Bewerken

Ontwerp van computerarchitectuur met meerdere partijen

Azure Blob Storage
Azure Kubernetes Service (AKS)
Azure SQL Database

Multiparty computing of privacy-behoud berekening stelt partijen in een zakelijke relatie in staat om gegevens te delen, berekeningen uit te voeren en tot een wederzijds resultaat te komen zonder hun persoonlijke gegevens bekend te maken. Azure-services kunnen u helpen bij het bouwen van een computeroplossing met meerdere partijen. De oplossing kan cloudresources en on-premises resources bevatten.

Computing met meerdere partijen heeft de volgende kenmerken:

  • Er is meer dan één bedrijf of organisatie betrokken.
  • De partijen zijn onafhankelijk.
  • De partijen vertrouwen elkaar niet met al hun gegevens.
  • Alle partijen hebben toegang tot een gemeenschappelijk platform voor computing en gegevensopslag.
  • Sommige processen moeten privé zijn voor sommige van de betrokken partijen.

Een toeleveringsketen is een voorbeeld van een werkstroom waarbij meerdere partijen betrokken zijn. Grondstoffen stromen van het punt van oorsprong naar de productie. Goederen van de fabrikant gaan via verzendpartners naar een distributiehub. Vanuit de hub worden goederen naar winkels verzonden.

Diagram toont een voortgang van leden van een toeleveringsketen als illustraties.

Dit proces zorgt dat bedrijven samenwerken. Tot deze partijen behoren de grondstoffenleverancier, de fabrikant, de scheepvaartbedrijven, magazijnexploitanten en de detailhandel. Het product wisselt meerdere keren van handen tijdens de toeleveringsketen. Verschillende partijen moeten het product in alle fasen volgen.

Computertechnologieën met meerdere partijen

Computing met meerdere partijen omvat verschillende technologieën waarmee partijen veilig transacties kunnen uitvoeren via een netwerk.

Diagram met grootboeken die worden geïmplementeerd als confidential computing, Azure Kubernetes Service, virtuele machines of partneraanbiedingen.

Een optie is gedistribueerde grootboeken. Blockchain is een voorbeeld. Blockchain is een gegevensboek dat kan worden gedeeld tussen onafhankelijke partijen waarbij alle partijen de gegevens op het grootboek vertrouwen. Transacties worden verzameld in blokken waarbij elk blok is gekoppeld aan het vorige blok. Sommige gedistribueerde grootboeken gebruiken geen blokken. Elke transactie kan worden gekoppeld aan de vorige transactie in het grootboek.

Een andere mogelijkheid voor computing met meerdere partijen maakt gebruik van met hardware beveiligd geheugen op de CPU zelf. Deze regio's, beveiligde enclaves genoemd, zijn cryptografisch beveiligd. Deze benadering betekent dat zelfs een bevoegde beheerder met volledige toegang tot de server het proces of de gegevens in deze beveiligde enclaves niet kan bekijken.

Omdat beveiligde enclaves de mogelijkheid hebben om zichzelf op afstand te bevestigen aan andere enclaves, kunt u een netwerk met meerdere organisaties ontwerpen waarin het systeem wordt uitgevoerd vanuit de enclaves. Deze benadering wordt de vertrouwde uitvoeringsomgeving genoemd.

Azure biedt een beheerde service met de naam Azure Confidential Ledger waarmee u een blockchain-model kunt uitvoeren op beveiligde enclaves.

Ten slotte kunt u kiezen voor een gecentraliseerd systeem, dat onveranderbaarheid en betrouwbaarheid biedt. Azure SQL Database-grootboek biedt het vertrouwen dat nodig is voor computing met meerdere partijen in een relationele database. Mogelijk hebt u geen gedecentraliseerde consensus nodig, maar alleen het onveranderbaarheidsaspect van het grootboek.

Blockchain-netwerkmodellen

Bekijk de volgende vragen om te bepalen of blockchain geschikt is voor een bedrijfsproces:

  • Overschrijdt dit bedrijfsproces vertrouwensgrenzen?
  • Delen en werken meerdere partijen gegevens bij?
  • Zijn er tussenpersonen die de enige bron van waarheid controleren?
  • Omvat het proces stappen voor handmatige verificatie met een lage waarde?

Als de antwoorden op deze vragen ja zijn, is het bedrijfsproces een goede kandidaat voor een blockchain-gebaseerde benadering. Zelfs als sommige antwoorden nee zijn, kan blockchain nog steeds zinvol zijn. Bekijk de andere computeropties voor meerdere partijen goed voordat u een beslissing neemt.

Er zijn verschillende soorten blockchainnetwerken om aan de behoeften van uw bedrijf te voldoen. Een kenmerk is de criteria voor deelname aan het netwerk. Als het netwerk voor iedereen is geopend, wordt het een openbaar blockchainnetwerk genoemd. U hoeft alleen de client te downloaden en deel te nemen. De meeste cryptovaluta's werken op deze manier.

Een alternatief is een gemachtigd blockchainnetwerk, waarbij u toestemming van de bestaande leden van het netwerk nodig hebt om lid te worden. Dit model werkt voor ondernemingen die te maken hebben met bekende organisaties. Een superstore wil bijvoorbeeld mogelijk een gesloten en gemachtigd blockchainnetwerk hebben voor de deelnemers aan de toeleveringsketen.

Voor een bedrijfsproces zijn mogelijk alleen manipulatiebestendige of manipulatie-evidente gegevens vereist, waarvoor geen blockchain nodig is. Als uw proces centraal kan worden uitgevoerd of als alle partijen elkaar vertrouwen met de gegevens, is blockchain mogelijk ook niet nodig.

Azure-computing met meerdere partijen

In deze sectie worden de opties voor computing met meerdere partijen beschreven die beschikbaar zijn met Behulp van Azure-services.

Blockchain met Azure Virtual Machines

U kunt grootboeksoftware uitvoeren met behulp van Azure Virtual Machines. Maak zoveel virtuele machines als u nodig hebt en verbind ze in een blockchainnetwerk.

Door uw eigen virtuele machines te implementeren, kunt u uw oplossing aanpassen. De aanpak omvat beheeroverhead, zoals updates, hoge beschikbaarheid en vereisten voor bedrijfscontinuïteit. Mogelijk hebt u meerdere organisaties en meerdere cloudaccounts. Het verbinden van de afzonderlijke knooppunten kan ingewikkeld zijn.

Er zijn implementatiesjablonen beschikbaar in Azure voor de meeste blockchain-grootboeken voor virtuele machines.

Blockchain in Kubernetes

Omdat de meeste blockchain-grootboeken implementatie in Docker-containers ondersteunen, kunt u Kubernetes gebruiken om de containers te beheren. Azure heeft een beheerde Kubernetes-aanbieding met de naam Azure Kubernetes Service (AKS) die u kunt gebruiken voor het implementeren en configureren van uw blockchain-knooppunten.

AKS-implementaties worden geleverd met een beheerde service voor de virtuele machines die het AKS-cluster van stroom voorzien. Uw organisatie moet echter nog steeds uw AKS-clusters en eventuele netwerk- of opslagopties in uw architectuur beheren.

Er zijn implementatiesjablonen beschikbaar in Azure voor de meeste blockchain-grootboeken voor AKS.

Blockchain as a Service

Azure ondersteunt services van derden die grootboeksoftware uitvoeren in Azure. De serviceprovider beheert de infrastructuur. Ze zorgen voor onderhoud en updates. Hoge beschikbaarheid en consortiumbeheer zijn opgenomen in de service.

ConsenSys biedt Quorum op Azure aan. Quorum is een opensource-protocollaag die ondersteuning biedt voor Ethereum-toepassingen.

Er kunnen in de toekomst andere aanbiedingen zijn.

Azure confidential ledger

Azure Confidential Ledger is een beheerde service die is gebouwd op het Confidential Consortium Framework. Het implementeert een gemachtigd blockchain-netwerk van knooppunten binnen Azure Confidential Computing. Confidential Ledger bouwt voort op bestaande versleuteling.

  • Bestaande versleuteling
    • Data-at-rest. Versleutel inactieve gegevens wanneer deze zijn opgeslagen in blobopslag of een database.
    • Gegevens die onderweg zijn. Versleutel gegevens die tussen openbare of particuliere netwerken stromen.
  • Confidential Computing
    • Gegevens in gebruik. Versleutel gegevens die in gebruik zijn, in het geheugen en tijdens de berekening.

Vertrouwelijke computing maakt versleuteling van gegevens in het hoofdgeheugen mogelijk. Met Confidential Computing kunt u gegevens uit meerdere bronnen verwerken zonder de invoergegevens beschikbaar te maken voor andere partijen. Dit type beveiligde berekening ondersteunt computerscenario's met meerdere partijen waarbij gegevensbescherming verplicht is in elke stap, zoals detectie van witwassen, fraudedetectie en veilige analyse van gegevens in de gezondheidszorg.

Gegevens die zijn opgeslagen in vertrouwelijk grootboek zijn onveranderbaar en manipulatiebestendig in het toevoegbare grootboek. Het grootboek is ook onafhankelijk controleerbaar. Confidential Ledger maakt gebruik van beveiligde enclaves voor een gedecentraliseerd blockchainnetwerk en vereist een minimale vertrouwde rekenbasis.

Azure SQL Database-grootboek

met Azure SQL Database-grootboek kunnen deelnemers de gegevensintegriteit van centraal geplaatste gegevens verifiëren zonder de netwerkconsensus van een blockchainnetwerk. Voor sommige gecentraliseerde oplossingen is vertrouwen belangrijk, maar gedecentraliseerde infrastructuur is niet nodig. Deze benadering voorkomt complexiteit en gevolgen voor de prestaties van een dergelijke infrastructuur.

Diagram met de architectuur van het database-grootboek.

Notitie

Azure SQL Database-grootboek is momenteel in openbare preview.

Grootboek biedt mogelijkheden voor manipulatie-bewijs voor uw database. Met deze mogelijkheden kunt u cryptografisch bevestigen dat er niet met uw gegevens is geknoeid.

Grootboek helpt gegevens te beschermen tegen aanvallers of gebruikers met hoge bevoegdheden, waaronder database-, systeem- en cloudbeheerders. Historische gegevens blijven behouden. Als een rij wordt bijgewerkt in de database, wordt de vorige waarde behouden in een geschiedenistabel. Dit biedt beveiliging zonder wijzigingen in de toepassing.

Grootboek is een functie van Azure SQL Database. Het kan worden ingeschakeld in elke bestaande Azure SQL Database.

Opties vergelijken

Vertrouwelijk grootboek en Azure SQL database grootboek

In deze tabel wordt vertrouwelijk grootboek vergeleken met Azure SQL Database-grootboek.

SQL Database grootboek Vertrouwelijk grootboek
Gecentraliseerd systeem dat manipulatie-bewijs vereist Ja Nee
Gedecentraliseerd systeem waarvoor gegevens manipulatiebestendig moeten zijn Nee Ja
Beveiligt relationele gegevens tegen manipulatie Ja Nee
Beschermt ongestructureerde gegevens tegen manipulatie Nee Ja
Buiten de keten opslaan van ketengegevens in een blockchain beveiligen Ja Nee
Beveiligd niet-ketenarchief voor bestanden waarnaar wordt verwezen vanuit een blockchain Nee Ja
Er kunnen query's worden uitgevoerd op relationele gegevens Ja Nee
Niet-gestructureerde opgeslagen gegevens kunnen worden opgevraagd Nee Ja

Vertrouwelijk grootboek en Azure Blob Storage

De onveranderbare opslagfunctie van Azure Blob Storage zorgt ervoor dat gegevens die ernaar worden geschreven, kunnen worden gelezen, maar nooit kunnen worden gewijzigd. In deze tabel wordt die technologie vergeleken met Vertrouwelijk grootboek.

Vertrouwelijk grootboek Onveranderbare opslag
Vertrouwelijke hardware-enclaves Ja Nee
Gegevensintegriteit alleen toevoegen Ja Ja, beperkt tot intervallen
Gegevensversleuteling in gebruik Ja Nee
Blockchain-grootboekbewijs Ja Nee

Beslissing over computergebruik met meerdere partijen

Dit diagram bevat een overzicht van de opties voor computing met meerdere partijen met Azure-services.

Diagram geeft een overzicht van de beslissingen voor het kiezen van een computeroptie met meerdere partijen.

Een Visio-bestand van deze architectuur downloaden.

Volgende stappen