Fluxo de Trabalho
O Atestado do Microsoft Azure recebe evidências de enclaves e avalia as evidências em relação à linha de base de segurança do Azure e às políticas configuráveis. Após a verificação bem-sucedida, o Atestado do Azure gera um token de atestado para confirmar a confiabilidade do enclave.
Os seguintes atores estão envolvidos em um fluxo de trabalho de Atestado do Azure:
- Terceira parte confiável: o componente que depende do Atestado do Azure para verificar a validade do enclave.
- Cliente: o componente que coleta informações de um enclave e envia solicitações para o Atestado do Azure.
- Atestado do Azure: o componente que aceita evidências de enclave do cliente, valida-as e retorna o token de atestado para o cliente
Fluxo de trabalho de validação do enclave Intel® Software Guard Extensions (SGX)
Aqui estão as etapas gerais em um fluxo de trabalho típico de atestado de enclave SGX (usando o Atestado do Azure):
- Cliente recolhe provas de um enclave. Evidência são informações sobre o ambiente do enclave e a biblioteca do cliente em execução dentro do enclave
- O cliente tem um URI que se refere a uma instância do Atestado do Azure. O cliente envia evidências para o Atestado do Azure. As informações exatas enviadas ao provedor dependem do tipo de enclave
- O Atestado do Azure valida as informações enviadas e as avalia em relação a uma política configurada. Se a verificação for bem-sucedida, o Atestado do Azure emitirá um token de atestado e o retornará ao cliente. Se esta etapa falhar, o Atestado do Azure relatará um erro ao cliente
- O cliente envia o token de atestado para a terceira parte confiável. A terceira parte confiável chama o ponto de extremidade de metadados de chave pública do Atestado do Azure para recuperar certificados de assinatura. Em seguida, a terceira parte confiável verifica a assinatura do token de atestado e garante a confiabilidade do enclave
Nota
Quando você envia solicitações de atestado na versão 2018-09-01-preview da API, o cliente precisa enviar evidências para o Atestado do Azure junto com o token de acesso do Microsoft Entra.
Fluxo de trabalho de validação do enclave TPM (Trusted Platform Module)
Aqui estão as etapas gerais em um fluxo de trabalho típico de atestado de enclave TPM (usando o Atestado do Azure):
- Na inicialização do dispositivo/plataforma, vários carregadores de inicialização e serviços de inicialização medem eventos apoiados pelo TPM e os armazenam com segurança como logs TCG. O cliente coleta os logs TCG do dispositivo e da cotação TPM, que atua como prova para atestado.
- O cliente autentica-se no Microsoft Entra ID e obtém um token de acesso.
- O cliente tem um URI, que se refere a uma instância do Atestado do Azure. O cliente envia a evidência e o token de acesso do Microsoft Entra para o Atestado do Azure. As informações exatas enviadas ao provedor dependem da plataforma.
- O Atestado do Azure valida as informações enviadas e as avalia em relação a uma política configurada. Se a verificação for bem-sucedida, o Atestado do Azure emitirá um token de atestado e o retornará ao cliente. Se esta etapa falhar, o Atestado do Azure relatará um erro ao cliente. A comunicação entre o cliente e o serviço de atestado é ditada pelo protocolo TPM de atestado do Azure.
- Em seguida, o cliente envia o token de atestado para a terceira parte confiável. A terceira parte confiável chama o ponto de extremidade de metadados de chave pública do Atestado do Azure para recuperar certificados de assinatura. Em seguida, a terceira parte confiável verifica a assinatura do token de atestado e garante a confiabilidade da plataforma.