مشاركة عبر

إثبات

  • مقالة

تعد الحوسبة جزءا أساسيا من حياتنا اليومية، حيث تعمل على تشغيل كل شيء من هواتفنا الذكية إلى البنية التحتية الحيوية. ومع ذلك، فإن زيادة البيئات التنظيمية، وانتشار الهجمات الإلكترونية، وتزايد تطور المهاجمين جعلت من الصعب الثقة في أصالة وسلامة تقنيات الحوسبة التي نعتمد عليها. تعد المصادقة، وهي تقنية للتحقق من مكونات البرامج والأجهزة في النظام، عملية حاسمة لإنشاء وضمان أن تقنيات الحوسبة التي نعتمد عليها جديرة بالثقة.

في هذا المستند، نحن ننظر إلى ما هو التصديق وأنواع الإثبات التي تقدمها Microsoft اليوم، وكيف يمكن للعملاء استخدام هذه الأنواع من سيناريوهات التصديق في حلول Microsoft.

ما هو Attestation؟

في التصديق عن بعد، ينتج عن "نظير واحد ("المصدق") معلومات معقولة عن نفسه ("الأدلة") لتمكين نظير بعيد ("الطرف المعتمد") من تحديد ما إذا كان يعتبر هذا التصديق نظيرا جديرا بالثقة. يتم تسهيل إجراءات التصديق عن بعد من قبل طرف حيوي إضافي ("المدقق"). بعبارات أبسط، التصديق هو وسيلة لإثبات أن نظام الكمبيوتر جدير بالثقة. وللتحسين بشكل أفضل لما هو التصديق وكيف يعمل في الممارسة العملية، نقارن عملية الإثبات في الحوسبة بأمثلة واقعية مع جوازات السفر وفحوصات الخلفية. يتم توضيح التعريف والنماذج التي نستخدمها في هذا المستند في وثيقة هندسة إجراءات المصادقة عن بعد (RATs) الخاصة بفرقة عمل هندسة الإنترنت (IETF). لمعرفة المزيد، يرجى الاطلاع على فرقة عمل هندسة الإنترنت: هندسة إجراءات ATtestation البعيدة (RATs).

نموذج جواز السفر

نموذج جواز السفر - مكتب الهجرة

  1. يريد المواطن جواز سفر للسفر إلى بلد/منطقة أجنبية. يقدم المواطن متطلبات الأدلة إلى البلد/المنطقة المضيفة.
  2. يتلقى البلد/المنطقة المضيفة الأدلة على امتثال الفرد للسياسة ويتحقق مما إذا كانت الأدلة المقدمة تثبت أن الفرد يمتثل لسياسات إصدار جواز سفر.
    • شهادة الميلاد صالحة ولم يتم تغييرها.
    • مصدر شهادة الميلاد موثوق به
    • الفرد ليس جزءا من قائمة مقيدة
  3. إذا قرر البلد المضيف/المنطقة المضيفة أن الأدلة تفي بسياساتها، فإن البلد/المنطقة المضيفة ستصدر جواز سفر للمواطن.
  4. يسافر المواطن إلى دولة أجنبية، ولكن يجب أولا تقديم جواز سفره إلى وكيل دورية الحدود للبلد الأجنبي/المنطقة لتقييمه.
  5. يتحقق وكيل دورية الحدود في البلد/المنطقة الأجنبية من سلسلة من القواعد على جواز السفر قبل الوثوق به
    • جواز السفر أصلي ولم يتم تغييره.
    • تم إنتاج جواز السفر من قبل بلد/منطقة موثوق بها.
    • جواز السفر غير منتهي الصلاحية أو ملغى.
    • يتوافق جواز السفر مع سياسة التأشيرة أو متطلبات العمر.
  6. ويوافق وكيل الدوريات الحدودية للبلد/المنطقة الأجنبية على جواز السفر ويمكن للمواطن الدخول إلى البلد/المنطقة الأجنبية.

Diagram of remote attestation with the passport model for an immigration desk.

نموذج جواز السفر - الحوسبة

  1. تريد بيئة التنفيذ الموثوق بها (TEE)، والمعروفة باسم Attester، استرداد الأسرار من إدارة الأسرار، والمعروفة أيضا باسم جهة الاعتماد. لاسترداد البيانات السرية من إدارة الأسرار، يجب أن تثبت TEE أنها جديرة بالثقة وصادقة لمدير الأسرار. تقدم TEE أدلةها إلى مدقق لإثبات أنها جديرة بالثقة وحقيقية، والتي تتضمن تجزئة التعليمات البرمجية المنفذة، وتجزئة بيئة البناء الخاصة بها، والشهادة التي تم إنشاؤها بواسطة الشركة المصنعة لها.
  2. يقوم المدقق، وهو خدمة تصديق، بتقييم ما إذا كانت الأدلة المقدمة من TEE تفي بالمتطلبات التالية للوثوق بها.
    • الشهادة صالحة ولم يتم تغييرها.
    • مصدر الشهادة موثوق به
    • دليل TEE ليس جزءا من قائمة مقيدة
  3. إذا قرر المدقق أن الأدلة تفي بالسياسات المحددة، فسينشئ المدقق نتيجة التصديق ويمنحها إلى TEE.
  4. يريد TEE تبادل الأسرار مع مدير الأسرار، ولكن يجب أولا تقديم نتيجة التصديق الخاصة بهم إلى مدير الأسرار للتقييم.
  5. يتحقق مدير الأسرار من سلسلة من القواعد على نتيجة التصديق قبل الوثوق بها
    • نتيجة التصديق أصلية ولم يتم تغييرها.
    • تم إنتاج نتيجة التصديق من قبل سلطة موثوق بها.
    • لم تنته صلاحية نتيجة التصديق أو تم إبطالها.
    • تتوافق نتيجة التصديق مع نهج المسؤول المكون.
  6. يوافق مدير الأسرار على نتيجة التصديق ويتبادل الأسرار مع TEE.

Diagram of remote attestation with the passport model for computing.

نموذج التحقق من الخلفية

التحقق من الخلفية – التحقق من المدرسة

  1. يقوم الشخص بإجراء فحص خلفية مع صاحب عمل محتمل للحصول على وظيفة. يقدم الشخص خلفية تعليمه للمدرسة التي حضرها إلى صاحب العمل المحتمل.
  2. يسترد صاحب العمل خلفية التعليم من الشخص ويعيد توجيهها إلى المدرسة المعنية ليتم التحقق منها.
  3. تقيم المدرسة ما إذا كانت خلفية التعليم التي يقدمها الشخص تفي بسجلات المدرسة.
  4. تصدر المدرسة نتيجة تصديق تتحقق من تطابق خلفية تعليم الشخص مع سجلاته وإرسالها إلى صاحب العمل
  5. يمكن لصاحب العمل، المعروف باسم الطرف المعتمد، التحقق من سلسلة من القواعد على نتيجة التصديق قبل الوثوق بها.
    • نتيجة التصديق أصلية، ولم يتم تغييرها، وتأتي حقا من المدرسة.
    • تم إنتاج نتيجة التصديق من قبل مدرسة موثوق بها.
  6. يوافق صاحب العمل على نتيجة التصديق ويستأجر الشخص.

Diagram of remote attestation with the background check model for education background.

التحقق من الخلفية – الحوسبة

  1. تريد بيئة التنفيذ الموثوق بها (TEE)، والمعروفة باسم Attester، استرداد الأسرار من إدارة الأسرار، والمعروفة أيضا باسم جهة الاعتماد. لاسترداد الأسرار من إدارة الأسرار، يجب أن تثبت TEE أنها جديرة بالثقة وحقيقية. ترسل TEE دليلها إلى مدير الأسرار لإثبات أنها جديرة بالثقة وحقيقية، والتي تتضمن تجزئة التعليمات البرمجية المنفذة، وتجزئة بيئة البناء الخاصة بها، والشهادة التي أنشأتها الشركة المصنعة لها.
  2. يسترد مدير الأسرار الأدلة من TEE ويعيد توجيهها إلى المدقق للتحقق منها.
  3. تقيم خدمة التحقق ما إذا كانت الأدلة المقدمة من TEE تفي بمتطلبات النهج المحددة للوثوق بها.
    • الشهادة صالحة ولم يتم تغييرها.
    • مصدر الشهادة موثوق به.
    • لا تشكل أدلة TEE جزءا من قائمة مقيدة.
  4. ينشئ المدقق نتيجة تصديق ل TEE ويرسلها إلى مدير الأسرار.
  5. يتحقق مدير الأسرار من سلسلة من القواعد على نتيجة التصديق قبل الوثوق بها.
    • نتيجة التصديق أصلية ولم يتم تغييرها.
    • تم إنتاج نتيجة التصديق من قبل سلطة موثوق بها.
    • لم تنته صلاحية نتيجة التصديق أو تم إبطالها.
    • تتوافق نتيجة التصديق مع نهج المسؤول المكون.
  6. يوافق مدير الأسرار على نتيجة التصديق ويتبادل الأسرار مع TEE.

Diagram of remote attestation with the background check model for computing.

أنواع الإثبات

يمكن استخدام خدمات التصديق بطريقتين متميزتين يوفر كل منهما فوائده الخاصة.

موفر خدمة السحابة

في Microsoft، نقدم Microsoft Azure Attestation (MAA) كخدمة مواجهة للعملاء وإطار عمل للمصادقة على بيئات التنفيذ الموثوق بها (TEEs) مثل جيوب Intel Software Guard Extensions (SGX) وجيوب الأمان المستندة إلى الظاهرية (VBS) ووحدات النظام الأساسي الموثوق بها (TPMs) والتشغيل الموثوق به والأجهزة الظاهرية السرية. تشمل الفوائد من استخدام خدمة تصديق موفر السحابة مثل Azure Attestation،

  • متوفر مجانا
  • تتوفر التعليمات البرمجية المصدر للعملاء الحكوميين عبر أداة Microsoft Code Center Premium
  • يحمي البيانات أثناء الاستخدام عن طريق العمل داخل جيب Intel SGX.
  • يشهد على العديد من TEEs في حل واحد.
  • يقدم اتفاقية مستوى خدمة قوية (SLA)

إنشاء الخاص بك

يمكن للعملاء إنشاء آليات التصديق الخاصة بهم للثقة في البنية الأساسية للحوسبة الخاصة بهم من الأدوات التي يوفرها موفرو السحابة والأجهزة. قد يتطلب إنشاء عمليات التصديق الخاصة بك لحلول Microsoft استخدام إدارة هوية الأجهزة الموثوق بها (THIM)، وهو حل يتعامل مع إدارة ذاكرة التخزين المؤقت للشهادات لجميع بيئات التنفيذ الموثوق بها (TEE) الموجودة في Azure ويوفر معلومات قاعدة الحوسبة الموثوق بها (TCB) لفرض حد أدنى أساسي لحلول التصديق. تشمل الفوائد من بناء واستخدام خدمة التصديق الخاصة بك،

  • التحكم بنسبة 100٪ في عمليات التصديق لتلبية المتطلبات التنظيمية ومتطلبات الامتثال
  • تخصيص عمليات التكامل مع تقنيات الحوسبة الأخرى

سيناريوهات التصديق في Microsoft

هناك العديد من سيناريوهات التصديق في Microsoft التي تمكن العملاء من الاختيار بين موفر السحابة وإنشاء سيناريوهات خدمة التصديق الخاصة بك. لكل قسم، ننظر إلى عروض Azure وسيناريوهات التصديق المتاحة.

الأجهزة الظاهرية مع جيوب التطبيق

يتم تمكين الأجهزة الظاهرية مع Application Enclaves بواسطة Intel SGX، والذي يسمح للمؤسسات بإنشاء جيوب تحمي البيانات، والحفاظ على تشفير البيانات أثناء معالجة وحدة المعالجة المركزية للبيانات. يمكن للعملاء أن يشهدوا على جيوب Intel SGX في Azure باستخدام MAA ومن تلقاء أنفسهم.

الأجهزة الظاهرية السرية

يتم تمكين الأجهزة الظاهرية السرية بواسطة AMD SEV-SNP، ما يسمح للمؤسسات بالعزل المستند إلى الأجهزة بين الأجهزة الظاهرية، ورمز إدارة المضيف الأساسي (بما في ذلك برنامج hypervisor). يمكن للعملاء التصديق على أجهزتهم الظاهرية السرية المدارة في Azure باستخدام MAA ومن تلقاء أنفسهم.

حاويات سرية على مثيلات حاوية Azure

توفر الحاويات السرية على مثيلات حاوية Azure مجموعة من الميزات والقدرات لزيادة تأمين أحمال عمل الحاوية القياسية لتحقيق أمان أعلى للبيانات وخصوصية البيانات وأهداف تكامل التعليمات البرمجية لوقت التشغيل. تعمل الحاويات السرية في بيئة تنفيذ موثوق بها مدعومة بالأجهزة (TEE) توفر قدرات جوهرية مثل تكامل البيانات وسرية البيانات وتكامل التعليمات البرمجية.