Планирование безопасных анклава в База данных SQL Azure

Применимо к: База данных SQL Azure

В База данных SQL Azure анклавы Always Encrypted с безопасными анклавами могут использовать анклавы Intel Software Guard (Intel SGX) или анклавы безопасности на основе виртуализации (VBS).

Анклавы Intel SGX

Intel SGX — это аппаратная технология доверенной среды выполнения. Он доступен в базах данных и эластичных пулах, использующих модель приобретения виртуальных ядер и конфигурацию оборудования серии DC. Чтобы сделать анклав Intel SGX доступным для базы данных или эластичного пула, необходимо выбрать конфигурацию оборудования серии DC при создании базы данных или эластичного пула, либо обновить существующую базу данных или эластичные пулы, чтобы использовать оборудование серии DC.

Примечание.

Технология Intel SGX не поддерживается для другого оборудования, кроме серии DC. Например, Intel SGX недоступна в стандартной конфигурации оборудования (5-го поколения), и она недоступна для баз данных с помощью модели DTU.

Анклавы Intel SGX в сочетании с аттестацией, предоставляемой корпорацией Майкрософт, Аттестация Azure обеспечивают более надежную защиту от атак от субъектов с доступом администратора на уровне ОС по сравнению с анклавами VBS. Однако перед настройкой оборудования серии DC для базы данных убедитесь, что вы знаете о его свойствах производительности и ограничениях:

  • В отличие от других аппаратных конфигураций модели приобретения виртуальных ядер, серия DC использует физические ядра процессора, а не логические ядра. Ограничения ресурсов баз данных серии DC отличаются от ограничений ресурсов стандартной конфигурации оборудования (5-го поколения).
  • Максимальное количество ядер процессора, которые можно задать для базы данных серии DC, равно 40.
  • Серия DC не работает с бессерверным.

Кроме того, проверьте текущую региональную доступность серии DC и убедитесь, что она доступна в предпочитаемых регионах. Дополнительные сведения см. в статье DC-series.

Анклава SGX рекомендуется для рабочих нагрузок, требующих наиболее строгой защиты конфиденциальности данных и которые могут соответствовать текущим ограничениям серии контроллеров домена.

Анклавы VBS

Анклавы VBS (также известные как виртуальный безопасный режим или анклавы VSM) — это программная технология, которая использует гипервизор Windows и не требует специального оборудования. Поэтому анклава VBS доступны во всех предложениях База данных SQL Azure, включая эластичные пулы SQL Azure, что обеспечивает гибкость использования Always Encrypted с безопасными анклавами с размером вычислений, уровнем служб, моделью приобретения, конфигурацией оборудования и регионом, который лучше всего соответствует вашим требованиям к рабочей нагрузке.

Примечание.

Анклава VBS доступны во всех База данных SQL Azure регионах, кроме Jio India Central.

Анклавы VBS — это рекомендуемое решение для клиентов, которые ищут защиту от пользователей с высоким уровнем привилегий в организации клиента, включая администраторов баз данных (DBAs). Без шифрования ключей, защищающих данные, DBA не сможет получить доступ к данным в виде обычного текста.

Анклавы VBS также могут помочь предотвратить некоторые угрозы на уровне ОС, такие как извлечение конфиденциальных данных из дампов памяти в виртуальной машине, в которой размещена база данных. Данные открытого текста, обработанные в анклавах, не отображаются в дампах памяти, предоставляя код внутри анклава и его свойства не были злонамеренно изменены. Однако анклавы VBS в База данных SQL Azure не могут устранять более сложные атаки, такие как замена двоичного файла анклава вредоносным кодом из-за текущего отсутствия аттестации анклава. Кроме того, независимо от аттестации, анклавы VBS не обеспечивают никакой защиты от атак с помощью привилегированных системных учетных записей, поступающих от узла. Важно отметить, что корпорация Майкрософт реализовала несколько уровней средств управления безопасностью для обнаружения и предотвращения таких атак в облаке Azure, включая JIT-доступ, многофакторную проверку подлинности и мониторинг безопасности. Тем не менее, клиенты, которым требуется надежная изоляция безопасности, могут предпочесть анклавы Intel SGX с конфигурацией оборудования серии DC по анклавам VBS.

Планирование аттестации анклава в База данных SQL Azure

Настройка аттестации с помощью Microsoft Аттестация Azure требуется при использовании анклавов Intel SGX в базах данных серии DC.

Внимание

Аттестация в настоящее время не поддерживается для анклавов VBS. Остальная часть этого раздела относится только к анклавам Intel SGX в базах данных серии DC.

Чтобы использовать microsoft Аттестация Azure для подтверждения анклавов Intel SGX в База данных SQL Azure, необходимо создать поставщик аттестации и настроить его с помощью политики аттестации, предоставленной корпорацией Майкрософт. См. Настройка аттестации для Always Encrypted с помощью Аттестации Azure

Роли и обязанности при настройке анклавов Intel SGX и аттестации

Настройка среды для поддержки анклавов Intel SGX и аттестации для Always Encrypted в База данных SQL Azure включает настройку различных компонентов: поставщика аттестации, базы данных и приложений, которые активируют аттестацию анклава. Настройка компонентов каждого типа выполняется пользователями со следующими различными ролями.

  • Администратор аттестации создает поставщика аттестации в Аттестации Microsoft Azure и политику аттестации, предоставляет логическому серверу Azure SQL доступ к поставщику аттестации, а также предоставляет администраторам приложения URL-адрес аттестации, указывающий на политику.
  • Администратор базы данных (DBA) — включает анклавы SGX в базах данных путем выбора оборудования серии DC и предоставляет администратору аттестации удостоверение логического сервера SQL Azure, которому требуется доступ к поставщику аттестации.
  • Администратор приложений настраивает приложения с использованием URL-адреса аттестации, полученного от администратора аттестации.

В рабочих средах (обрабатывающих реальные конфиденциальные данные) важно, чтобы организация придерживалась разделения ролей при настройке аттестации, где каждая отдельная роль назначается разным людям. В частности, если цель развертывания Always Encrypted в организации заключается в сокращении области атак, гарантируя, что администраторы базы данных не могут получить доступ к конфиденциальным данным, администраторы баз данных не должны контролировать политики аттестации.

Следующие шаги

См. также