Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Confidential Computing (ACC) ermöglicht Organisationen das Verarbeiten und Zusammenarbeiten an vertraulichen Daten wie personenbezogenen Daten oder geschützten Gesundheitsinformationen (PHI) mit integriertem Schutz vor unbefugtem Zugriff. Durch die Sicherung von Daten, die über vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments, TEEs) verwendet werden, ermöglicht ACC sichere Echtzeitanalysen und gemeinsames maschinelles Lernen über Organisationsgrenzen hinweg.
Branchen mit strengen behördlichen Anforderungen – wie Finanzwesen, Gesundheitswesen und den öffentlichen Sektor – können vertrauliche Arbeitslasten aus lokalen Umgebungen mit minimalen Codeänderungen in die Cloud migrieren, ohne Leistungseinbußen in Kauf zu nehmen, indem sie Azure Confidential Virtual Machines (VMs) nutzen.
Architektur
Eine **Trusted Execution Environment (TEE)*- ist eine hardwarebasierte, isolierte Speicherregion innerhalb der CPU. Die innerhalb des TEE verarbeiteten Daten sind vor dem Zugriff durch das Betriebssystem, den Hypervisor oder andere Anwendungen geschützt.
- Code wird im Klartext innerhalb des TEE ausgeführt, bleibt aber außerhalb der Enklave verschlüsselt.
- Daten werden im Ruhezustand, während der Übertragung sowie in Nutzung verschlüsselt.
**AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging)*- bietet vollständige Speicherverschlüsselung und Speicherintegritätsüberprüfung, um Angriffe wie die Speicherneuzuordnung und -wiedergabe zu verhindern. Es unterstützt Lift-and-Shift-Migrationen vorhandener Anwendungen zu Azure Confidential Computing, ohne Dass Codeänderungen erforderlich sind oder sich auf die Leistung auswirken.
Remotenachweis
Der Remotenachweis ist der Prozess der Überprüfung, dass ein TEE sicher ist und überprüften Code ausführt, bevor er Zugriff auf vertrauliche Ressourcen gewährt.
Nachweisfluss:
- Der TEE sendet einen Bericht, der einen kryptografischen Hash der geladenen Code- und Umgebungskonfiguration enthält.
- Der Nachweisdienst (Verifier) überprüft Folgendes:
- Die Integrität des Zertifikats.
- Der Aussteller ist vertrauenswürdig.
- Der TEE befindet sich nicht auf einer Sperrliste.
- Wenn die Überprüfung erfolgreich ist, gibt der Prüfer ein Nachweistoken aus.
- Der TEE stellt das Token dem geheimen Manager vor.
- Der Geheimnis-Manager überprüft das Token anhand der Richtlinie, bevor Geheimnisse freigegeben werden.
Confidential Computing
Azure sichert Daten im Ruhezustand und während der Übertragung. Confidential Computing fügt mit hardwaregesicherten, attestierten TEEs Schutz für Daten in Verwendung hinzu.
Das Confidential Computing Consortium (CCC) definiert vertrauliche Computer als:
Hinweis
Vertrauliches Computing schützt Daten, die verwendet werden, indem berechnungen in einer hardwarebasierten, attestierten Trusted Execution Environment (TEE) durchgeführt werden.
Vertrauliches Computing bietet Folgendes:
- Hardwarestamm der Vertrauensstellung:Verankert die TEE-Sicherheit in der vertrauenswürdigen Hardware des Prozessors.
- Remotenachweis – Überprüft die Workloadintegrität, bevor der Zugriff auf Daten zugelassen wird.
- Vertrauenswürdiger Start – Stellt sicher, dass VMs mit überprüfter Software und Konfigurationen beginnen.
- Speicherisolation und Verschlüsselung – Sichert Speicherdaten vor unbefugtem Zugriff.
- Sichere Schlüsselverwaltung – Veröffentlicht Schlüssel nur, um überprüfte, attestierte Umgebungen zu überprüfen.
Azure-Datenbank für Die PostgreSQL-Integration
Azure Confidential Computing wird in Der Azure-Datenbank für PostgreSQL unterstützt. Aktivieren Sie ACC, indem Sie beim Erstellen eines neuen Servers eine unterstützte SKU für vertrauliche virtuelle Computer (VM) auswählen.
Von Bedeutung
Nachdem der Server erstellt wurde, können Sie nicht zwischen vertraulichen und nichtkonfidentialen Berechnungsoptionen wechseln.
Sie können Azure-Datenbank für PostgreSQL mit ACC mit jeder unterstützten Methode bereitstellen (z. B. Azure-Portal, Azure CLI, ARM-Vorlagen, Bicep, Terraform, Azure PowerShell, REST-API usw.).
Unterstützte ACC-SKUs
Wählen Sie aus den folgenden SKUs basierend auf Ihren Compute- und E/A-Anforderungen aus:
| **SKU Name*- | **vCores*- | **Speicher (GiB)*- | **Max IOPS*- | **Max. E/A-Bandbreite (MBps)*- |
|---|---|---|---|---|
| Standard_EC2ads_v5 | 2 | 16 | 3,750 | 48 |
| Standard_DC4ads_v5 | 4 | 16 | 6\.400 | 96 |
| Standard_DC8ads_v5 | 8 | 32 | 12.800 | 192 |
| Standard_DC16ads_v5 | 16 | 64 | 25.600 | 384 |
| Standard_DC32ads_v5 | 32 | 128 | 51.200 | 768 |
| Standard_DC48ads_v5 | 48 | 192 | 76.800 | 1,152 |
| Standard_DC64ads_v5 | 64 | 256 | 80.000 | 1\.200 |
| Standard_DC96ads_v5 | 96 | 384 | 80.000 | 1\.200 |
Preis
Die aktuellen Preisinformationen finden Sie unter Preise für Azure Database for PostgreSQL – Flexibler Server.
Das Azure-Portal zeigt Ihnen außerdem eine Schätzung der monatlichen Kosten einer Serverkonfiguration basierend auf den ausgewählten Optionen.
Diese Schätzung kann während der gesamten Servererstellungserfahrung auf der Seite Neue Azure Database for PostgreSQL – Flexibler Server angezeigt werden:
Es kann auch für vorhandene Server angezeigt werden, wenn Sie im Ressourcenmenü einer vorhandenen Instanz im Abschnitt Einstellungen die Option Compute + Speicher auswählen:
Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie den Azure-Preisrechner verwenden, um einen geschätzten Preis zu erhalten. Wählen Sie auf der Website des Azure-Preisrechners die Kategorie Datenbanken aus, und wählen Sie dann Azure Database for PostgreSQL aus, um den Dienst zu Ihren Schätzungen hinzuzufügen und dann die Optionen anzupassen.