Tipi e scenari di attestazione

Il calcolo è una parte essenziale della nostra vita quotidiana. Alimenta tutto dal nostro smartphone all'infrastruttura critica. Ambienti normativi sempre più rigorosi, la prevalenza di attacchi informatici e la crescente complessità degli utenti malintenzionati rendono difficile fidarsi dell'autenticità e dell'integrità delle tecnologie di elaborazione da noi dipendenti. L'attestazione è una tecnica per verificare i componenti software e hardware di un sistema. È un processo fondamentale per stabilire e garantire che le tecnologie di elaborazione su cui ci si affida siano affidabili.

In questo articolo viene esaminata l'attestazione, i tipi di attestazione offerti oggi da Microsoft e il modo in cui è possibile usare questi tipi di scenari di attestazione nelle soluzioni Microsoft.

Che cos'è l'attestazione?

Nell'attestazione remota, un peer (l'attestatore) produce informazioni credibili su se stesso (le prove) per consentire a un peer remoto (la parte fidata) di decidere se considerare tale attestatore come un interlocutore affidabile. Un'altra parte vitale (il verificatore) esegue le procedure di attestazione remota. In termini semplici, l'attestazione è un modo per dimostrare che un sistema informatico è attendibile.

Per comprendere qual è l'attestazione e come funziona in pratica, questo articolo confronta il processo di attestazione nel calcolo con esempi reali con passaporti e controlli in background.

La definizione e i modelli usati in questo articolo sono descritti nel documento sull'architettura delle procedure di attestazione remota IETF (Internet Engineering Task Force). Per altre informazioni, vedere Internet Engineering Task Force: Architettura di procedure di attestazione remota (RAT).

Modello Passaporto

In questa sezione vengono presentati due scenari di passaporto.

Modello Passaporto: Sportello immigrazione

1. Un cittadino vuole un passaporto per viaggiare in un paese/area geografica straniera. Il cittadino invia i requisiti di prova al paese o all'area geografica ospitante.

2. Il paese o l'area geografica ospitante riceve l'evidenza della conformità dei criteri dall'individuo e verifica se l'evidenza fornita dimostra che l'individuo è conforme ai criteri per il rilascio di un passaporto:

   • Il certificato di nascita è valido e non è stato modificato.
   • L'autorità emittente del certificato di nascita è attendibile.
   • L'utente non fa parte di un elenco con restrizioni.

3. Se il paese o l'area geografica ospitante decide che le prove soddisfano le proprie politiche, il paese ospitante rilascia un passaporto per il cittadino.

4. Il cittadino viaggia in una nazione straniera, ma deve prima presentare il passaporto all'agente di pattugliamento delle frontiere del paese o dell'area geografica straniera per la valutazione.

5. L'agente di pattuglia di frontiera del paese straniero controlla una serie di regole sul passaporto prima di fidarsi:

   • Il passaporto è autentico e non è stato modificato.
   • Un paese/area geografica attendibile ha prodotto il passaporto.
   • Il passaporto non è scaduto o revocato.
   • Il passaporto è conforme alla politica di un visto o di un requisito di età.

6. L'agente di pattuglia di frontiera del paese o dell'area geografica straniera approva il passaporto e il cittadino può entrare nel paese/area geografica straniera.

Modello Passport: Informatica

1. Un ambiente di esecuzione attendibile (TEE), noto anche come certificatore, vuole recuperare i segreti da un gestore di segreti, noto anche come parte affidata. Per recuperare i segreti dal gestore dei segreti, il TEE deve dimostrare al gestore dei segreti che è fidato e genuino. Il TEE invia le sue prove a un verificatore per dimostrare che è attendibile e autentico. L'evidenza include l'hash del codice eseguito, l'hash dell'ambiente di compilazione e il certificato generato dal produttore.

2. Il verificatore, che è un servizio di attestazione, valuta se la prova fornita dall'ambiente del TEE soddisfa i requisiti seguenti per essere considerato affidabile.

   • Il certificato è valido e non è stato modificato.
   • L'autorità emittente del certificato è attendibile.
   • L'evidenza TEE (ecocardiogramma transesofageo) non fa parte di un elenco con restrizioni.

3. Se il verificatore decide che l'evidenza soddisfa i criteri definiti, il verificatore crea un risultato di attestazione e lo assegna al TEE.

4. Il TEE vuole scambiare segreti con il gestore di segreti. Prima di tutto deve presentare il risultato dell'attestazione al gestore dei segreti per la valutazione.

5. Gestione dei segreti controlla una serie di regole sul risultato dell'attestazione prima di considerarlo attendibile.

   • Il risultato dell'attestazione è autentico e non è stato modificato.
   • Un'autorità attendibile ha prodotto il risultato dell'attestazione.
   • Il risultato dell'attestazione non è scaduto o revocato.
   • Il risultato dell'attestazione è conforme ai criteri di amministratore configurati.

6. Il gestore dei segreti approva il risultato dell'attestazione e scambia i segreti con il TEE.

Modello di verifica dei precedenti

In questa sezione vengono presentati due scenari di controllo in background.

Controllo dei precedenti: Verifica scolastica

1. Una persona sta facendo un controllo di background con un potenziale datore di lavoro per ottenere un lavoro. La persona invia il proprio background educativo dalla scuola che ha frequentato al potenziale datore di lavoro.

2. Il datore di lavoro recupera la formazione dalla persona e inoltra queste informazioni alla rispettiva scuola da verificare.

3. La scuola valuta se il background educativo dato dalla persona soddisfa i registri scolastici.

4. L'istituto rilascia un risultato di attestazione che verifica che il background dell'istruzione della persona corrisponda ai propri record e lo invii al datore di lavoro.

5. Il datore di lavoro, altrimenti noto come relying party, potrebbe controllare una serie di regole sul risultato dell'attestazione prima di considerarlo attendibile:

   • Il risultato dell'attestazione è autentico, non è stato modificato e proviene dalla scuola.
   • Un istituto di istruzione attendibile ha prodotto il risultato dell'attestazione.

6. Il datore di lavoro approva il risultato dell'attestazione e assume la persona.

Verifica dei precedenti: Calcolo

1. Un TEE, noto anche come attestatore, vuole recuperare segreti da un gestore dei segreti, noto anche come relying party. Per recuperare i segreti dal gestore dei segreti, il TEE deve dimostrare che è affidabile e autentico. Il TEE invia le sue prove al gestore dei segreti per dimostrare che è affidabile e autentico. L'evidenza include l'hash del codice eseguito, l'hash dell'ambiente di compilazione e il certificato generato dal produttore.

2. Il gestore dei segreti recupera l'evidenza dall'ambiente di verifica e la inoltra al verificatore.

3. Il servizio di verifica valuta se le prove fornite dal TEE soddisfano i requisiti delle politiche definite per la fiducia:

   • Il certificato è valido e non è stato modificato.
   • L'autorità emittente del certificato è attendibile.
   • L'evidenza TEE (ecocardiogramma transesofageo) non fa parte di un elenco con restrizioni.

4. Il verificatore crea un risultato di attestazione per il TEE e lo invia al gestore dei segreti.

5. Gestione dei segreti controlla una serie di regole sul risultato dell'attestazione prima di considerarlo attendibile.

   • Il risultato dell'attestazione è autentico e non è stato modificato.
   • Un'autorità attendibile ha prodotto il risultato dell'attestazione.
   • Il risultato dell'attestazione non è scaduto o revocato.
   • Il risultato dell'attestazione è conforme ai criteri di amministratore configurati.

6. Il gestore dei segreti approva il risultato dell'attestazione e scambia i segreti con il TEE.

Tipi di attestazione

I servizi di attestazione vengono usati in due modi distinti. Ogni metodo offre i propri vantaggi.

Provider di servizi cloud

Attestazione di Azure è un servizio rivolto ai clienti e un framework per l'attestazione di TEE come le enclave di Intel Software Guard Extensions (SGX), le enclave di sicurezza basata su virtualizzazione (VBS), i moduli di piattaforma fidata, l'avvio attendibile e le macchine virtuali confidenziali. I vantaggi derivanti dall'uso del servizio di attestazione di un provider di servizi cloud, ad esempio Attestazione di Azure, includono:

• È disponibile gratuitamente.
• Il codice sorgente è disponibile per i clienti pubblici tramite microsoft Code Center Premium Tool.
• Protegge i dati durante l'uso operando all'interno di un enclave Intel SGX.
• Attesta diversi TEE in un'unica soluzione.
• Offre un solido accordo sul livello di servizio.

Costruisci il tuo

È possibile creare meccanismi di attestazione personalizzati per considerare attendibile l'infrastruttura di elaborazione dagli strumenti forniti dai provider cloud e hardware. La creazione di processi di attestazione personalizzati per le soluzioni Microsoft potrebbe richiedere l'uso di Trusted Hardware Identity Management (THIM). Questa soluzione gestisce la gestione della cache dei certificati per tutte le TEE che risiedono in Azure. Fornisce informazioni di base di elaborazione attendibili per applicare una baseline minima per le soluzioni di attestazione. I vantaggi derivanti dalla compilazione e dall'uso del proprio servizio di attestazione includono:

• 100% controllo sui processi di attestazione per soddisfare i requisiti normativi e di conformità.
• Personalizzazione delle integrazioni con altre tecnologie di elaborazione.

Scenari di attestazione in Microsoft

È possibile scegliere tra il provider di servizi cloud e i servizi di attestazione personalizzati per molti scenari di attestazione Microsoft. Le sezioni seguenti illustrano le offerte di Azure e gli scenari di attestazione disponibili.

Macchine virtuali con enclave di applicazioni

Le macchine virtuali con enclave dell'applicazione sono abilitate da Intel SGX. Le organizzazioni possono creare enclave che proteggono i dati e mantengono i dati crittografati mentre la CPU elabora i dati. È possibile attestare le enclave Intel SGX in Azure con Attestazione di Azure e autonomamente. Per altre informazioni, vedere:

• Home page dell'attestazione Intel SGX
• Provider cloud: attestazione di codice di esempio Intel SGX con Azure Attestation
• Costruisci la tua: Attestazione dell'enclave aperta

Macchine virtuali riservate

Le macchine virtuali riservate sono abilitate da AMD SEV-SNP. Le organizzazioni possono avere l'isolamento basato su hardware tra le macchine virtuali e il codice di gestione host sottostante (incluso l'hypervisor). È possibile attestare le macchine virtuali riservate gestite in Azure con Attestazione di Azure e autonomamente. Per altre informazioni, vedere:

• Home page dell'attestazione di macchine virtuali riservate
• Provider di servizi cloud: che cos'è l'attestazione guest per le macchine virtuali riservate?
• Costruisci il tuo: Recupera e verifica da solo il report grezzo AMD SEV-SNP

Contenitori riservati su Istanze di Azure Container

I contenitori riservati in Istanze di Azure Container offrono un set di funzionalità e funzionalità per proteggere ulteriormente i carichi di lavoro dei contenitori standard per ottenere obiettivi di sicurezza dei dati, privacy dei dati e integrità del codice di runtime più elevati. I contenitori riservati vengono eseguiti in un ambiente tee basato su hardware che offre funzionalità intrinseche come l'integrità dei dati, la riservatezza dei dati e l'integrità del codice. Per altre informazioni, vedere:

• Provider di servizi cloud: attestazione in contenitori riservati in istanze di Azure Container