Plánování zabezpečených enkláv ve službě Azure SQL Database

Platí pro: Azure SQL Database

Ve službě Azure SQL Database může funkce Always Encrypted se zabezpečenými enklávy používat enklávy Intel Software Guard Extensions (Intel SGX) nebo enklávy založené na virtualizaci (VBS).

Enklávy Intel SGX

Intel SGX je hardwarová technologie důvěryhodného spouštěcího prostředí. Je k dispozici v databázích a elastických fondech, které používají nákupní model virtuálních jader a konfiguraci hardwaru řady DC. Pokud chcete zpřístupnit enklávu Intel SGX pro vaši databázi nebo elastický fond, musíte při vytváření databáze nebo elastického fondu vybrat konfiguraci hardwaru řady DC,nebo můžete aktualizovat stávající databázi nebo elastický fond tak, aby používal hardware řady DC-series.

Enklávy Intel SGX v kombinaci s ověřením, které poskytuje Microsoft Azure Attestation , nabízejí silnější ochranu proti útokům od herců s přístupem správce na úrovni operačního systému v porovnání s enklávy VBS. Než ale nakonfigurujete hardware řady DC-series pro vaši databázi, ujistěte se, že víte o jeho vlastnostech a omezeních výkonu:

• Na rozdíl od jiných konfigurací hardwaru nákupního modelu virtuálních jader používá řada DC jádra fyzického procesoru, nikoli logická jádra. Limity prostředků databází řady DC se liší od limitů prostředků konfigurace hardwaru řady Standard (Gen 5).
• Maximální počet jader procesoru, které můžete nastavit pro databázi řady DC, je 40.
• Řada DC-series nefunguje s bezserverovou řadou.

Zkontrolujte také aktuální regionální dostupnost řady DC a ujistěte se, že je dostupná ve vašich upřednostňovaných oblastech. Podrobnosti najdete v tématu DC-series.

Enklávy SGX se doporučují pro úlohy, které vyžadují nejsilnější ochranu důvěrnosti dat a můžou dodržovat aktuální omezení řady DC-series.

Enklávy VBS

Enklávy VBS (označované také jako virtuální zabezpečený režim nebo enklávy virtuálních počítačů) je softwarová technologie, která spoléhá na hypervisor Windows a nevyžaduje žádný speciální hardware. Enklávy VBS jsou proto k dispozici ve všech nabídkách azure SQL Database, včetně elastických fondů Azure SQL, což vám poskytuje flexibilitu používat funkci Always Encrypted se zabezpečenými enklávy s velikostí výpočetních prostředků, úrovní služeb, nákupním modelem, konfigurací hardwaru a oblastí, která nejlépe vyhovuje vašim požadavkům na úlohy.

Enklávy VBS jsou doporučeným řešením pro zákazníky, kteří hledají ochranu dat užitých od vysoce privilegovaných uživatelů v organizaci zákazníka, včetně správců databází (DBA). Bez ochrany kryptografických klíčů nebude dbA mít přístup k datům v prostém textu.

Enklávy VBS můžou také pomoct zabránit některým hrozbám na úrovni operačního systému, jako je například exfiltrace citlivých dat z výpisů paměti v rámci virtuálního počítače hostujícího vaši databázi. Data ve formátu prostého textu zpracovávaná v enklávě se v výpisech paměti nezobrazují a poskytují kód uvnitř enklávy a jeho vlastnosti nebyly škodlivě změněny. Enklávy VBS ve službě Azure SQL Database ale nemůžou řešit sofistikovanější útoky, jako je například nahrazení binárního souboru enklávy škodlivým kódem kvůli současnému nedostatku ověření enklávy. Bez ohledu na ověření identity také enklávy VBS neposkytují žádnou ochranu před útoky pomocí privilegovaných systémových účtů pocházejících z hostitele. Je důležité si uvědomit, že Microsoft implementoval několik vrstev kontrolních mechanismů zabezpečení, které umožňují detekovat a bránit takovým útokům v cloudu Azure, včetně přístupu za běhu, vícefaktorového ověřování a monitorování zabezpečení. Zákazníci, kteří vyžadují silnou izolaci zabezpečení, však mohou preferovat enklávy Intel SGX s konfigurací hardwaru řady DC-series oproti enklávám VBS.

Plánování ověření identity enklávy ve službě Azure SQL Database

Při použití enkláv Intel SGX v databázích řady DC-series se vyžaduje konfigurace ověření identity pomocí ověřování Microsoft Azure.

Pokud chcete pro ověřování enkláv Intel SGX ve službě Azure SQL Database použít ověření identity Microsoft Azure, musíte vytvořit zprostředkovatele ověření identity a nakonfigurovat ho pomocí zásad ověření identity od Microsoftu. Viz Konfigurace ověření identity pro Always Encrypted s využitím ověřování Azure Attestation.

Role a zodpovědnosti při konfiguraci enkláv a ověření identity Intel SGX

Konfigurace prostředí tak, aby podporovala enklávy Intel SGX a ověření identity pro Always Encrypted ve službě Azure SQL Database, zahrnuje nastavení různých komponent: zprostředkovatele ověření identity, databázi a aplikace, které aktivují ověření identity enklávy. Konfigurace komponent jednotlivých typů provádí uživatelé za předpokladu, že jedna z následujících odlišných rolí:

• Správce ověření identity – vytvoří zprostředkovatele ověření identity v Microsoft Azure Attestation, autory zásad ověření identity, udělí logickému serveru Azure SQL přístup k poskytovateli ověření identity a nasdílí adresu URL ověření identity, která odkazuje na zásadu správcům aplikací.
• Správce databáze (DBA) – umožňuje enklávy SGX v databázích výběrem hardwaru řady DC a poskytne správci ověření identity logického serveru Azure SQL, který potřebuje přístup k poskytovateli ověření identity.
• Správce aplikace – konfiguruje aplikace s adresou URL ověření identity získanou od správce ověření identity.

V produkčních prostředích (zpracování skutečných citlivých dat) je důležité, aby vaše organizace při konfiguraci ověření identity dodržovala oddělení rolí, kde jednotlivé role přebírají různí lidé. Konkrétně pokud cílem nasazení funkce Always Encrypted ve vaší organizaci je omezit prostor pro útoky tím, že správci databází nebudou mít přístup k citlivým datům, neměli by správci databází řídit zásady ověření identity.

Další kroky

• Povolení funkce Always Encrypted se zabezpečenými enklávy pro službu Azure SQL Database

Viz také

• Začínáme používat funkci Always Encrypted se zabezpečenými enklávy