En este artículo se responden las preguntas más frecuentes sobre El libro de contabilidad confidencial de Azure.
General
¿Cómo puedo saber si el servicio de libro de contabilidad confidencial de Azure sería útil para mi organización?
Azure Confidential Ledger es ideal para las organizaciones con registros lo suficientemente valiosos como para que un atacante motivado intente poner en peligro el registro o el sistema de almacenamiento subyacente, incluidos los escenarios "internos" en los que un empleado no autorizado podría intentar falsificar, modificar o quitar registros anteriores.
¿Qué hace que el libro de contabilidad confidencial de Azure sea mucho más seguro?
Como su nombre sugiere, el libro de contabilidad utiliza la plataforma De computación confidencial de Azure y confidential Consortium Framework para proporcionar una solución de alta integridad protegida y evidente. Una instancia de Ledger abarca tres o más instancias idénticas, donde cada una se ejecuta en un enclave con respaldo de hardware dedicado y totalmente atestiguado. La integridad de Ledger se mantiene gracias a una cadena de bloques basada en consenso.
Al escribir en el libro de contabilidad confidencial de Azure, ¿es necesario almacenar recibos de escritura?
No necesariamente. En la actualidad, algunas soluciones requieren que los usuarios mantengan recibos de escritura para la validación futura del registro. Esto requiere que los usuarios administren esos recibos en una instalación de almacenamiento segura, lo que supone una carga adicional. El libro de contabilidad elimina este desafío a través de un enfoque basado en árboles de Merkle, donde los recibos de escritura incluyen una ruta de acceso de árbol completa a una raíz de confianza firmada. Los usuarios pueden comprobar las transacciones sin almacenar ni administrar ningún dato de libro de contabilidad.
¿Cómo puedo comprobar la autenticidad del libro de contabilidad?
Puede comprobar que los nodos del servidor de libro de contabilidad con los que se comunica el cliente son auténticos. Para más información, consulte Autenticación de nodos de libro de contabilidad confidencial.
¿Se podría poner en peligro la comunicación entre un cliente y una ACL, ya que Azure controla tls entre el cliente y la ACL?
La conexión TLS se establece entre un cliente y un nodo específico que se ejecuta dentro de un enclave. A medida que la conexión finaliza dentro del enclave, ni los administradores de Azure ni nadie más tienen acceso a los datos del enclave en virtud de la seguridad proporcionada por el hardware especializado de Intel SGX.
¿La ACL ofrece consultas en atributos distintos del identificador de recibo o transacción?
Además de consultar con el identificador de recibo o transacción, la ACL ofrece la funcionalidad de consulta histórica para leer los datos de Genesis(o dentro de un intervalo) para una clave específica mediante el identificador de colección (también denominado identificador de sub ledger). Además, las versiones preliminares más recientes agregan la capacidad de escribir y consultar datos mediante etiquetas que se pueden considerar como claves dentro de una colección. Nos interesaría saber qué otros atributos serían útiles para realizar consultas, ya que estamos recopilando entradas para nuestra hoja de ruta del producto.
¿Los datos del disco se cifran por separado? Si es así, ¿dónde se almacenan las claves?
Al almacenar datos en el libro de contabilidad, puede elegir la opción pública o privada. La opción pública no está cifrada; texto sin formato y una buena opción para determinados casos de uso que requieren un uso de libro de contabilidad auditable y evidente para alteraciones. Sin embargo, la opción privada está cifrada. Los datos se cifran mediante tres niveles de cifrado (es decir, secretos de libro de contabilidad, clave de ajuste de secretos de libro de contabilidad y recursos compartidos de claves de recuperación), que se explica detalladamente aquí.
¿Dónde se almacenan y replican mis datos?
Azure Confidential Ledger replica automáticamente los datos en pares regionales de Azure para la recuperación ante desastres y la alta disponibilidad. Al crear un libro de contabilidad en una región específica (como Oeste de EE. UU.), el servicio replica automáticamente los datos en su región emparejada (como Este de EE. UU.). Este comportamiento de replicación no se puede modificar ni deshabilitar. Para las organizaciones con requisitos estrictos de residencia de datos, asegúrese de que las regiones primarias y emparejadas cumplen los requisitos normativos y de cumplimiento. Para más información, consulte Residencia de datos para Azure Confidential Ledger.
Administrar usuarios
¿Cómo puedo administrar usuarios en un libro de contabilidad?
Puede administrar usuarios en un libro de contabilidad a través del portal o uno de los SDK disponibles: python, .NET o Java.
¿Puede Microsoft ayudarme a administrar usuarios en un libro de contabilidad que he creado?
No. Una vez creado un libro de contabilidad, Microsoft no tiene acceso a la administración de usuarios.
He creado un libro de contabilidad sin un administrador. ¿Puedo agregar usuarios?
Si crea un libro de contabilidad sin un administrador, el AAD/cert obtiene derechos de administrador. Esa identidad se puede usar para administrar el libro de contabilidad.