Sdílet prostřednictvím

Důvěrné výpočetní prostředí Azure pro Azure Database for PostgreSQL

Azure Confidential Computing (ACC) umožňuje organizacím bezpečně zpracovávat a spolupracovat na citlivých datech, jako jsou osobní údaje nebo chráněné zdravotní údaje (PHI). ACC poskytuje integrovanou ochranu proti neoprávněnému přístupu zabezpečením dat, která se používají prostřednictvím důvěryhodných spouštěcích prostředí (TEE). To umožňuje zabezpečenou analýzu v reálném čase a strojové učení založené na spolupráci napříč hranicemi organizace.

Principy architektury

Azure Database for PostgreSQL podporuje důvěrné výpočetní operace Azure prostřednictvím důvěryhodných spouštěcích prostředí (TEE), což jsou hardwarové izolované oblasti paměti v rámci procesoru. Data zpracovávaná uvnitř TEE jsou chráněná před přístupem operačního systému, hypervisoru nebo jinými aplikacemi.

  • Kód běží v prostém textu v rámci TEE, ale zůstává zašifrovaný mimo enklávu.
  • Neaktivní uložená data se šifrují a používají.
  • Chráněno před přístupem operačního systému, hypervisoru nebo jinými aplikacemi.

Processors

Azure Confidential Computing se podporuje ve službě Azure Database for PostgreSQL výběrem podporované skladové položky důvěrného virtuálního počítače při vytváření nového serveru. Můžete si vybrat ze dvou procesorů:

  • AMD SEV-SNP

    Snímek obrazovky s procesorem

Skladové položky virtuálního počítače

Skladové položky podporující důvěrné výpočetní prostředky Azure (ACC) pro Azure Database for PostgreSQL jsou:

Název skladové položky Processor Virtuální jádra Paměť (GiB) Maximální počet vstupně-výstupních operací za sekundu Maximální šířka pásma vstupně-výstupních operací (MB/s)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

Nasazení

Azure Database for PostgreSQL můžete nasadit pomocí acc pomocí různých metod, jako jsou Azure Portal, Azure CLI, šablony ARM, Bicep, Terraform, Azure PowerShell, REST API atd.

V tomto příkladu používáme Azure Portal.

Pomocí následujícího postupu nasaďte server Azure Database for PostgreSQL :

  1. Jako oblast vyberte Spojené arabské emiráty – sever .

    Snímek obrazovky se stránkou Základy nasazení portálu Azure Confidential Computing

  2. V části Výpočty a úložiště vyberte Konfigurovat server.

    Snímek obrazovky stránky nasazení výpočetních a úložných prostředků na portálu Azure Confidential Computing

  3. Na kartě Výpočty a úložiště vyberte výpočetní úroveň a výpočetní procesor.

    Snímek obrazovky se stránkou Výpočetní úroveň a procesor nasazení na portálu Azure Confidential Computing

  4. Vyberte Velikost výpočetních prostředků a vyberte skladovou položku důvěrného výpočetního prostředí a velikost podle vašich potřeb.

    Snímek obrazovky se stránkou Výpočetní úroveň a velikost nasazení na portálu Azure Confidential Computing

  5. Nasaďte server.

Compare

Pojďme porovnat virtuální počítače Azure Confidential Compute a Azure Confidential Computing.

Vlastnost Důvěrné výpočetní virtuální počítače Řešení ACC pro databázi Azure pro PostgreSQL
Kořen důvěryhodnosti hardwaru Ano Ano
Důvěryhodné spuštění Ano Ano
Izolace paměti a šifrování Ano Ano
Zabezpečená správa klíčů Ano Ano
Vzdálená ověření identity Ano Ne

Omezení a důležité informace

Před nasazením do produkčního prostředí nezapomeňte pečlivě vyhodnotit omezení.

  • Důvěrné výpočetní operace jsou k dispozici pouze v oblastech Spojené arabské emiráty – sever a Západní Evropa.
  • Obnovení k určitému bodu v čase (PITR) z nekonfidentálních výpočetních skladových položek na důvěrné není povolené.

Související obsah

  • Last updated on