Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W czasach transformacji cyfrowej integralność danych jest najważniejsza. Ponieważ firmy coraz częściej korzystają z decyzji opartych na danych, dokładność i bezpieczeństwo źródeł danych stają się krytyczne.
Poufny rejestr platformy Azure to wysoce bezpieczny niezmienny magazyn danych do zarządzania poufnymi rekordami danych. Usługa uosabia nasze zobowiązanie do bezpiecznego, niezawodnego i niezmiennego przechowywania danych.
Rejestr poufny oferuje możliwy do inspekcji magazyn danych z unikatowymi zaletami integralności danych. Te zalety obejmują niezmienność, weryfikację manipulacji i operacje tylko do dołączania. Rejestr poufny łączy techniki kryptograficzne i technologię łańcucha bloków.
Te funkcje są idealne, gdy krytyczne rekordy metadanych muszą mieć ich integralność chronioną, taką jak zgodność z przepisami i archiwizacja. Dane przechowywane w poufnym rejestrze pozostają rozszerzone i chronione przed zagrożeniami poufnymi w organizacji, w tym dostawcą usług w chmurze. Jest to również korzystne jako repozytorium dzienników inspekcji lub rekordów, które muszą być chronione i selektywnie udostępniane niektórym osobom (na przykład audytorom).
Poufny rejestr może chronić istniejące bazy danych i aplikacje, działając jako źródło prawdy do punktu w czasie dla skrótów i skrótów. Każda transakcja w rejestrze poufnym udostępnia weryfikacje kryptograficzne w scenariuszach weryfikacji. Na przykład dane usługi Azure SQL mogą być dodatkowo chronione pod względem integralności danych, gdzie skróty tabel lub dzienniki mogą być przechowywane w zaufanym rejestrze.
Aby uzyskać więcej informacji, możesz dowiedzieć się więcej na temat ochrony integralności źródła danych za pomocą poufnego rejestru platformy Azure lub obejrzeć pokaz poufnych rejestrów platformy Azure. Możesz również przeczytać ostatni blog na temat sposobu, w jaki zabezpieczenia sprzętowe platformy Azure są chronione za pośrednictwem poufnego rejestru platformy Azure.
Co należy przechowywać
Oto kilka przykładów rzeczy, które można przechowywać w wystąpieniu poufnego rejestru:
- Rekordy dotyczące transakcji biznesowych (na przykład przelewy pieniężne lub poufne zmiany dokumentów).
- Aktualizacje zaufanych zasobów (na przykład aplikacje podstawowe lub kontrakty).
- Zmiany administracyjne i kontrolne (na przykład udzielanie uprawnień dostępu).
- Zdarzenia operacyjne it i zabezpieczeń (na przykład alerty usługi Microsoft Defender for Cloud).
Przypadki użycia
- Mam dane relacyjne, które wymagają gwarancji integralności danych od początku do końca: Przechowuj dane w funkcji rejestru usługi Azure SQL Database i włącz poufny rejestr jako magazyn zaufanego szyfrowania.
- Mam dane blob, które wymagają integralności end-to-end: Przechowuj dane w usłudze Azure Blob Storage i skonfiguruj aplikację Azure Marketplace wspieraną przez poufny rejestr do przechowywania podpisów i weryfikowania względem nich.
- Mam rekordy systemowe , które wymagają ochrony integralności z weryfikowalnością: przechowuj rekordy bezpośrednio w poufnym rejestrze. Na przykład wszystkie rekordy programistyczne przechodzą do jednego poufnego wystąpienia rejestru i dzienniki produkcyjne przechodzą do innego wystąpienia. Jeśli chcesz przeprowadzić inspekcję, tylko selektywne udostępnianie poufnych transakcji rejestru audytorowi.
- Mam poufne dane transakcyjne , które wymagają poufności i ochrony integralności: przechowywanie rekordów aplikacji krytycznych danych poufnych bezpośrednio w poufnym rejestrze.
Włączanie integralności danych dla źródeł danych
Bazy danych SQL i systemy magazynowania są podstawą architektury danych przedsiębiorstwa. Rejestr poufny rozszerza te systemy, zapewniając dodatkową warstwę ochrony integralności. W przypadku baz danych SQL poufny rejestr może działać jako zewnętrzny rejestr, w którym zmiany i transakcje są rejestrowane i weryfikowane, co dodaje nowy wymiar zabezpieczeń i zaufania.
W przypadku usługi Blob Storage poufne rejestry zwiększają funkcje zabezpieczeń, zapewniając niezmienny dziennik operacji magazynu. Ten dziennik jest cenny dla celów zgodności z przepisami i archiwizacji, w których integralność danych w czasie ma kluczowe znaczenie.
Jak to działa
Poufny rejestr działa wyłącznie na zabezpieczonych enklawach opartych na sprzęcie. To intensywnie monitorowane i izolowane środowisko uruchomieniowe utrzymuje potencjalne ataki w ogóle. Rejestr poufny działa również w minimalistycznej bazie zaufanego przetwarzania (TCB). TCB zapewnia, że nikt, nawet Microsoft, nie jest "powyżej" rejestru.
Jak sugeruje nazwa, usługa poufnego rejestru korzysta z platformy Azure Confidential Computing i platformy Confidential Consortium Framework w celu udostępnienia rozwiązania o wysokiej integralności, które jest chronione przed naruszeniami i z widocznymi naruszeniami. Jeden rejestr obejmuje co najmniej trzy identyczne wystąpienia. Każde wystąpienie działa w dedykowanej, w pełni przetestowanej enklawie opartej na sprzęcie. Integralność wystąpienia poufnego rejestru jest utrzymywana za pośrednictwem łańcucha bloków opartego na konsensusie.
Kluczowe funkcje
Rejestr poufny uwidacznia interfejs REST, który ułatwia integrację z nowymi lub istniejącymi aplikacjami. Ponadto zestawy SDK w popularnych językach, takich jak .NET, Java, Python i JavaScript, są udostępniane w celu ułatwienia integracji.
Rejestr poufny obsługuje identyfikator kolekcji w celu łatwego zarządzania danymi. Grupowanie danych przy użyciu identyfikatorów kolekcji to doskonały sposób efektywnego zarządzania danymi i wykonywania zapytań o nie. Umożliwia łatwą identyfikację i pobieranie określonych zestawów danych. Ta metoda może znacznie zwiększyć organizację danych i usprawnić operacje, takie jak wyszukiwanie i aktualizowanie.
Każda transakcja w wystąpieniu rejestru poufnego ma skojarzone potwierdzenie, które rejestruje strukturę danych drzewa Merkle, która służy do weryfikowania integralności transakcji. Dowiedz się więcej na temat weryfikowania potwierdzeń transakcji.
Przechowywanie danych w poufnym rejestrze
Poufne dane rejestru są zapisywane w blokach, które są połączone i przechowywane w magazynie plików opartym na platformie Azure. Dane transakcji mogą być przechowywane zaszyfrowane (na przykład typ rejestru prywatnego) lub w postaci zwykłego tekstu (na przykład typu rejestru publicznego) w zależności od potrzeb.
Administratorzy mogą tworzyć poufne rejestry i zarządzać nimi za pomocą administracyjnych interfejsów API (płaszczyzny sterowania), na przykład, aby usunąć zasób lub przenieść go między grupami zasobów. Rejestr poufny udostępnia funkcjonalne interfejsy API (płaszczyznę danych) dla operacji danych, takich jak CREATE, UPDATE, PUT i GET.
Zabezpieczenia rejestru
Rejestr poufny obsługuje zarówno poświadczenia Microsoft Entra ID, jak i poświadczenia oparte na certyfikatach dla AuthN z niestandardową kontrolą dostępu opartą na rolach (RBAC) dla AuthZ. W przeciwieństwie do innych usług platformy Azure zarządzanie użytkownikami jest zlokalizowane. Innymi słowy, użytkownicy są przechowywani i zarządzani w rejestrze przy użyciu funkcjonalnych interfejsów API. Ten projekt zmniejsza TCB i eliminuje konieczność polegania na zewnętrznych systemach autoryzacji, takich jak kontrola dostępu oparta na rolach platformy Azure.
Rejestr poufny używa protokołu TLS 1.3 do nawiązywania połączenia klienta i wymiany danych. Połączenie kończy się wewnątrz sprzętowych enklaw zabezpieczeń (enklawy Intel SGX), co zapobiega atakowi typu man-in-the-middle.
Aplikacje są zachęcane do weryfikowania autentyczności węzłów rejestru przez uwierzytelnianie węzłów rejestru w celu ustanowienia zaufania przed wymianą danych. Ten proces gwarantuje, że węzły rejestru są autentyczne i nie działają złośliwie.
Odporność i ciągłość działania
Węzły rejestru poufnego są wdrażane w strefach dostępności platformy Azure w celu zapewnienia odporności. Sieć może samodzielnie leczyć się podczas przestojów w całej strefie. Aby zapewnić ciągłość działania, pliki w wystąpieniu poufnego rejestru są okresowo replikowane do pomocniczego konta magazynu. W przypadku awarii te pliki są używane do odzyskiwania. Ciągłe monitorowanie służy do obserwowania i automatycznego inicjowania procesów odzyskiwania, gdy kondycja poufnej instancji spadnie poniżej określonego progu.
Dane są automatycznie replikowane do par regionalnych platformy Azure na potrzeby odzyskiwania po awarii. Aby uzyskać informacje na temat zagadnień dotyczących rezydencji danych, zobacz Data residency for Azure confidential ledger (Rezydencja danych dla poufnego rejestru platformy Azure).
Ograniczenia
- Po utworzeniu wystąpienia rejestru poufnego nie można zmienić typu rejestru (prywatnego lub publicznego).
- Usunięcie poufnego rejestru prowadzi do "twardego usunięcia", więc nie można odzyskać danych po usunięciu.
- Nazwy poufnych rejestrów muszą być globalnie unikatowe. Rejestry o tej samej nazwie nie są dozwolone, niezależnie od ich typu.
Terminologia
| Termin | Definicja |
|---|---|
| ACL | Rejestr poufny platformy Azure. |
| Księga | Niezmienny rekord tylko do dołączania transakcji (znany również jako łańcuch bloków). |
| Zatwierdzenie | Potwierdzenie dołączenia transakcji do wystąpienia poufnego rejestru. |
| Przyjęcie | Dowód, że wystąpienie poufnego rejestru przetworzyło transakcję. |