Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure libro de contabilidad confidencial es una carga de trabajo de Confidential Computing Ledger. Es un libro de contabilidad de solo anexión administrado por el cliente que crea en su propia suscripción y escribe registros directamente. Azure Confidential Ledger ofrece un almacén de datos auditable con ventajas únicas de integridad de datos, incluidas la inmutabilidad, los registros con evidencia de manipulación y las operaciones de solo anexión. Combina técnicas criptográficas y tecnología de cadena de bloques basada en la plataforma compartida Azure libro de contabilidad confidencial.
Estas características son ideales cuando los registros de metadatos críticos deben tener su integridad protegida, como para fines de cumplimiento normativo y archivado. Los datos almacenados en Azure Confidential Ledger mantienen una privacidad reforzada y están protegidos frente a amenazas internas dentro de una organización, incluido el proveedor de servicios en la nube. También es beneficioso como repositorio de registros o pistas de auditoría que deben protegerse y compartirse selectivamente con ciertos roles (por ejemplo, auditores).
Azure Confidential Ledger puede proteger las bases de datos y aplicaciones existentes sirviendo como una fuente fidedigna en un momento dado para resúmenes criptográficos y valores hash. Cada transacción proporciona pruebas criptográficas en escenarios de comprobación. Por ejemplo, los datos de Azure SQL pueden reforzar aún más su integridad almacenando los resúmenes hash de las tablas o los registros en Azure Confidential Ledger.
Para más información, puede obtener información sobre cómo proteger la integridad del origen de datos con Azure Confidential Ledger o ver una demostración de Azure Confidential Ledger. También puede leer un blog reciente sobre cómo se protege la seguridad de hardware de Azure a través de Azure Confidential Ledger.
Qué almacenar
Estos son algunos ejemplos de cosas que puede almacenar en una instancia de libro de contabilidad confidencial Azure:
- Registros relacionados con las transacciones empresariales (por ejemplo, transferencias de dinero o ediciones a documentos confidenciales).
- Actualizaciones de recursos de confianza (por ejemplo, aplicaciones principales o contratos).
- Cambios administrativos y de control (por ejemplo, concesiones de permisos de acceso).
- Eventos operativos de TI y seguridad (por ejemplo, alertas de Microsoft Defender para la nube).
Casos de uso
- Tengo datos relacionales que requieren garantías integrales de integridad de los datos: almacene sus datos en la funcionalidad de libro de contabilidad de Azure SQL Database y active Azure Confidential Ledger como almacén de resúmenes de confianza.
- Tengo datos en blobs que necesitan integridad de extremo a extremo: almacene los datos en Azure Blob Storage y configure la aplicación de Azure Marketplace basada en Azure Confidential Ledger para almacenar firmas y verificar los datos con respecto a ellas.
- Tengo registros del sistema que necesitan protección de integridad con verificabilidad: almacene sus registros en Azure libro de contabilidad confidencial directamente. Por ejemplo, haga que todos los registros de desarrollo vayan a una instancia y que los registros de producción vayan a otra instancia. Cuando quiera auditar, solo comparta de forma selectiva las transacciones con el auditor.
- Tengo datos transaccionales confidenciales que necesitan protección de la confidencialidad y la integridad: almacene directamente los registros de la aplicación de sus datos confidenciales críticos en Azure Confidential Ledger.
Habilitación de la integridad de los datos para orígenes de datos
Las bases de datos SQL y los sistemas de almacenamiento son fundamentales para la arquitectura de datos empresariales. Azure libro de contabilidad confidencial mejora estos sistemas al proporcionar una capa adicional de protección de integridad. En el caso de las bases de datos SQL, Azure libro de contabilidad confidencial puede actuar como libro de contabilidad externo donde se registran y comprueban los cambios y las transacciones, lo que agrega una nueva dimensión de seguridad y confianza.
Para Blob Storage, Azure libro de contabilidad confidencial mejora las características de seguridad al proporcionar un registro inmutable de operaciones de almacenamiento. Este registro es útil para el cumplimiento normativo y los fines de archivado en los que la integridad de los datos a lo largo del tiempo es fundamental.
Características clave
Azure libro de contabilidad confidencial expone una interfaz REST, lo que facilita la integración con aplicaciones nuevas o existentes. Los SDK en lenguajes populares, como .NET, Java, Python y JavaScript ayudan con la integración.
Azure Confidential Ledger admite identificadores de colección para simplificar la gestión de datos. La agrupación de datos mediante identificadores de recopilación es una excelente manera de administrar y consultar datos de forma eficaz. Permite una fácil identificación y recuperación de conjuntos de datos específicos. Este método puede mejorar significativamente la organización de datos y realizar operaciones como buscar y actualizar más simplificadas.
Cada transacción del libro de contabilidad tiene un recibo asociado que registra la estructura de datos del árbol Merkle, que se usa para comprobar la integridad de la transacción. Obtenga más información sobre cómo comprobar los recibos de transacción.
Fundamentos informáticos confidenciales
Confidential Ledger de Azure se ejecuta exclusivamente en enclaves seguros respaldados por hardware. Este entorno en tiempo de ejecución muy supervisado y aislado mantiene a raya los posibles ataques. El servicio se ejecuta en una base de computación de confianza mínima (TCB) que garantiza que nadie (ni siquiera Microsoft) esté "encima" del libro de contabilidad.
Como sugiere el nombre, el servicio utiliza la plataforma de computación confidencial de Azure y el Confidential Consortium Framework para proporcionar una solución de alta integridad protegida contra manipulaciones y con evidencia de manipulaciones. Un libro de contabilidad abarca tres o más instancias idénticas. Cada instancia se ejecuta en un enclave dedicado con respaldo de hardware totalmente atestiguado. La integridad de cada libro de contabilidad se mantiene a través de una cadena de bloques basada en consenso.
Estos fundamentos de la informática confidencial se comparten con la otra carga de trabajo de Confidential Computing Ledger, el libro mayor de transparencia de firmas de Microsoft. Para obtener una vista detallada de los componentes subyacentes, consulte Arquitectura.
Almacenamiento de datos
Los datos de Azure Confidential Ledger se escriben en bloques que se encadenan entre sí y se almacenan en un almacenamiento de archivos respaldado por Azure. Los datos de transacción se pueden almacenar cifrados (por ejemplo, tipo de libro de contabilidad privado) o en texto sin formato (por ejemplo, tipo de libro de contabilidad público) en función de sus necesidades.
Los administradores pueden crear y administrar Azure instancias de libro de contabilidad confidencial con API administrativas (plano de control), por ejemplo, para eliminar un recurso o moverlo entre grupos de recursos. Azure libro de contabilidad confidencial proporciona API funcionales (plano de datos) para operaciones de datos como CREATE, UPDATE, PUT y GET.
Seguridad de Ledger
Azure Confidential Ledger admite tanto Microsoft Entra ID como credenciales basadas en certificados para la autenticación, con control de acceso basado en roles (RBAC) personalizado para la autorización. A diferencia de otros servicios de Azure, la administración de usuarios se localiza. En otras palabras, los usuarios se almacenan y administran en el libro de contabilidad mediante las API funcionales. Este diseño reduce el TCB y elimina la necesidad de confiar en sistemas de autorización externos, como RBAC de Azure.
Azure libro de contabilidad confidencial usa el protocolo TLS 1.3 para establecer conexiones de cliente y intercambiar datos. La conexión termina dentro de los enclaves de seguridad protegidos por hardware (enclaves Intel SGX), lo que impide ataques de intermediario.
Se recomienda a las aplicaciones comprobar la autenticidad de los nodos del libro de contabilidad mediante la autenticación de los nodos del libro de contabilidad para establecer la confianza antes de intercambiar datos. Este proceso garantiza que los nodos del libro de contabilidad sean auténticos y no malintencionados.
Para obtener instrucciones de seguridad más amplias que se aplican a ambas cargas de trabajo de Confidential Computing Ledger, consulte Secure Confidential Computing Ledger.
Resistencia y continuidad empresarial
Los nodos de Azure Confidential Ledger se implementan en las zonas de disponibilidad de Azure para garantizar la resiliencia. La red puede recuperarse automáticamente durante interrupciones en toda la zona. Para garantizar la continuidad empresarial, los archivos de la instancia del libro de contabilidad se replican automáticamente en una cuenta de almacenamiento secundaria periódicamente. Cuando se produce un desastre, estos archivos se usan para la recuperación. La supervisión continua se usa para observar e iniciar automáticamente los procesos de recuperación cuando el estado de la instancia del libro de contabilidad está por debajo de un umbral especificado.
Los datos se replican automáticamente en pares regionales de Azure para la recuperación ante desastres. Para obtener información sobre las consideraciones de residencia de datos, consulte Residencia de datos para Azure Confidential Ledger.
Limitaciones
| Recurso | Limit |
|---|---|
| Número de libros de contabilidad por suscripción | 2 libros de contabilidad de SKU estándar |
| Número de ID de colecciones por libro de contabilidad | 50,000 |
| Crear entrada | 1800 solicitudes por segundo, 1800 transacciones por segundo |
| Obtener la entrada actual | 3600 solicitudes por segundo |
| Obtener acceso | 2500 solicitudes por segundo |
| Obtener recibo | 2400 solicitudes por segundo |
| Lista de entradas | 3300 solicitudes por segundo |
Nota:
Para solicitar límites más altos o analizar las limitaciones, póngase en contacto con el equipo de contabilidad confidencial de Azure.
Restricciones
- Después de crear una instancia de libro de contabilidad confidencial Azure, no se puede cambiar el tipo de libro de contabilidad (privado o público).
- La eliminación de Azure Confidential Ledger provoca una "eliminación permanente", por lo que sus datos no se pueden recuperar una vez eliminados.
- Los nombres de Confidential Ledger deben ser únicos globalmente. No se permiten los libros de contabilidad con el mismo nombre, independientemente de su tipo.
Terminología
| Término | Definición |
|---|---|
| Confidential Computing Ledger | El servicio principal que aloja ambas cargas de trabajo del libro mayor en una plataforma compartida de computación confidencial. |
| Azure confidential ledger | Una carga de trabajo de Confidential Computing Ledger: un libro de contabilidad de solo anexión administrado por el cliente que cree en su propia suscripción. |
| Registro de transparencia de firmas de Microsoft (MST) | Una carga de trabajo de Confidential Computing Ledger: un registro administrado por Microsoft de eventos de firma de software. |
| Libro de contabilidad | Un registro de anexo solo inmutable de transacciones (también conocido como cadena de bloques). |
| Commit | Confirmación de que se ha anexado una transacción al libro de contabilidad. |
| Recibo | Prueba de que el libro de contabilidad procesó la transacción. |
| CCF | Confidential Consortium Framework: el marco de código abierto que respalda Confidential Computing Ledger. |
| TCB | Base de confianza informática — el conjunto mínimo de componentes de cuya integridad depende el registro. |
Contenido relacionado
- Arquitectura
- Inicio rápido de Azure Portal
- Inicio rápido de Python
- Use el explorador del libro de contabilidad del portal de Azure para comprobar las transacciones
- Inspección de los datos del libro de contabilidad con el Explorador de libro de contabilidad (sin conexión)
- Secure Confidential Computing Ledger
- Acerca del registro de transparencia de firmas de Microsoft