Pianificare enclave sicure nel database SQL di Azure

  • Articolo

Si applica a: Database SQL di Azure

Nel database SQL di Azure, Always Encrypted con enclavi sicure può usare enclavi Intel Software Guard Extensions (Intel SGX) o enclavi di sicurezza basata su virtualizzazione (VBS).

Enclave Intel SGX

Intel SGX è una tecnologia basata su hardware di ambiente di esecuzione attendibile. È disponibile nei database e nei pool elastici che usano il modello di acquisto vCore e la configurazione hardware di serie DC. Per rendere disponibile un enclave Intel SGX per il database o il pool elastico, è necessario selezionare la configurazione hardware di serie DC quando si crea il database o il pool elastico oppure è possibile aggiornare il database o il pool elastico esistente per usare l'hardware di serie DC.

Nota

Intel SGX non è disponibile in hardware diversi dalla serie DC. Ad esempio, Intel SGX non è disponibile per la configurazione hardware di serie standard (Gen5) né per i database che usano il modello DTU.

Le enclave Intel SGX combinate con l'attestazione fornita da Attestazione di Microsoft Azure offrono una protezione più avanzata dagli attacchi da parte di attori con accesso amministratore a livello di sistema operativo, rispetto alle enclave VBS. Tuttavia, prima di configurare l'hardware di serie DC per il database, assicurarsi di conoscere le relative proprietà e limitazioni delle prestazioni:

  • A differenza di altre configurazioni hardware del modello di acquisto vCore, la serie DC usa core del processore fisico invece di core logici. I limiti delle risorse dei database di serie DC differiscono dai limiti delle risorse della configurazione hardware di serie standard (Gen 5).
  • Il numero massimo di core del processore che è possibile impostare per un database di serie DC è 40.
  • La serie DC non funziona con serverless.

Controllare anche la disponibilità corrente a livello di area della serie DC e assicurarsi che sia disponibile nelle aree preferite. Per informazioni dettagliate, vedere Serie DC.

Le enclave SGX sono consigliate per i carichi di lavoro che richiedono la protezione della riservatezza dei dati più avanzata e possono rispettare le limitazioni correnti della serie DC.

Enclave VBS

Le enclave VBS (note anche come modalità protetta virtuale o enclave VSM) sono una tecnologia basata su software che si basa sull'hypervisor Windows e non richiede hardware speciale. Di conseguenza, le enclave VBS sono disponibili in tutte le offerte del database SQL di Azure, inclusi i pool elastici SQL di Azure, offrendo la flessibilità di usare Always Encrypted con enclave sicure con dimensioni di calcolo, livello di servizio, modello di acquisto, configurazione hardware e area che soddisfano al meglio i requisiti del carico di lavoro.

Nota

Le enclave VBS sono disponibili in tutte le aree del database SQL di Azure ad eccezione di: Jio India centrale.

Le enclave VBS sono la soluzione consigliata per i clienti che cercano la protezione dei dati in uso da utenti con privilegi elevati nell'organizzazione del cliente, tra cui gli amministratori di database (DBA). Senza le chiavi crittografiche che proteggono i dati, un amministratore di database non sarà in grado di accedere ai dati in testo non crittografato.

Le enclave VBS possono anche aiutare a prevenire alcune minacce a livello di sistema operativo, ad esempio l'esfiltrazione di dati sensibili dai dump di memoria all'interno di una VM che ospita il database. I dati in testo non crittografato elaborati in un'enclave non vengono visualizzati nei dump di memoria, a condizione che il codice all'interno dell'enclave e le relative proprietà non siano stati modificati per finalità dannose. Tuttavia, le enclave VBS nel database SQL di Azure non possono affrontare attacchi più sofisticati, ad esempio la sostituzione del file binario dell'enclave con codice dannoso, a causa dell'attuale mancanza di attestazione dell'enclave. Inoltre, indipendentemente dall'attestazione, le enclave VBS non forniscono nessuna protezione dagli attacchi che usano account di sistema con privilegi provenienti dall'host. È importante notare che Microsoft ha implementato più livelli di controlli di sicurezza per rilevare e prevenire tali attacchi nel cloud di Azure, tra cui l'accesso just-in-time, l'autenticazione a più fattori e il monitoraggio della sicurezza. Tuttavia, i clienti che richiedono un isolamento della sicurezza avanzato potrebbero preferire enclave Intel SGX con la configurazione hardware di serie DC rispetto alle enclave VBS.

Pianificare l'attestazione dell'enclave nel database SQL di Azure

La configurazione dell'attestazione usando Attestazione di Microsoft Azure è necessaria quando si usano enclave Intel SGX nei database di serie DC.

Importante

L'attestazione attualmente non è supportata per le enclave VBS. La parte restante di questa sezione si applica solo alle enclave Intel SGX nei database di serie DC.

Per usare Attestazione di Microsoft Azure per attestare le enclave Intel SGX nel database SQL di Azure, è necessario creare un provider di attestazioni e configurarlo con i criteri di attestazione forniti da Microsoft. Vedere Configurare l'attestazione per Always Encrypted con l'attestazione di Azure

Ruoli e responsabilità durante la configurazione di enclave e attestazioni Intel SGX

La configurazione dell'ambiente per supportare le enclave e le attestazioni Intel SGX per Always Encrypted nel database SQL di Azure comporta l'impostazione di componenti diversi: un provider di attestazioni, un database e applicazioni che attivano l'attestazione dell'enclave. La configurazione dei componenti di ogni tipo viene eseguita dagli utenti presupponendo uno dei ruoli distinti seguenti:

  • Amministratore attestazione: crea un provider di attestazioni in Attestazione di Microsoft Azure, crea i criteri di attestazione, concede al server logico di Azure SQL l'accesso al provider di attestazioni e condivide l'URL di attestazione che punta ai criteri agli amministratori di applicazioni.
  • Amministratore di database (DBA): abilita le enclave SGX nei database selezionando l'hardware di serie DC e fornisce all'amministratore dell'attestazione l'identità del server logico di Azure SQL che deve accedere al provider di attestazioni.
  • Amministratore delle applicazioni: configura le applicazioni con l'URL di attestazione ottenuto dall'amministratore dell’attestazione.

Negli ambienti di produzione (che gestiscono dati sensibili reali), è importante che l'organizzazione rispetti la separazione dei ruoli durante la configurazione dell'attestazione, assicurandosi che ogni ruolo distinto venga assunto da persone diverse. In particolare, se l'obiettivo della distribuzione di Always Encrypted nell'organizzazione è quello di ridurre la superficie di attacco garantendo che gli amministratori di database non possano accedere ai dati sensibili, gli amministratori di database non devono controllare i criteri di attestazione.

Passaggi successivi

Vedi anche