Partilhar via


Autenticando nós de razão confidenciais do Azure

Exemplos de código e usuários podem autenticar nós de razão confidenciais do Azure.

Amostras de código

Ao inicializar, os exemplos de código obtêm o certificado do nó consultando o Serviço de Identidade. O exemplo de código recupera o certificado do nó antes de consultar o livro-razão para obter uma cotação, que é validada usando os binários do Host Verify. Se a verificação for bem-sucedida, o exemplo de código prosseguirá para as operações do livro-razão.

Utilizadores

Os usuários podem validar a autenticidade dos nós de razão confidenciais do Azure para confirmar que eles estão realmente fazendo interface com o enclave do livro-razão. Você pode criar confiança nos nós de razão confidenciais do Azure de algumas maneiras, que podem ser empilhadas umas nas outras para aumentar o nível geral de confiança. Como tal, as etapas 1 e 2 são importantes mecanismos de criação de confiança para os usuários do enclave de razão confidencial do Azure como parte do handshake e autenticação TLS iniciais em fluxos de trabalho funcionais. Além disso, uma conexão de cliente persistente é mantida entre o cliente do usuário e o livro razão confidencial.

  1. Validação de um nó de razão confidencial: um nó de razão confidencial é validado consultando o serviço de identidade hospedado pela Microsoft, que fornece um certificado de serviço e, portanto, ajuda a verificar se o nó razão está apresentando um certificado endossado/assinado pelo certificado de serviço para essa instância específica. Uma autoridade de certificação (CA) conhecida ou uma autoridade de certificação intermediária assina o certificado de um servidor usando HTTPS baseado em PKI. No caso do livro razão confidencial do Azure, o certificado da autoridade de certificação é retornado pelo Serviço de Identidade na forma do certificado de serviço. Se esse certificado de nó não for assinado pelo certificado de serviço retornado, a conexão do cliente deverá falhar (conforme implementado no código de exemplo).

  2. Validação de um enclave de razão confidencial: um livro-razão confidencial é executado em um enclave Intel® SGX representado por um relatório de atestado remoto (ou cotação), um blob de dados gerado dentro desse enclave. Ele pode ser usado por qualquer outra entidade para verificar se a cotação foi produzida a partir de um aplicativo executado com proteções Intel® SGX. A citação contém declarações que ajudam a identificar várias propriedades do enclave e do aplicativo que ele está executando. Em particular, ele contém o hash SHA-256 da chave pública contida no certificado do nó contábil confidencial. A cotação de um nó de razão confidencial pode ser recuperada chamando uma API de fluxo de trabalho funcional. A cotação recuperada pode então ser validada seguindo as etapas descritas aqui.

Próximos passos