Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nell'era della trasformazione digitale, l'integrità dei dati è fondamentale. Man mano che le aziende si basano sempre più sulle decisioni basate sui dati, l'accuratezza e la sicurezza delle origini dati diventano fondamentali.
Il libro mastro riservato di Microsoft Azure è un archivio dati non modificabile altamente sicuro per la gestione dei record di dati sensibili. Il servizio rappresenta l'impegno a proteggere, affidabile e immutabile l'archiviazione dei dati.
Il libro mastro confidenziale offre un archivio dati verificabile con vantaggi unici per l'integrità dei dati, tra cui immutabilità, impossibilità di manomissione e operazioni di sola aggiunta, combinando tecniche di crittografia e tecnologia blockchain.
Queste funzionalità sono ideali quando i record di metadati critici devono avere l'integrità protetta, ad esempio a scopo di conformità alle normative e archiviazione. I dati archiviati nel registro rimangono migliorati dal punto di vista della privacy e protetti dalle minacce interne a un'organizzazione, compreso il provider di servizi cloud. È inoltre vantaggioso come archivio di audit trail o record che devono essere protetti e condivisi in modo selettivo con determinate figure, come ad esempio revisori.
Il registro confidenziale può proteggere i database e le applicazioni esistenti fungendo da fonte puntuale di verità per i digest e gli hash. Ogni transazione nel libro mastro riservato fornisce prove crittografiche negli scenari di verifica. Ad esempio, i tuoi dati SQL di Azure possono avere la loro integrità protetta ulteriormente, dove i digest di tabella o i log possono essere archiviati nel registro confidenziale.
Per altre informazioni, è possibile ottenere informazioni sulla protezione dell'integrità dell'origine dati con il libro mastro riservato di Azure o guardare una demo demo del libro mastro riservato di Azure. È anche possibile leggere un blog recente sul modo in cui la sicurezza hardware di Azure è protetta tramite ACL.
Cosa archiviare
Ecco alcuni esempi di elementi che è possibile archiviare nel libro mastro:
- Record relativi alle transazioni aziendali (ad esempio, trasferimenti di denaro o modifiche ai documenti riservati).
- Aggiornamenti agli asset attendibili (ad esempio, applicazioni o contratti di base).
- Modifiche amministrative e di controllo, ad esempio la concessione delle autorizzazioni di accesso.
- Eventi operativi relativi a IT e sicurezza (ad esempio, avvisi di Microsoft Defender for Cloud)
Casi d'uso
- Si dispone di dati relazionali che richiedono garanzie di integrità dei dati end-to-end: archiviare i dati nella funzionalità mastro del database SQL di Azure e attivare il libro mastro riservato di Azure come archivio digest attendibile.
- Ho dati BLOB che richiedono integrità end-to-end: archivia i dati nell'archiviazione BLOB e configura l'applicazione Azure Marketplace supportata da Confidential Ledger per archiviare le firme e verificarle.
- Ho record di sistema che necessitano di protezione dell'integrità con verificabilità - Archiviare direttamente i record nel libro mastro riservato. Ad esempio, fa' sì che tutti i record di sviluppo passino a un'istanza del libro mastro e che i log di produzione vadano in un'altra istanza. Quando è il momento di controllare, condividere in modo selettivo solo le transazioni del libro mastro con il revisore.
- Ho dati transazionali riservati che richiedono la riservatezza e la protezione dell'integrità: archiviare direttamente i record delle applicazioni dei dati riservati critici nel libro mastro riservato.
Abilitazione dell'integrità dei dati per le origini dati
I database SQL e i sistemi di archiviazione sono fondamentali per l'architettura dei dati aziendali. Il libro mastro riservato migliora questi sistemi fornendo un ulteriore livello di protezione dell'integrità. Per i database SQL, ACL può fungere da libro mastro esterno in cui le modifiche e le transazioni vengono registrate e verificate, aggiungendo una nuova dimensione di sicurezza e attendibilità.
Per Archiviazione BLOB di Azure, il registro riservato migliora le funzionalità di sicurezza fornendo un log non modificabile delle operazioni di archiviazione, utile per la conformità normativa e per scopi di archiviazione dove l'integrità dei dati nel tempo è fondamentale.
Come funziona
Il registro riservato viene eseguito esclusivamente su enclave sicure supportate da hardware, un ambiente di runtime strettamente monitorato e isolato, che tiene a bada i potenziali attacchi. Inoltre, Azure confidential ledger viene eseguito su una base TCB (Trusted Computing Base) minimalista, che garantisce che nessuno, nemmeno Microsoft, possa evitare le misure di sicurezza.
Come suggerisce il nome, Azure Confidential Ledger utilizza la piattaforma Azure Confidential Computing e il Confidential Consortium Framework per fornire una soluzione di elevata integrità che è protetta da manomissioni e che mostra chiaramente le eventuali manomissioni. Un libro mastro si estende su tre o più istanze identiche, ognuna delle quali viene eseguita in un enclave dedicato completamente supportato dall'hardware. L'integrità del libro mastro viene mantenuta tramite una blockchain basata sul consenso.
Funzionalità principali
Il libro mastro riservato espone un'interfaccia REST che semplifica l'integrazione con applicazioni nuove o esistenti. Inoltre, gli SDK nei linguaggi più diffusi (.NET, Java, Python e JavaScript) vengono forniti per facilitare l'integrazione.
Ledger supporta l'ID raccolta per semplificare la gestione dei dati. Il raggruppamento dei dati tramite ID raccolta è un ottimo modo per gestire ed eseguire query sui dati in modo efficiente. Consente di identificare e recuperare facilmente set di dati specifici. Questo metodo può migliorare significativamente l'organizzazione dei dati, rendendo operazioni come la ricerca e l'aggiornamento più semplificate.
Ogni transazione nel libro mastro ha una ricevuta associata che registra la struttura dei dati dell'albero merkle, usata per verificare l'integrità della transazione. Altre informazioni su come verificare le ricevute delle transazioni.
Archiviazione dei dati nel libro mastro riservato
I dati del libro mastro vengono scritti in blocchi concatenati e archiviati nell'archiviazione file supportata da Azure. I dati delle transazioni possono essere archiviati crittografati (ad esempio, tipo libro mastro privato) o in testo normale (ad esempio, tipo libro mastro pubblico) a seconda delle esigenze.
Gli amministratori possono creare e gestire il libro mastro riservato con API amministrative (piano di controllo), ad esempio eliminare una risorsa o spostarla tra gruppi di risorse. Il registro fornisce API funzionali (Piano Dati) per le operazioni CRUD sui dati, come creazione, aggiornamento, inserimento e ottenimento.
Sicurezza del libro mastro
Il libro mastro riservato supporta sia l'ID Microsoft Entra che le credenziali basate su certificati per AuthN con controllo degli accessi in base al ruolo personalizzato per AuthZ. A differenza di altri servizi di Azure, la gestione degli utenti viene localizzata. In altre parole, gli utenti vengono archiviati e gestiti all'interno del libro mastro usando le API funzionali. Questa progettazione riduce la Trusted Computing Base (TCB) ed elimina la necessità di basarsi su sistemi di autorizzazione esterni, come Azure RBAC.
Il libro mastro riservato usa il protocollo TLS 1.3 per stabilire la connessione client e scambiare dati. La connessione termina all'interno delle enclave di sicurezza supportate dall'hardware (enclave Intel® SGX), impedendo così un attacco man-in-the-middle.
Le applicazioni sono incoraggiate a verificare l'autenticità dei nodi libro mastro autenticando i nodi libro mastro per stabilire una relazione di trust prima di scambiare dati. Questo processo garantisce che i nodi del libro mastro siano originali e non dannosi.
Resilienza e continuità aziendale
I nodi del libro mastro riservato vengono distribuiti tra zone di disponibilità di Azure (AZ) per fornire resilienza. La rete può essere riparata automaticamente durante le interruzioni a livello di zona. Per garantire la continuità aziendale, i file del registro vengono replicati automaticamente in un account di archiviazione secondario con cadenza periodica. Quando si verifica un'emergenza, questi file vengono usati per il ripristino. Il monitoraggio continuo viene usato per osservare e avviare automaticamente i processi di ripristino quando l'integrità dell'istanza scende al di sotto di una soglia specificata.
Vincoli
- Dopo aver creato un libro mastro riservato, non è possibile modificare il tipo di libro mastro (privato o pubblico).
- L'eliminazione del libro mastro riservato di Azure comporta un'eliminazione "hard delete", quindi i dati non saranno recuperabili dopo l'eliminazione.
- I nomi del libro mastro riservato di Azure devono essere univoci a livello globale. I logger con lo stesso nome, indipendentemente dal loro tipo, non sono consentiti.
Terminologia
| Termine | Definizione |
|---|---|
| ACL | Azure Confidential Ledger |
| Contabilità generale | Un record di sola accodamento non modificabile di transazioni (noto anche come blockchain) |
| Eseguire il commit | Conferma dell'aggiunta di una transazione al libro mastro. |
| Ricevuta | Verificare che il libro mastro abbia elaborato una transazione. |