BLOB ダイジェストを保存するマネージド アプリケーションを作成する

前提条件

• Azure Storage アカウント
• Azure CLI (省略可能)
• Azure SDK for Python でサポートされている Python バージョン (省略可能)

概要

Confidential Ledger によってサポートされる BLOB ストレージ ダイジェストのマネージド アプリケーションを使用すると、BLOB コンテナー内の BLOB が信頼され、改ざんされていないことを保証できます。 アプリケーションは、ストレージ アカウントに接続されると、ダイジェストを計算して Azure Confidential Ledger に保存するだけでなく、ストレージ アカウント内のすべてのコンテナーに追加されるすべての BLOB をリアルタイムで追跡します。 監査はいつでも実行でき、BLOB の有効性を確認して BLOB コンテナーが改ざんされていないことを確認できます。

マネージド アプリケーションの展開

マネージド アプリケーションは、Confidential Ledger によってサポートされる BLOB ストレージ ダイジェスト (プレビュー) の Azure Marketplace で見つけることができます。

作成するリソース

必要なフィールドが入力され、アプリケーションが展開されると、マネージド リソース グループの下に次のリソースが作成されます。

• Confidential Ledger
• セッション が有効になっている Service Bus キュー
• ストレージ アカウント (ダイジェスト ロジックと監査履歴の保存に使用されるパブリッシャー所有のストレージ アカウント)
• 関数アプリ
• Application Insights

マネージド アプリケーションへのストレージ アカウントの接続

マネージド アプリケーションが作成されたら、マネージド アプリケーションをストレージ アカウントに接続して、BLOB コンテナー ダイジェストの処理と Azure Confidential Ledger への記録を開始できます。

ストレージ アカウントのトピックとイベント サブスクリプションを作成する

マネージド アプリケーションは、Azure Service Bus キューを使用して、すべての BLOB 作成イベントを追跡および記録します。 マネージド アプリケーションによって管理対象リソース グループに作成されたキューを使用し、BLOB を作成するストレージ アカウントのイベント サブスクライバーとして追加します。

az eventgrid system-topic create \
--resource-group {resource_group} \
--name {sample_topic_name} \
--location {location} \
--topic-type microsoft.storage.storageaccounts \
--source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

ストレージ アカウントに必要なロールを追加します

マネージド アプリケーションでは、各 BLOB のハッシュを読み取って作成するための Storage Blob Data Owner ロールが必要です。ダイジェストを正しく計算するには、このロールを追加する必要があります。

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

BLOB とダイジェストの作成の追加

ストレージ アカウントがマネージド アプリケーションに適切に接続されると、ストレージ アカウント内のコンテナーへの BLOB の追加を開始できます。 BLOB はリアルタイムで追跡されます。ダイジェストは計算され Azure Confidential Ledger に保存されます。

トランザクション テーブルとブロック テーブル

すべての BLOB 作成イベントは、マネージド アプリケーション内に保存されている内部テーブルで追跡されます。

トランザクション テーブルには、各 BLOB に関する情報と、その BLOB のメタデータと内容の組み合わせを使用して生成される一意のハッシュが保持されます。

ブロック テーブルには、BLOB コンテナーに対して作成されるすべてのダイジェストに関連する情報が保持され、ダイジェストに関連付けられているトランザクション ID は Azure Confidential Ledger に保存されます。

ダイジェスト設定

マネージド アプリケーションの作成時に選択できるダイジェスト設定がいくつかあります。 ダイジェストの作成に使用する Hashing Algorithm は、MD5 でも SHA256 でも選択できます。 各ダイジェストまたは Digest Size に含まれる BLOB の数を選択することもできます。 ダイジェスト サイズは 1-16 の範囲であり、各ブロック内でまとめてハッシュされる BLOB の数です。 最後に、各ダイジェストを作成するときに、Hash Contents とハッシュされる内容を選択できます。 これは、各 BLOB の File Contents + Metadata でも、単なる File Contents でもかまいません。

Azure Confidential Ledger でのダイジェストの表示

Ledger Explorer ブレードに移動すると、Azure Confidential Ledger に直接保存されているダイジェストを表示できます。

監査の実行

コンテナーに追加された BLOB の有効性を確認して、改ざんされていないことを確認したい場合は、任意の時点に監査を実行できます。 監査では、すべての BLOB 作成イベントが再生され、監査中にコンテナーに保存されている BLOB でダイジェストが再計算されます。 次に、再計算されたダイジェストと Azure Confidential に保存されているダイジェストが比較され、すべてのダイジェスト比較と、BLOB コンテナーが改ざんされているかどうかを示すレポートが提供されます。

監査のトリガー

マネージド アプリケーションに関連付けられている Service Bus キューに次のメッセージを含めることで、監査をトリガーできます。

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

監査結果の表示

監査が正常に実行されると、監査の結果は、それぞれのストレージ アカウント内にある <managed-application-name>-audit-records という名前のコンテナーの下に見つかります。 結果には、再計算されたダイジェスト、Azure Confidential Ledger から取得されたダイジェスト、および BLOB が改ざんされているかどうかが含まれます。

マネージド アプリケーションを作成するときに、電子メール アラートをオプトインすると、選択されているオプションに応じて、Audit Failure または Audit Success and Failure の間に電子メールが送信されます。

ログ記録とエラー

エラー ログは、それぞれのストレージ アカウント内にある <managed-application-name>-error-logs という名前のコンテナーの下にあります。 BLOB 作成イベントまたは監査プロセスが失敗した場合、エラーの原因がこのコンテナーに記録されて保存されます。 エラー ログまたはアプリケーション機能に関する質問がある場合は、マネージド アプリケーションの詳細に記載されている Azure Confidential Ledger サポート チームにお問い合わせください。

マネージド アプリケーションをクリーンアップする

マネージド アプリケーションを削除して、関連付けられているすべてのリソースをクリーンアップおよび削除できます。 マネージド アプリケーションを削除すると、すべての BLOB トランザクションの追跡が停止され、すべてのダイジェストの作成が停止されます。 監査レポートは、削除前に追加された BLOB に対しては有効なままになります。

その他のリソース

マネージド アプリケーションと展開されたリソースの詳細については、次のリンクを参照してください。

• Managed Applications
• Azure サービス キュー セッション
• Azure Storage イベント

次のステップ

• Microsoft Azure Confidential Ledger の概要