Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Im Zeitalter der digitalen Transformation ist die Datenintegrität von größter Bedeutung. Da Unternehmen zunehmend auf datengesteuerte Entscheidungen angewiesen sind, werden die Genauigkeit und Sicherheit ihrer Datenquellen kritisch.
Das vertrauliche Azure-Hauptbuch ist ein hochsicherer unveränderlicher Datenspeicher für die Verwaltung vertraulicher Datensätze. Der Dienst beschreibt unser Engagement für sichere, zuverlässige und unveränderliche Datenspeicher.
Confidential Ledger bietet einen auditierbaren Datenspeicher mit einzigartigen Vorteilen für die Datenintegrität. Zu diesen Vorteilen gehören Unveränderbarkeit, Manipulationssicherheit und Nur-Anhang-Operationen. Vertrauliches Sachbuch kombiniert kryptografische Techniken und Blockchain-Technologie.
Diese Features sind ideal, wenn wichtige Metadatendatensätze ihre Integrität schützen müssen, z. B. für behördliche Compliance- und Archivierungszwecke. Daten, die in einem vertraulichen Buchhaltungssystem gespeichert sind, bleiben datenschutzfreundlich und vor Insider-Bedrohungen innerhalb einer Organisation geschützt, einschließlich Bedrohungen durch den Cloudanbieter. Es ist auch von Vorteil als Repository für Prüfpfade oder Datensätze, die geschützt und selektiv mit bestimmten Personen (z. B. Prüfern) geteilt werden müssen.
Confidential Ledger kann bestehende Datenbanken und Anwendungen schützen, indem es als Point-in-Time-Quelle der Wahrheit für Digests und Hashes dient. Jede Transaktion in einem vertraulichen Hauptbuch stellt kryptografische Nachweise in Überprüfungsszenarien bereit. So lassen sich beispielsweise Ihre Azure SQL-Daten noch besser schützen, indem Tabellen-Digests oder Protokolle in Confidential Ledger gespeichert werden.
Weitere Informationen finden Sie unter Schutz der Integrität von Datenquellen mit Azure Confidential Ledger oder in einer Azure Confidential Ledger Demo. Sie können auch einen kürzlich veröffentlichten Blog dazu lesen, wie die Azure-Hardwaresicherheit über ein vertrauliches Azure-Hauptbuch geschützt ist.
Was zu speichern ist
Hier sind einige Beispiele für Dinge, die Sie in Ihrer Confidential Ledger-Instanz speichern können:
- Datensätze zu Geschäftstransaktionen (z. B. Geldüberweisungen oder Änderungen an vertraulichen Dokumenten)
- Änderungen an vertrauenswürdigen Ressourcen (z. B. Kernanwendungen oder Verträge)
- Änderungen an der Verwaltung und Steuerung (z. B. das Erteilen von Zugriffsberechtigungen)
- Operative IT- und Sicherheitsereignisse (z. B. Microsoft Defender für Cloud-Warnungen).
Anwendungsfälle
- Ich habe relationale Daten, die eine End-to-End-Datenintegritätsgarantie erfordern: Speichern Sie Ihre Daten in Azure SQL Database Ledger und schalten Sie den vertraulichen Ledger als Ihren Trusted Digest Store ein.
- Ich habe BLOB-Daten, die End-to-End-Integrität benötigen: Speichern Sie Ihre Daten in Azure Blob Storage, und konfigurieren Sie die Azure Marketplace-Anwendung, die durch ein vertrauliches Ledger unterstützt wird, um Signaturen zu speichern und zu überprüfen.
- Ich habe Systemdatensätze , die Integritätsschutz mit Prüfbarkeit benötigen: Speichern Sie Ihre Datensätze direkt in einem vertraulichen Sachbuch. Lassen Sie z.B. alle Datensätze aus der Entwicklung in eine Confidential Ledger-Instanz und die Produktionsprotokolle in eine andere Instanz gehen. Wenn Sie eine Prüfung durchführen möchten, teilen Sie nur selektiv vertrauliche Ledger-Transaktionen mit dem Prüfer.
- Ich habe vertrauliche Transaktionsdaten , die Vertraulichkeits- und Integritätsschutz benötigen: Speichern Sie die Anwendungsdatensätze Ihrer kritischen vertraulichen Daten direkt in einem vertraulichen Hauptbuch.
Aktivieren der Datenintegrität für Datenquellen
SQL-Datenbanken und -Speichersysteme sind grundlage für die Unternehmensdatenarchitektur. Das vertrauliche Sachbuch verbessert diese Systeme durch die Bereitstellung einer zusätzlichen Ebene des Integritätsschutzes. Bei SQL-Datenbanken kann das vertrauliche Sachbuch als externes Sachbuch fungieren, in dem Änderungen und Transaktionen aufgezeichnet und überprüft werden, wodurch eine neue Dimension von Sicherheit und Vertrauen hinzugefügt wird.
Für Blob Storage verbessert das Vertrauliche Hauptbuch die Sicherheitsmerkmale, indem es ein unveränderliches Protokoll der Speichervorgänge bereitstellt. Dieses Protokoll ist für behördliche Compliance- und Archivierungszwecke nützlich, bei denen die Datenintegrität im Laufe der Zeit von entscheidender Bedeutung ist.
Funktionsweise
Vertrauliches Ledger wird ausschließlich auf hardwaregestützten sicheren Enklaven ausgeführt. Diese stark überwachte und isolierte Laufzeitumgebung hält potenzielle Angriffe auf Abstand. Confidential Ledger wird außerdem auf einer minimalistischen Trusted Computing Base (TCB) ausgeführt. Die TCB stellt sicher, dass niemand, nicht einmal Microsoft, „über“ dem Ledger steht.
Wie der Name schon sagt, verwendet der vertrauliche Ledger-Dienst die Azure-Plattform für vertrauliches Computing und das Confidential Consortium Framework, um eine Lösung mit hoher Integrität bereitzustellen, die manipulationsgeschützt und manipulationsersichtlich ist. Ein Ledger erstreckt sich über drei oder mehr identische Instanzen. Jede Instanz wird in einer dedizierten, vollständig verifizierten, hardwaregestützten Enklave ausgeführt. Die Integrität der vertraulichen Ledger-Instanz wird über eine konsensbasierte Blockchain beibehalten.
Wichtigste Funktionen
Vertrauliches Sachbuch macht eine REST-Schnittstelle verfügbar, wodurch die Integration in neue oder vorhandene Anwendungen erleichtert wird. Außerdem werden SDKs in beliebten Sprachen wie .NET, Java, Python und JavaScript bereitgestellt, um die Integration zu unterstützen.
Vertrauliches Sachbuch unterstützt die Sammlungs-ID für eine einfache Datenverwaltung. Das Gruppieren von Daten mithilfe von Sammlungs-IDs ist eine hervorragende Möglichkeit zum effizienten Verwalten und Abfragen von Daten. Es ermöglicht eine einfache Identifizierung und Das Abrufen bestimmter Datasets. Diese Methode kann die Organisation der Daten erheblich verbessern und Vorgänge wie die Suche und Aktualisierung rationalisieren.
Jede Transaktion in der Confidential Ledger-Instanz hat einen zugehörigen Beleg, der den Datensatz der Merkle-Baum-Datenstruktur aufzeichnet, die zur Überprüfung der Integrität der Transaktion verwendet wird. Erfahren Sie mehr darüber, wie Sie Transaktionsbestätigungen überprüfen können.
Datenspeicherung in Confidential Ledger
Confidential Ledger-Daten werden in Blöcken geschrieben, die miteinander verkettet und in einem von Azure unterstützten File Storage gespeichert werden. Transaktionsdaten können je nach Ihren Anforderungen entweder verschlüsselt (z. B. privates Hauptbuch) oder im Klartext (z. B. öffentliches Hauptbuch) gespeichert werden.
Administratoren können mit administrativen APIs (Control-Plane) ein vertrauliches Ledger erstellen und verwalten, um beispielsweise eine Ressource zu löschen oder sie über Ressourcengruppen hinweg zu verschieben. Confidential Ledger bietet funktionale APIs (Datenebene) für Datenoperationen wie z. B. CREATE, UPDATE, PUT und GET.
Ledgersicherheit
Confidential Ledger unterstützt sowohl Microsoft Entra ID als auch zertifikatsbasierte Anmeldeinformationen für AuthN mit angepassten rollenbasierten Zugriffssteuerungen (RBAC) für AuthZ. Im Gegensatz zu anderen Azure-Diensten wird die Benutzerverwaltung lokalisiert. Mit anderen Worten, die Benutzer werden innerhalb des Ledgers mit Hilfe der funktionalen APIs gespeichert und verwaltet. Dieses Design reduziert den TCB und beseitigt die Notwendigkeit, sich auf externe Autorisierungssysteme wie Azure RBAC zu verlassen.
Confidential Ledger verwendet das TLS 1.3-Protokoll, um eine Client-Verbindung herzustellen und Daten auszutauschen. Die Verbindung endet innerhalb der hardwaregestützten Sicherheitsenklaven (Intel SGX-Enklaven), wodurch ein Man-in-the-Middle-Angriff verhindert wird.
Anwendungen sollten die Authentizität der Ledger-Knoten überprüfen, indem sie die Ledger-Knoten authentifizieren, um vor dem Datenaustausch Vertrauen herzustellen. Dieser Prozess stellt sicher, dass die Ledger-Knoten echt sind und keine bösartigen Absichten verfolgen.
Ausfallsicherheit und Geschäftskontinuität
Vertrauliche Ledger-Knoten werden in Azure-Verfügbarkeitszonen bereitgestellt, um Resilienz bereitzustellen. Das Netzwerk kann sich bei zonenweiten Ausfällen selbst heilen. Um die Geschäftskontinuität sicherzustellen, werden die Dateien in der vertraulichen Hauptbuchinstanz in regelmäßigen Abständen in ein sekundäres Speicherkonto repliziert. Wenn ein Notfall auftritt, werden diese Dateien für die Wiederherstellung verwendet. Kontinuierliche Überwachung wird verwendet, um Wiederherstellungsprozesse zu beobachten und automatisch zu initiieren, wenn die Integrität der vertraulichen Instanz unter einen angegebenen Schwellenwert fällt.
Daten werden automatisch in regionale Azure-Paare für die Notfallwiederherstellung repliziert. Informationen zu Überlegungen zur Datenresidenz finden Sie unter Datenresidenz für das vertrauliche Azure-Hauptbuch.
Einschränkungen
- Nachdem eine vertrauliche Hauptbuchinstanz erstellt wurde, können Sie den Hauptbuchtyp (privat oder öffentlich) nicht ändern.
- Das Löschen vertraulicher Konten führt zu einer "endgültigen Löschung", sodass Ihre Daten nach dem Löschen nicht wiederhergestellt werden können.
- Vertrauliche Ledger-Namen müssen weltweit eindeutig sein. Ledgers mit demselben Namen sind unabhängig von ihrem Typ nicht zulässig.
Begriff
| Begriff | Definition |
|---|---|
| ACL | Vertrauliches Azure-Hauptbuch. |
| Ledger | Ein unveränderlicher Datensatz von Transaktionen (auch Blockchain genannt), der nur im Anhang gespeichert wird. |
| Commit | Eine Bestätigung, dass eine Transaktion an die vertrauliche Instanz des Ledgers angehängt wurde. |
| Rechnung | Nachweis, dass die vertrauliche Hauptbuchinstanz eine Transaktion verarbeitet hat. |