted Computing Base), która zapewnia, że nikt — nawet firma Microsoft — nie ma kontroli nad rejestrem.

Jak sugeruje jej nazwa, poufny rejestr platformy Azure wykorzystuje platformę Azure Confidential Computing i platformę Confidential Consortium Framework , aby zapewnić rozwiązanie o wysokiej integralności, które jest chronione przed naruszeniami i jest widoczne. Jeden rejestr obejmuje trzy lub więcej identycznych wystąpień, z których każdy działa w dedykowanej, w pełni sprawdzonej enklawie opartej na sprzęcie. Integralność rejestru jest utrzymywana za pośrednictwem łańcucha bloków opartego na konsensusie.

Usługa Azure Confidential Ledger oferuje unikatowe zalety dotyczące integralności danych, takie jak niezmienność, zabezpieczenia przed manipulacjami oraz operacje umożliwiające tylko dołączanie. Te funkcje, które zapewniają nienaruszalność wszystkich rekordów, są idealne, gdy nie wolno modyfikować krytycznych rekordów metadanych, na przykład na potrzeby zgodności z przepisami i archiwizacji.

Oto kilka przykładów rzeczy, które można przechowywać w rejestrze:

  • Rekordy dotyczące transakcji biznesowych (na przykład przelewy pieniężne lub poufne zmiany dokumentów).
  • Aktualizacje zaufanych zasobów (na przykład aplikacje podstawowe lub kontrakty).
  • Zmiany administracyjne i kontrolne (na przykład udzielanie uprawnień dostępu).
  • Operacyjne zdarzenia it i zabezpieczeń (na przykład alerty Microsoft Defender dla Chmury).

Aby uzyskać więcej informacji, możesz obejrzeć pokaz poufnych rejestrów platformy Azure.

Najważniejsze funkcje    

Rejestr poufny jest ujawniany za pośrednictwem interfejsów API REST, które można zintegrować z nowymi lub istniejącymi aplikacjami. Administratorzy mogą zarządzać poufnym rejestrem za pomocą administracyjnych interfejsów API (płaszczyzny sterowania). Rejestr poufny może być również wywoływany bezpośrednio przez kod aplikacji za pomocą funkcjonalnych interfejsów API (płaszczyzny danych). Interfejsy API administracyjne obsługują podstawowe operacje, takie jak tworzenie, aktualizowanie, pobieranie i usuwanie. Interfejsy API funkcjonalne umożliwiają bezpośrednią interakcję z wystąpieniem rejestru i obejmują operacje, takie jak umieszczanie i pobieranie danych.

Zabezpieczenia rejestru

Interfejsy API rejestru obsługują proces uwierzytelniania opartego na certyfikatach z rolami właściciela, a także uwierzytelnianiem opartym na identyfikatorze Firmy Microsoft, a także dostępem opartym na rolach (na przykład właścicielem, czytelnikiem i współautorem).

Dane do rejestru są wysyłane za pośrednictwem połączenia TLS 1.3, a połączenie TLS 1.3 kończy się wewnątrz sprzętowych enklaw zabezpieczeń wspieranych przez sprzęt (enklawy Intel® SGX), zapewniając, że nikt nie może przechwycić połączenia między klientem klienta klienta i poufnymi węzłami serwera rejestru.

Magazyn rejestru

Poufne rejestry są tworzone jako bloki w kontenerach magazynu obiektów blob należących do konta usługi Azure Storage. Dane transakcji mogą być przechowywane w postaci zaszyfrowanej lub w postaci zwykłego tekstu w zależności od potrzeb.

Administratorzy mogą zarządzać poufnym rejestrem za pomocą administracyjnych interfejsów API (płaszczyzny sterowania), a poufny rejestr może być wywoływany bezpośrednio przez kod aplikacji za pomocą funkcjonalnych interfejsów API (Płaszczyzna danych). Interfejsy API administracyjne obsługują podstawowe operacje, takie jak tworzenie, aktualizowanie, pobieranie i usuwanie.

Interfejsy API funkcjonalne umożliwiają bezpośrednią interakcję z wystąpieniem poufnego rejestru i obejmują operacje, takie jak umieszczanie i pobieranie danych.

Ograniczenia

  • Po utworzeniu poufnego rejestru nie można zmienić typu rejestru (prywatnego lub publicznego).
  • Usunięcie poufnego rejestru platformy Azure prowadzi do "twardego usunięcia", więc dane nie będą możliwe do odzyskania po usunięciu.
  • Nazwy poufnych rejestrów platformy Azure muszą być globalnie unikatowe. Rejestry o tej samej nazwie, niezależnie od ich typu, są niedozwolone.

Terminologia

Termin Definicja
ACL Poufny rejestr platformy Azure
Księga Niezmienny rekord tylko do dołączania transakcji (znany również jako łańcuch bloków)
Zatwierdzenie Potwierdzenie dołączenia transakcji do rejestru.
Przyjęcie Dowód, że rejestr przetworzył transakcję.

Następne kroki