Základní koncepty
Níže najdete několik základních konceptů souvisejících s ověřením identity Microsoft Azure.
Webový token JSON (JWT)
Webový token JSON (JWT) je otevřená standardní metoda RFC7519 pro bezpečný přenos informací mezi stranami jako objekt JSON (JavaScript Object Notation). Tyto informace je možné ověřit a důvěřovat, protože jsou digitálně podepsané. JWT se dají podepsat pomocí tajného klíče nebo páru veřejného a privátního klíče.
Webový klíč JSON (JWK)
Webový klíč JSON (JWK) je datová struktura JSON, která představuje kryptografický klíč. Tato specifikace také definuje datovou strukturu JSON sady JWK, která představuje sadu sad JWKs.
Zprostředkovatel ověření identity
Poskytovatel ověření identity patří poskytovateli prostředků Azure s názvem Microsoft.Attestation. Poskytovatel prostředků je koncový bod služby, který poskytuje kontrakt REST pro ověření identity Azure a nasazuje se pomocí Azure Resource Manageru. Každý poskytovatel ověření identity respektuje konkrétní zjistitelnou zásadu. Zprostředkovatelé ověření identity se vytvoří s výchozí zásadou pro každý typ ověření identity (všimněte si, že enkláva VBS nemá žádné výchozí zásady). Další podrobnosti o výchozích zásadách pro SGX najdete v příkladech zásad ověření identity.
Žádost o ověření identity
Žádost o ověření identity je serializovaný objekt JSON odesílaný klientskou aplikací poskytovateli ověření identity. Objekt požadavku pro enklávu SGX má dvě vlastnosti:
- "Quote" – Hodnota vlastnosti "Quote" je řetězec obsahující base64URL kódovanou reprezentaci citace ověření identity.
- "EnclaveHeldData" – Hodnota vlastnosti "EnclaveHeldData" je řetězec obsahující base64URL kódované reprezentace Enclave Held Data.
Ověření identity Azure ověří zadanou "nabídku" a pak zajistí, že hodnota hash SHA256 poskytnutého enklávu uchovávané data se vyjadřuje v prvních 32 bajtech pole reportData v uvozovce.
Zásady ověřování identity
Zásady ověření identity se používají ke zpracování důkazů ověření identity a jsou konfigurovatelné zákazníky. Základem služby Azure Attestation je modul zásad, který zpracovává deklarace, které představují důkazy. Zásady se používají k určení, zda azure Attestation vydá token ověření identity na základě důkazů (nebo ne) a tím potvrdí attester (nebo ne). V důsledku toho selhání předání všech zásad způsobí, že se nevystaví žádný token JWT.
Pokud výchozí zásady poskytovatele ověření identity nevyhovují potřebám, zákazníci budou moct vytvářet vlastní zásady v libovolné oblasti podporované službou Azure Attestation. Správa zásad je klíčovou funkcí poskytovanou zákazníkům ověřením identity Azure. Zásady budou specifické pro typ ověření identity a dají se použít k identifikaci enkláv nebo přidání deklarací identity do výstupního tokenu nebo úpravě deklarací identity ve výstupním tokenu.
Podívejte se na příklady zásad ověření identity.
Výhody podepisování zásad
Zásady ověření identity nakonec určují, jestli bude token ověření identity vystavený službou Azure Attestation. Zásada také určuje deklarace identity, které se mají vygenerovat v tokenu ověření identity. Je proto nanejvýš důležité, aby zásady vyhodnocené službou byly ve skutečnosti zásady napsané správcem a nebyly manipulovány ani upraveny externími entitami.
Model důvěryhodnosti definuje autorizační model zprostředkovatele ověření identity, který definuje a aktualizuje zásady. Podporují se dva modely – jeden založený na autorizaci Microsoft Entra a jeden na základě vlastnictví kryptografických klíčů spravovaných zákazníkem (označovaný jako izolovaný model). Izolovaný model umožní ověření identity Azure, aby se zajistilo, že zásady odeslané zákazníkem nebudou manipulovány.
V izolovaném modelu správce vytvoří zprostředkovatele ověření identity, který v souboru určí sadu důvěryhodných podpisových certifikátů X.509. Správce pak může k poskytovateli ověření identity přidat podepsanou zásadu. Při zpracování žádosti o ověření identity ověří ověření identity Azure podpis zásady pomocí veřejného klíče reprezentovaný parametrem "jwk" nebo "x5c" v hlavičce. Ověření identity Azure také ověří, jestli je veřejný klíč v hlavičce požadavku v seznamu důvěryhodných podpisových certifikátů přidružených k poskytovateli ověření identity. Předávající strana (Azure Attestation) tak může důvěřovat zásadám podepsaným pomocí certifikátů X.509, o které ví.
Ukázky najdete v příkladech certifikátu podepisujícího zásad.
Token ověření identity
Odpověď azure Attestation bude řetězec JSON, jehož hodnota obsahuje JWT. Ověření identity Azure zabalí deklarace identity a vygeneruje podepsané JWT. Operace podepisování se provádí pomocí certifikátu podepsaného svým držitelem s názvem subjektu, který odpovídá prvku AttestUri zprostředkovatele ověření identity.
Rozhraní API pro získání metadat OpenID vrátí odpověď konfigurace OpenID určenou protokolem OpenID Připojení Discovery. Rozhraní API načte metadata o podpisových certifikátech, které používá služba Azure Attestation.
Podívejte se na příklady tokenu ověření identity.
Šifrování neaktivních uložených dat
Aby bylo zajištěno zabezpečení zákaznických dat, azure Attestation uchovává svá data ve službě Azure Storage. Azure Storage poskytuje šifrování neaktivních uložených dat při zápisu do datových center a dešifruje je pro zákazníky, kteří k němu mají přístup. K tomuto šifrování dochází pomocí šifrovacího klíče spravovaného Microsoftem.
Kromě ochrany dat v úložišti Azure využívá služba Azure Attestation k šifrování virtuálních počítačů služeb také službu Azure Disk Encryption (ADE). Pro ověřování identity Azure běžící v enklávě v důvěrných výpočetních prostředích Azure se rozšíření ADE v současné době nepodporuje. Pokud chcete zabránit ukládání dat v paměti, je v takových scénářích zakázaný stránkový soubor.
Na místních pevných discích instance Azure Attestation se neuchovávají žádná zákaznická data.