Microsoftは最近、Azure Attestationの一般向け提供を発表した。これは、プラットフォームの信頼性とその内部で実行されているバイナリの完全性をリモートで検証するための統合ソリューションである。
Azure AssestationサービスはMicrosoftのAzure機密コンピューティングの取り組みの一部である。この取り組みでは、トラステッドコンピューティングベース(TCB)を最小限に抑えながら、使用中の機密性の高い顧客データを保護するハードウェア、ソフトウェア、サービスを提供する。Microsoftは、数年前に機密コンピューティングの取り組みを開始し、2019年から、機密コンピューティングコンソーシアムに参加している。このコンソーシアムは、より安全なコンピューティングインフラストラクチャを提供するために業界と協力することを宣言している。このコンソーシアムの他のメンバーには、Google、Intel、RedHatがいる。
Azure Assestationは、プラットフォーム・アズ・ア・サービス(PaaS)である。Trusted Platform Modules(TPMs)に裏打ちされたプラットフォームの証明をサポートする。また、Intel Software Guard Extensions(SGX)エンクレーブや仮想化ベースのセキュリティ(VBS)エンクレーブなどのTrusted Execution Environments(TEEs)の状態を証明する機能も提供する。
MicrosoftでCloud & AI SecurityのプログラムマネージャーであるSindhuri Dittakavi氏は、Microsoft Security and Complianceブログの投稿でAttestionの仕組みについて説明している。
構成証明プロバイダーは、RESTコントラクトを提供するAzure Attestationのサービスエンドポイントです。地域の共有プロバイダーを使用するか、独自のカスタムプロバイダーを作成するかを選択できます。構成証明プロバイダーには、サポートされている構成証明タイプごとにデフォルトのポリシーが紐づいています。Azure Attestationでは、構成可能なポリシーを通して、カスタムプロバイダーに対してカスタムルールを適用することもできます。構成されると、構成証明ポリシーを使用して構成証明エビデンスを処理し、サービスが構成証明トークンを発行するかどうかを決定します。
Azure Attestationを使用する顧客にとってのメリットは次のとおりである。
- TPMに裏打ちされた複数のTEEあるいはプラットフォームを証明するために利用可能なソリューション
- 地域で共有の構成証明プロバイダーを活用して、追加の構成を必要とせずに認証プロセスを簡素化する機能
- カスタム構成証明プロバイダーの作成と、構成証明トークンの生成をカスタマイズするためのポリシーの構成
- 業界標準のフォーマットを使用し、構成証明トークンに埋め込まれたデータの助けを借りて、構成証明されたプラットフォームと安全に通信する機能
- 地域ペア全体で構成されるビジネス継続性とディザスタリカバリ(BCDR)を備えた高可用性サービス
Azure Attestationのリリースに関して、Constellation Research Inc.の主席アナリスト兼副社長であるHolger Mueller氏はInfoQに次のように語っている。
クラウドはセキュリティを強化しており、ゼロトラストと機密コンピューティングはクラウドリソースの安全な運用のための真に重要な目標です。Microsoftの新しいAzure Attestation Serviceは、Azureにとって重要な進歩であり、それによって企業は新しいサーバとサービスのランドスケープを以前よりも早く簡単に信頼できるようになります。それはクラウドセキュリティをより具体的かつ達成可能にするための重要なステップです。
さらに、MicrosoftのリージョナルディレクターでありAzure MVPであるKarl Ots氏は、長年のセキュリティ経験を持ち、InfoQに次のように語っている。
信頼できる実行環境は、機密性の高いデータ入力、共有、分析の機密性に対する数学的な確実性を提供します。Azure AttestationとOpen Enclaveのリリースが、ヘルスケアなどの規制のある業界のデジタル化をどのようにサポートするかを楽しみにしています。
一部のリージョンでは、Azure Attestationサービスを追加料金なしで利用できる。