Поделиться через

Использование доверенного платформенного модуля (TPM)/аттестации безопасности на основе виртуализации (VBS)

  • Статья

Аттестация может быть интегрирована в различные приложения и службы, обслуживая различные варианты использования. Аттестация Azure служба, которая действует в службе удаленной аттестации, может использоваться для требуемых целей путем обновления политики аттестации. Обработчик политик работает в качестве обработчика, который принимает входящие полезные данные в качестве доказательства и выполняет проверки, созданные в политике. Эта архитектура упрощает рабочий процесс и позволяет владельцу службы создавать решения для различных платформ и вариантов использования. Рабочий процесс остается таким же, как описано в рабочем процессе аттестации Azure. Политика аттестации должна быть создана в соответствии с необходимыми проверками.

Аттестация платформы имеет свои собственные проблемы. С различными компонентами загрузки и установки необходимо полагаться на аппаратный корневой корень доверия, который можно использовать для проверки первых шагов загрузки и расширения доверия к каждому уровню в вашей системе. Аппаратный TPM предоставляет такую привязку для решения удаленной аттестации. Аттестация Azure предоставляет высокомасштабируемое решение для оценки целостности загрузки и целостности среды выполнения с платформой отзыва, чтобы обеспечить полный контроль над аттестацией платформы.

Этапы аттестации

Программа установки аттестации имеет две настройки. Одна из них относится к настройке службы и одной из них, относящейся к настройке клиента.

Схема, показывающая различные взаимодействия для аттестации.

Дополнительные сведения см . в рабочем процессе аттестации Azure.

Настройка конечной точки службы

Настройка конечной точки службы — это первый шаг для выполнения любой аттестации. Настройка конечной точки может выполняться с помощью кода или с помощью портал Azure.

Вот как настроить конечную точку аттестации с помощью портала

  1. Необходимые условия: доступ к клиенту и подписке Microsoft Entra, в которой требуется создать конечную точку аттестации. Дополнительные сведения см. в клиенте Microsoft Entra.

  2. Создайте конечную точку в нужной группе ресурсов с нужным именем.

  3. Добавьте роль участника аттестации в удостоверение, ответственное за обновление политики аттестации.

  4. Настройте конечную точку с помощью требуемой политики.

Примеры политик можно найти в разделе политики.

Примечание.

Конечные точки доверенного платформенного модуля предназначены для подготовки без политики аттестации по умолчанию.

Настройка клиента

Клиент для взаимодействия с конечной точкой службы аттестации должен убедиться, что он соответствует протоколу, как описано в документации по протоколу. Используйте NuGet клиента аттестации, чтобы упростить интеграцию.

  1. Предварительные требования: для доступа к конечной точке доверенного платформенного модуля требуется удостоверение Microsoft Entra. Дополнительные сведения см. в разделе токенов удостоверений Microsoft Entra.
  2. Добавьте роль читателя аттестации в удостоверение, которое потребуется для проверки подлинности в конечной точке.

Выполнение рабочего процесса аттестации

Использование клиента для активации потока аттестации. Успешная аттестация приведет к отчету аттестации (закодированному токену JWT). Анализ токена JWT, содержимое отчета можно легко проверить в соответствии с ожидаемым результатом.

Ниже приведен пример содержимого отчета аттестации. Пример моментального снимка декодированного маркера для аттестации tpm.

Использование конечной точки метаданных Open ID содержит свойства, описывающие службу аттестации. Ключи подписывания описывают ключи, которые будут использоваться для подписывания маркеров, созданных службой аттестации. Все маркеры, созданные службой аттестации, будут подписаны одним из сертификатов, перечисленных в ключах подписи аттестации.

Следующие шаги