Рабочий процесс

Аттестация Microsoft Azure получает свидетельство от анклавов и оценивает свидетельство с учетом базового уровня безопасности Azure и настраиваемых политик. После успешной проверки аттестация Azure создает маркер аттестации для подтверждения надежности анклава.

Рабочий поток аттестации Azure содержит такие субъекты:

• Проверяющая сторона: компонент, который использует Аттестация Azure для проверки действительности анклава.
• Клиент: компонент, который собирает сведения из анклава и отправляет запросы в Аттестация Azure.
• Аттестация Azure: компонент, принимаюющий доказательства анклава от клиента, проверяет его и возвращает маркер аттестации клиенту.

Рабочий процесс по проверке анклава Intel® Software Guard Extensions (SGX)

Ниже дано общее описание шагов типичного рабочего процесса аттестации анклава SGX (с использованием аттестации Azure).

1. Клиент собирает свидетельства из анклава. Доказательства — это сведения о среде анклава и клиентской библиотеке, работающей внутри анклава.
2. Клиент имеет универсальный код ресурса (URI), который ссылается на экземпляр Аттестация Azure. Клиент отправляет свидетельство в Аттестацию Azure. Точные сведения, отправленные поставщику, зависят от типа анклава
3. Аттестация Azure проверяет отправленные данные и оценивает их в соответствии с настроенной политикой. Если проверка завершается, аттестация Azure выдает маркер аттестации и возвращает его клиенту. Если этот шаг завершается ошибкой, Аттестация Azure сообщает об ошибке клиенту.
4. Клиент отправляет маркер аттестации проверяющей стороне. Проверяющая сторона вызывает конечную точку метаданных открытого ключа аттестации Azure для получения сертификатов подписи. Проверяющая сторона затем проверяет подпись маркера аттестации и гарантирует надежность анклава.

Примечание.

При отправке запросов аттестации в версии API 2018-09-01-preview клиент должен отправить доказательства Аттестация Azure вместе с маркером доступа Microsoft Entra.

Рабочий процесс проверки анклава доверенного платформенного модуля (TPM)

Ниже дано общее описание шагов типичного рабочего процесса аттестации анклава TPM (с использованием аттестации Azure):

1. На загрузке устройства или платформы различные загрузчики и службы загрузки измеряют события, поддерживаемые TPM, и безопасно хранят их в виде журналов TCG. Клиент собирает журналы TCG с устройства и цитаты TPM, которая действует для подтверждения аттестации.
2. Клиент проходит проверку подлинности в идентификаторе Microsoft Entra и получает маркер доступа.
3. Клиент имеет универсальный код ресурса (URI), который ссылается на экземпляр Аттестация Azure. Клиент отправляет доказательства и маркер доступа Microsoft Entra в Аттестация Azure. Точная информация, отправляемая поставщику, зависит от платформы.
4. Аттестация Azure проверяет отправленные данные и оценивает их в соответствии с настроенной политикой. Если проверка завершается, аттестация Azure выдает маркер аттестации и возвращает его клиенту. В случае сбоя на этом шаге аттестация Azure сообщает клиенту об ошибке. Обмен данными между клиентом и службой аттестации управляется протоколом TPM для аттестации Azure.
5. Клиент затем отправляет маркер аттестации проверяющей стороне. Проверяющая сторона вызывает конечную точку метаданных открытого ключа аттестации Azure для получения сертификатов подписи. Проверяющая сторона затем проверяет подпись маркера аттестации и гарантирует надежность платформы.

Следующие шаги

• Как создать и подписать файл политики аттестации
• Настройка службы "Аттестация Azure" с помощью PowerShell