Проверка подлинности узлов Конфиденциального реестра Azure

Примеры кода и пользователи могут проходить проверку подлинности узлов конфиденциального реестра Azure.

Примеры кода

При инициализации примеры кода получают сертификат узла, запрашивая службу удостоверений. Пример кода извлекает сертификат узла перед запросом к реестру, чтобы получить цитату, которая затем проверяется с помощью двоичных файлов проверки узла. Если проверка выполнена успешно, пример кода переходит к операциям реестра.

Пользователи

Пользователи могут проверить подлинность узлов конфиденциального реестра Azure, чтобы убедиться, что они действительно взаимодействуют с анклавами реестра. Установить доверие к узлам Конфиденциального реестра Azure можно несколькими способами, причем их можно сочетать, чтобы повысить общий уровень доверия. Таким образом, шаги 1 и 2 являются важными механизмами доверия для пользователей анклава конфиденциального реестра Azure в рамках первоначального подтверждения TLS и проверки подлинности в функциональных рабочих процессах. Кроме того, постоянное подключение клиента сохраняется между клиентом пользователя и конфиденциальным реестром.

1. Проверка узла конфиденциального реестра: узел конфиденциального реестра проверяется путем запроса службы удостоверений, размещенной корпорацией Майкрософт, которая предоставляет сертификат службы и таким образом помогает убедиться, что узел реестра содержит сертификат, утвержденный или подписанный сертификатом службы для этого конкретного экземпляра. Известный центр сертификации (ЦС) или промежуточный ЦС подписывает сертификат сервера с помощью ПРОТОКОЛА HTTPS на основе PKI. В случае конфиденциального реестра Azure сертификат ЦС возвращается службой удостоверений в виде сертификата службы. Если этот сертификат узла не подписан возвращенным сертификатом службы, подключение клиента должно завершиться ошибкой (как реализовано в примере кода).

2. Проверка анклава конфиденциального реестра: конфиденциальный реестр выполняется в анклаве Intel® SGX, представленном удаленным отчетом аттестации (или цитатой), большим двоичным объектом данных, созданным внутри этого анклава. Он может использоваться любой другой сущностью для проверки того, что цитата была создана в приложении, работающем под защитой Intel® SGX. В кавычках содержатся утверждения, которые помогают определить различные свойства анклава и запущенное приложение. В частности, он содержит хэш SHA-256 открытого ключа, содержащегося в сертификате узла конфиденциального реестра. Цитата узла конфиденциального реестра может быть получена путем вызова API функционального рабочего процесса.

Следующие шаги

• Общие сведения о Конфиденциальном реестре Microsoft Azure
• Архитектура Конфиденциального реестра Azure