Kanıtlama
Bilgi işlem, akıllı telefonlarımızdan kritik altyapıya kadar her şeyi güçlendiren günlük hayatımızın önemli bir parçasıdır. Bununla birlikte, yasal ortamların artması, siber saldırıların yaygınlığı ve saldırganların artan karmaşıklığı, bağımlı olduğumuz bilgi işlem teknolojilerinin orijinalliğine ve bütünlüğüne güvenmeyi zorlaştırdı. Bir sistemin yazılım ve donanım bileşenlerini doğrulama tekniği olan kanıtlama, güvendiğimiz bilgi işlem teknolojilerinin güvenilir olmasını sağlamak ve kurmak için kritik bir süreçtir.
Bu belgede kanıtlamanın ne olduğunu, Microsoft'un bugün sunduğu kanıtlama türlerini ve müşterilerin Microsoft çözümlerinde bu tür kanıtlama senaryolarını nasıl kullanabileceğini inceliyoruz.
Kanıtlama nedir?
Uzak kanıtlamada , "bir eş ("Attester"), uzak bir eşe ("Bağlı Olan Taraf") attester'in güvenilir bir eş olarak değerlendirilip dikkate alınmayacağına karar vermesine olanak tanımak için kendisi hakkında inandırıcı bilgiler ("Kanıt") üretir. Uzaktan kanıtlama prosedürleri ek bir hayati taraf ("Doğrulayıcı") tarafından kolaylaştırılır." Daha basit bir ifadeyle kanıtlama, bir bilgisayar sisteminin güvenilir olduğunu kanıtlamanın bir yoludur. Kanıtlamanın ne olduğu ve uygulamada nasıl çalıştığı hakkında daha iyi bir anlam ifade etmek için bilgi işlemdeki kanıtlama sürecini pasaportlar ve arka plan denetimleriyle gerçek hayattaki örneklerle karşılaştırıyoruz. Bu belgede kullandığımız tanım ve modeller, İnternet Mühendisliği Görev Gücü'nün (IETF) Uzak Kanıtlama yordamları (RAT) Mimarisi belgesinde özetlenmiştir. Daha fazla bilgi edinmek için bkz . Internet Engineering Task Force: Remote ATtestation procedureS (RATs) Architecture.
Passport Modeli
Pasaport Modeli - Göçmenlik Masası
- Vatandaş, yabancı bir ülkeye/bölgeye seyahat etmek için pasaport ister. Vatandaş, kanıt gereksinimlerini Ev Sahibi Ülke/Bölge'ye gönderir.
- Ev sahibi ülke/bölge, ilke uyumluluğu kanıtını bireyden alır ve sağlanan kanıtın, kişinin pasaport verilme ilkelerine uygun olduğunu kanıtlayıp doğrulamadığını doğrular.
- Doğum sertifikası geçerli ve değiştirilmedi.
- Doğum sertifikası verene güveniliyor
- Bireysel, kısıtlı bir listenin parçası değildir
- Konak Ülke/Bölge, kanıtın kendi politikalarına uygun olduğuna karar verirse, Ev Sahibi Ülke/Bölge bir Vatandaş için bir pasaport verir.
- Yurttaş yabancı bir ülkeye seyahat eder, ancak önce pasaportlarını değerlendirme için Yabancı Ülke/Bölge Sınır Devriye acentasına sunmalıdır.
- Yabancı Ülke/Bölge Sınır DevriyeSi Aracısı, pasaporta güvenmeden önce pasaportta bir dizi kuralı denetler
- Pasaport orijinaldir ve değiştirilmemiştir.
- Pasaport güvenilir bir ülke/bölge tarafından üretildi.
- Passport'un süresi dolmamış veya iptal edilmemiş.
- Pasaport, Vize veya yaş şartının politikasına uygundur.
- Yabancı Ülke/Bölge Sınır DevriyeSi Temsilcisi, Pasaport'un onayını alır ve Vatandaş Yabancı Ülkeye/Bölgeye girebilir.
Passport Modeli - Bilgi İşlem
- Attester olarak da bilinen Güvenilir Yürütme Ortamı (TEE), Bağlı Taraf olarak da bilinen Gizli Dizi Yöneticisi'nden gizli dizileri almak ister. Gizli Dizi Yöneticisi'nden gizli dizileri almak için, TEE'nin Gizli Dizi Yöneticisi için güvenilir ve orijinal olduğunu kanıtlaması gerekir. TEE, yürütülen kodunun karması, derleme ortamının karması ve üreticisi tarafından oluşturulan sertifikasını içeren güvenilir ve orijinal olduğunu kanıtlamak için kanıtını bir Doğrulayıcıya gönderir.
- Kanıtlama hizmeti olan Doğrulayıcı, TEE tarafından verilen kanıtın güvenilir olmak için aşağıdaki gereksinimleri karşılayıp karşılamadığını değerlendirir.
- Sertifika geçerli ve değiştirilmedi.
- Sertifikayı verene güveniliyor
- TEE kanıtı kısıtlı bir listenin parçası değil
- Doğrulayıcı, kanıtın tanımlı ilkelere uygun olduğuna karar verirse, Doğrulayıcı bir Kanıtlama Sonucu oluşturur ve bunu TEE'ye verir.
- TEE gizli dizileri Gizli Dizi Yöneticisi ile değiştirmek ister, ancak önce değerlendirme için Kanıtlama Sonucunu Gizli Dizi Yöneticisi'ne sunmalıdır.
- Gizli Dizi Yöneticisi, kanıtlama sonucuna güvenmeden önce bir dizi kuralı denetler
- Kanıtlama Sonucu orijinaldir ve değiştirilmemiştir.
- Kanıtlama Sonucu güvenilir bir yetkili tarafından oluşturuldu.
- Kanıtlama Sonucunun süresi dolmamış veya iptal edilmemiş.
- Kanıtlama Sonucu, yapılandırılan yönetici ilkesine uygundur.
- Gizli Dizi Yöneticisi Kanıtlama Sonucunu onaylar ve gizli dizileri TEE ile değiştirir.
Arka Plan Denetim Modeli
Arka Plan Denetimi – Okul Doğrulaması
- Bir Kişi, iş edinmek için olası bir İşveren ile arka plan denetimi yapıyor. Kişi, katıldığı Okulun eğitim geçmişini potansiyel İşveren'e gönderir.
- İşveren, eğitim geçmişini kişiden alır ve doğrulanması için ilgili Okula iletir.
- Okul, Kişi tarafından verilen eğitim geçmişinin Okul kayıtlarını karşılayıp karşılamadığını değerlendirir.
- Okul, Kişinin eğitim geçmişinin kayıtlarıyla eşleşip İşveren'e gönderdiğini doğrulayan bir Kanıtlama Sonucu veriyor
- Bağlı Taraf olarak da bilinen İşveren, kanıtlama sonucuna güvenmeden önce bir dizi kuralı denetleyebilir.
- Kanıtlama Sonucu orijinaldir, değiştirilmemiştir ve gerçekten Okuldan gelir.
- Kanıtlama Sonucu güvenilir bir Okul tarafından oluşturuldu.
- İşveren Kanıtlama Sonucunu onaylar ve Kişiyi işe alır.
Arka Plan Denetimi – Bilgi İşlem
- Attester olarak da bilinen Güvenilir Yürütme Ortamı (TEE), Bağlı Taraf olarak da bilinen Gizli Dizi Yöneticisi'nden gizli dizileri almak ister. Gizli Dizi Yöneticisi'nden gizli dizileri almak için, TEE'nin güvenilir ve orijinal olduğunu kanıtlaması gerekir. TEE, yürütülen kodunun karması, derleme ortamının karması ve üreticisi tarafından oluşturulan sertifikasını içeren güvenilir ve orijinal olduğunu kanıtlamak için gizli dizi yöneticisine kanıt gönderir.
- Gizli Dizi Yöneticisi kanıtı TEE'den alır ve doğrulanması için Doğrulayıcı'ya iletir.
- Doğrulayıcı hizmeti, TEE tarafından verilen kanıtın güvenilen ilke gereksinimlerini karşılayıp karşılamadığını değerlendirir.
- Sertifika geçerli ve değiştirilmedi.
- Sertifikayı verene güvenilir.
- TEE kanıtı kısıtlı bir listenin parçası değildir.
- Doğrulayıcı, TEE için bir Kanıtlama Sonucu oluşturur ve bunu Gizli Dizi Yöneticisi'ne gönderir.
- Gizli Dizi Yöneticisi, kanıtlama sonucuna güvenmeden önce bir dizi kuralı denetler.
- Kanıtlama Sonucu orijinaldir ve değiştirilmemiştir.
- Kanıtlama Sonucu güvenilir bir yetkili tarafından oluşturuldu.
- Kanıtlama Sonucunun süresi dolmamış veya iptal edilmemiş.
- Kanıtlama Sonucu, yapılandırılan yönetici ilkesine uygundur.
- Gizli Dizi Yöneticisi Kanıtlama Sonucunu onaylar ve gizli dizileri TEE ile değiştirir.
Kanıtlama Türleri
Kanıtlama hizmetleri, her birinin kendi avantajlarını sağlayan iki farklı şekilde kullanılabilir.
Bulut Sağlayıcısı
Microsoft'ta, müşteriye yönelik hizmet olarak Microsoft Azure Doğrulama (MAA) ve Intel Software Guard Uzantıları (SGX) kuşatmaları, sanallaştırma tabanlı güvenlik (VBS) kuşatmaları, Güvenilen Platform Modülleri (TPM), Güvenilen Başlatma ve Gizli Sanal Makineler gibi Güvenilen Yürütme Ortamlarını (TEE) kanıtlamaya yönelik bir çerçeve sunuyoruz. Azure Doğrulama dahil olmak üzere bulut sağlayıcısının kanıtlama hizmetini kullanmanın avantajları,
- Serbestçe kullanılabilir
- Kaynak kodu, Microsoft Code Center Premium Tool aracılığıyla kamu müşterileri tarafından kullanılabilir
- Intel SGX kapanım içinde çalışarak kullanımdayken verileri korur.
- Tek bir çözümde birden çok TEE'nin testini alır.
- Güçlü bir Hizmet Düzeyi Sözleşmesi (SLA) sunar
Kendi Uygulamanızı Oluşturun
Müşteriler, bulut ve donanım sağlayıcıları tarafından sağlanan araçlardan bilgi işlem altyapılarına güvenmek için kendi kanıtlama mekanizmalarını oluşturabilir. Microsoft çözümleri için kendi kanıtlama süreçlerinizi oluşturmak için, Azure'da bulunan tüm güvenilen yürütme ortamları (TEE) için sertifikaların önbellek yönetimini işleyen ve kanıtlama çözümleri için en düşük temeli zorlamak üzere güvenilir bilgi işlem tabanı (TCB) bilgileri sağlayan Güvenilir Donanım Kimlik Yönetimi (THIM) çözümünün kullanılması gerekebilir. Kendi kanıtlama hizmetinizi oluşturmanın ve kullanmanın avantajları şunlardır:
- Mevzuat ve uyumluluk gereksinimlerini karşılamak için kanıtlama süreçleri üzerinde %100 denetim
- Diğer bilgi işlem teknolojileriyle tümleştirmelerin özelleştirilmesi
Microsoft'ta Kanıtlama Senaryoları
Microsoft'ta müşterilerin Bulut Sağlayıcısı ve Kendi kanıtlama hizmetinizi oluşturun senaryoları arasında seçim yapmasına olanak tanıyan birçok kanıtlama senaryosu vardır. Her bölüm için Azure tekliflerini ve kullanılabilir kanıtlama senaryolarını gözden geçiririz.
Uygulama Kuşatmalarına sahip VM'ler
Uygulama Kuşatmalarına sahip VM'ler , kuruluşların verileri koruyan kuşatmalar oluşturmasına ve CPU verileri işlerken verileri şifrelenmiş tutmasına olanak tanıyan Intel SGX tarafından etkinleştirilir. Müşteriler Azure'daki Intel SGX kuşatmalarını MAA ile ve kendi kendilerine doğrulayabilir.
- Intel SGX Kanıtlama Giriş Sayfası
- Bulut Sağlayıcısı: MAA ile Intel SGX Örnek Kod Kanıtlama
- Kendi Derlemenizi Oluşturun: Enclave Kanıtlamayı Açın
Gizli Sanal Makineler
Gizli Sanal Makineler, kuruluşların sanal makineler ve temel konak yönetim kodu (hiper yönetici dahil) arasında donanım tabanlı yalıtıma sahip olmasını sağlayan AMD SEV-SNP tarafından etkinleştirilir. Müşteriler, MaA ile Azure'da yönetilen gizli sanal makinelerini kendi kendilerine doğrulayabilir.
- Gizli VM'ler Kanıtlama Giriş Sayfası
- Bulut Sağlayıcısı: Gizli VM'ler için konuk kanıtlama nedir?
- Kendi Raporunuzu Oluşturun: Ham AMD SEV-SNP raporunu kendiniz getirme ve doğrulama
Azure Container Instances'ta Gizli Kapsayıcılar
Azure Container Instances'taki Gizli Kapsayıcılar , daha yüksek veri güvenliği, veri gizliliği ve çalışma zamanı kod bütünlüğü hedeflerine ulaşmak için standart kapsayıcı iş yüklerinizin güvenliğini daha da sağlamak için bir dizi özellik ve özellik sağlar. Gizli kapsayıcılar, veri bütünlüğü, veri gizliliği ve kod bütünlüğü gibi iç özellikler sağlayan donanım destekli Güvenilir Yürütme Ortamı'nda (TEE) çalışır.