Plan para enclaves seguros en Azure SQL Database
Se aplica a: la base de datos de Azure SQL
En Azure SQL Database, Always Encrypted con enclaves seguros puede usar enclaves de Intel Software Guard Extensions (Intel SGX) o enclaves de seguridad basada en virtualización (VBS).
Enclaves de Intel SGX
Intel SGX es una tecnología de entorno de ejecución de confianza basado en hardware. Está disponible en bases de datos y grupos elásticos que usan el modelo de compra de núcleo virtual y la configuración de hardware de la serie DC. Para que un enclave de Intel SGX esté disponible para la base de datos o el grupo elástico, debe seleccionar la configuración de hardware de la serie DC al crear la base de datos o el grupo elástico o puede actualizar la base de datos o el grupo elástico existente para usar el hardware de la serie DC.
Nota:
Intel SGX no está disponible en el hardware que no sea de serie DC. Por ejemplo, Intel SGX no está disponible en la configuración de hardware de serie estándar (Gen5) ni para las bases de datos que usan el modelo de DTU.
Los enclaves de Intel SGX combinados con la atestación proporcionada por Microsoft Azure Attestation ofrecen una protección más fuerte frente a los ataques procedentes de actores con el acceso de administrador de nivel de SO, en comparación con los enclaves de VBS. Sin embargo, antes de configurar el hardware de la serie DC para la base de datos, asegúrese de que conoce sus propiedades y limitaciones de rendimiento:
- A diferencia de otras configuraciones de hardware del modelo de compra de núcleos virtuales, la serie DC usa núcleos de procesador físicos, no núcleos lógicos. Los límites de recursos de las bases de datos de la serie DC difieren de los límites de recursos de la configuración de hardware de la serie estándar (Gen 5).
- El número máximo de núcleos de procesador que puede establecer para una base de datos de la serie DC es 40.
- La serie DC no funciona sin servidor.
Además, compruebe la disponibilidad regional actual de la serie DC y asegúrese de que está disponible en las regiones preferidas. Para obtener información detallada, vea Serie DC.
Los enclaves de SGX se recomiendan para cargas de trabajo que requieren la protección de confidencialidad de datos más sólida y pueden cumplir las limitaciones actuales de la serie DC.
Enclaves de VBS
Los enclaves de VBS (también conocidos como modo seguro virtual o enclaves de VSM) son una tecnología basada en software que depende del hipervisor de Windows y no requiere ningún hardware especial. Por lo tanto, los enclaves de VBS están disponibles en todas las ofertas de Azure SQL Database, incluidos los grupos elásticos de Azure SQL, lo que le proporciona la flexibilidad de usar Always Encrypted con enclaves seguros con el tamaño de proceso, el nivel de servicio, el modelo de compra, la configuración de hardware y la región que mejor cumplan los requisitos de carga de trabajo.
Nota
Los enclaves de VBS están disponibles en todas las regiones de Azure SQL Database excepto en JIO, India central.
Los enclaves de VBS son la solución recomendada para los clientes que buscan la protección de los datos en uso de usuarios con privilegios elevados en la organización del cliente, incluidos los administradores de bases de datos (DBA). Sin tener las claves criptográficas que protegen los datos, un DBA no podrá acceder a los datos en texto plano.
Los enclaves de VBS también pueden ayudar a evitar algunas amenazas de nivel de SO, como la filtración de datos confidenciales a partir de volcados de memoria dentro de una VM que hospeda la base de datos. Los datos procesados de texto no cifrado en un enclave no se muestran en volcados de memoria, lo que proporciona el código dentro del enclave y sus propiedades no se han modificado de forma malintencionada. Sin embargo, los enclaves de VBS en Azure SQL Database no pueden abordar ataques más sofisticados, como reemplazar el binario de enclave por código malintencionado, debido a la falta actual de atestación de enclave. Además, independientemente de la atestación, los enclaves de VBS no proporcionan protección frente a ataques mediante cuentas de sistema con privilegios que se originan en el host. Es importante tener en cuenta que Microsoft ha implementado varias capas de controles de seguridad para detectar y evitar estos ataques en la nube de Azure, incluido el acceso Just-In-Time, la autenticación multifactor y la supervisión de seguridad. Sin embargo, los clientes que requieren un aislamiento de seguridad sólido pueden preferir enclaves de Intel SGX con la configuración de hardware de la serie DC en lugar de enclaves de VBS.
Plan de atestación de enclaves en Azure SQL Database
La configuración de la atestación mediante Microsoft Azure Attestation es necesaria cuando se usan enclaves de Intel SGX en bases de datos de la serie DC.
Importante
La atestación no se admite actualmente para enclaves de VBS. El resto de esta sección solo se aplica a los enclaves de Intel SGX en las bases de datos de la serie DC.
Para usar Azure Attestation para atestiguar enclaves de Intel SGX en Azure SQL Database, debe crear un proveedor de atestación y configurarlo con la directiva de atestación proporcionada por Microsoft. Consulte Configuración de la atestación para Always Encrypted mediante Azure Attestation.
Roles y responsabilidades al configurar la atestación y los enclaves de Intel SGX
La configuración del entorno para que sea compatible con los enclaves de Intel SGX y la atestación de Always Encrypted en Azure SQL Database implica la configuración de diferentes componentes: un proveedor de atestación, una base de datos y aplicaciones que desencadenan la atestación de enclaves. Los usuarios realizan la configuración de los componentes de cada tipo y asumen uno de los roles siguientes:
- Administrador de atestación: crea un proveedor de atestación en Microsoft Azure Attestation, crea la directiva de atestación, concede acceso al servidor lógico de Azure SQL al proveedor de atestación y comparte la dirección URL de atestación que apunta a la directiva con los administradores de la aplicación.
- Administrador de base de datos: habilita los enclaves de SGX en las bases de datos seleccionando el hardware de serie DC y proporciona al administrador de atestación la identidad del servidor lógico de Azure SQL que necesita tener acceso al proveedor de atestación.
- Administrador de aplicaciones: configura las aplicaciones con la dirección URL de atestación obtenida del administrador de atestación.
En entornos de producción (donde se controlan datos confidenciales reales), es importante que la organización se adhiera a la separación de roles al configurar la atestación, donde cada rol distinto es asumido por usuarios diferentes. En concreto, si el objetivo de implementar Always Encrypted en la organización es reducir el área expuesta a ataques asegurándose de que los administradores de base de datos no puedan tener acceso a los datos confidenciales, dichos administradores no deben controlar las directivas de atestación.