Поделиться через

Пользовательское применение базовых показателей TCB для аттестации SGX (предварительная версия)

  • Статья

Microsoft Аттестация Azure — это единое решение для проверки различных типов доверенных сред выполнения (TEEs), таких как анклавы Intel® Software Guard (SGX). При проверке анклавов SGX Аттестация Azure проверяет доказательства на основе базовых показателей доверенной вычислительной базы Azure по умолчанию (TCB). Базовые показатели TCB по умолчанию предоставляются службой Azure с именем Trusted Hardware Identity Management (THIM) и включает в себя список отзыва сертификатов Intel, сертификаты Intel, сведения о доверенной вычислительной базе (TCB) и удостоверение Квортинга Анклава (QEID). Базовые показатели TCB по умолчанию из THIM могут отстать от последних базовых показателей, предлагаемых Intel. Это позволяет предотвратить любые сценарии сбоя аттестации для клиентов ACC, которым требуется больше времени для обновлений программного обеспечения платформы исправлений (PSW).

Аттестация Azure предлагает настраиваемую функцию применения базовых показателей TCB (предварительная версия), которая позволяет выполнять аттестацию SGX в отношении требуемого базового плана TCB. Для клиентов SGX для конфиденциальных вычислений Azure (ACC) всегда рекомендуется установить последнюю версию PSW, поддерживаемую Intel, и настроить политику аттестации SGX с помощью последних базовых показателей TCB, поддерживаемых Azure.

Зачем использовать настраиваемую функцию применения базовых показателей TCB?

Мы рекомендуем Аттестация Azure пользователям использовать настраиваемую функцию применения базовых показателей TCB для выполнения аттестации SGX. Эта функция будет полезна в следующих сценариях:

Чтобы выполнить аттестацию SGX в отношении более новой версии TCB, предлагаемой Intel — Клиенты могут своевременно развертывать обновления программного обеспечения платформы (PSW), как рекомендуется Intel, и использовать пользовательскую функцию принудительного применения базовых показателей для выполнения аттестации SGX с более новыми версиями TCB, поддерживаемыми Intel.

Для выполнения обновлений программного обеспечения платформы (PSW) на вашем собственном уровне — клиенты, которые предпочитают обновлять PSW на своем уровне, могут использовать настраиваемые функции принудительного применения базовых показателей для выполнения аттестации SGX в отношении более старой базовой конфигурации TCB до тех пор, пока обновления PSW не будут развернуты.

Базовые показатели TCB по умолчанию, на которые в настоящее время ссылается Аттестация Azure, если пользовательские базовые показатели TCB не настроены пользователями

TCB identifier: “10”
TCB evaluation data number": "10"    
Tcb release date: "2020-11-11T00:00:00"  
Minimum PSW Linux version: "2.9"
Minimum PSW Windows version: "2.7.101.2"

Базовые показатели TCB, доступные в Azure, которые можно настроить как настраиваемые базовые показатели TCB.

 15 (TCB release date: 2/14/2023)
 TCB identifier : 15
 TCB evaluation data number : 15
 Minimum PSW Linux version : 2.17
 Minimum PSW Windows version : 2.16

 14 (TCB release date: 11/8/2022)
 TCB identifier : 14
 TCB evaluation data number : 14
 Minimum PSW Linux version : 2.17
 Minimum PSW Windows version : 2.16

 TCB identifier : 13
 TCB release date: 8/9/2022
 TCB evaluation data number : 13
 Minimum PSW Linux version : 2.17
 Minimum PSW Windows version : 2.16
 
 TCB identifier : 12
 TCB release date: 11/10/2021
 TCB evaluation data number : 12
 Minimum PSW Linux version : 2.13.3
 Minimum PSW Windows version : 2.13.100.2
 
 TCB identifier : 11
 TCB release date: 6/8/2021
 TCB evaluation data number : 11
 Minimum PSW Linux version : 2.13.3
 Minimum PSW Windows version : 2.13.100.2
 
 TCB identifier : 10
 TCB release date: 11/10/2020
 TCB evaluation data number : 10
 Minimum PSW Linux version : 2.9
 Minimum PSW Windows version : 2.7.101.2

Настройка политики аттестации с пользовательскими базовыми показателями TCB с помощью интерфейса портал Azure

Новые пользователи

  1. Создайте поставщик аттестации с помощью интерфейса портал Azure. Подробные сведения см. здесь.

  2. Перейдите на страницу обзора и просмотрите текущую политику по умолчанию поставщика аттестации. Подробные сведения см. здесь.

  3. Выберите "Просмотреть текущие и доступные базовые показатели TCB" для аттестации, просмотреть доступные базовые показатели TCB, определить нужный идентификатор TCB и нажмите кнопку "Отмена".

  4. Выберите "Настроить", задайте значение утверждения x-ms-sgx-tcbidentifier в политике в нужное значение и нажмите кнопку "Сохранить".

Существующие пользователи общего поставщика

Пользователи общего поставщика должны перенестися на пользовательских поставщиков, чтобы иметь возможность выполнять аттестацию по пользовательским базовым данным TCB.

  1. Создайте поставщик аттестации с помощью интерфейса портал Azure. Подробные сведения см. здесь.

  2. Перейдите на страницу обзора и просмотрите текущую политику по умолчанию поставщика аттестации. Подробные сведения см. здесь.

  3. Выберите "Просмотреть текущие и доступные базовые показатели TCB" для аттестации, просмотреть доступные базовые показатели TCB, определить нужный идентификатор TCB и нажмите кнопку "Отмена".

  4. Выберите "Настроить", задайте значение утверждения x-ms-sgx-tcbidentifier в политике в нужное значение и нажмите кнопку "Сохранить".

  5. Требуется развертывание кода для отправки запросов аттестации поставщику пользовательской аттестации.

Существующие пользователи пользовательского поставщика

  1. Перейдите на страницу обзора и просмотрите текущую политику по умолчанию поставщика аттестации. Подробные сведения см. здесь.

  2. Выберите "Просмотреть текущие и доступные базовые показатели TCB" для аттестации, просмотреть доступные базовые показатели TCB, определить нужный идентификатор TCB и нажмите кнопку "Отмена".

  3. Выберите "Настроить" и используйте приведенный ниже пример для настройки политики аттестации с настраиваемым базовым показателем TCB.

version = 1.1;  
configurationrules  
{  
=> issueproperty (  
type = "x-ms-sgx-tcbidentifier", value = "11”  
);  
};  

authorizationrules  
{  
=> permit();  
};  
Issuancerules  
{  
c:[type=="x-ms-sgx-is-debuggable"] => issue(type="is-debuggable", value=c.value);  
c:[type=="x-ms-sgx-mrsigner"] => issue(type="sgx-mrsigner", value=c.value);  
c:[type=="x-ms-sgx-mrenclave"] => issue(type="sgx-mrenclave", value=c.value);  
c:[type=="x-ms-sgx-product-id"] => issue(type="product-id", value=c.value);  
c:[type=="x-ms-sgx-svn"] => issue(type="svn", value=c.value);  
c:[type=="x-ms-attestation-type"] => issue(type="tee", value=c.value);  
};

Основные рекомендации

  • Если в политике аттестации SGX версия узла ACC ниже минимальной версии TCB, настроенной в политике аттестации SGX, произойдет сбой сценариев аттестации.
  • Если версия узла ACC больше или равна минимальной версии TCB базовой конфигурации TCB, настроенной в политике аттестации SGX, сценарии аттестации будут передаваться.
  • Для клиентов, которые не настраивают пользовательский базовый план TCB в политике аттестации, аттестация будет выполнена в базовой базе TCB Azure по умолчанию.
  • Для клиентов, использующих политику аттестации без раздела configurationrules, аттестация будет выполнена в базовом плане TCB Azure по умолчанию.