Biztonságos enklávék tervezése az Azure SQL Database-ben
A következőre vonatkozik:
Azure SQL Database
Az Azure SQL Database-ben az Always Encrypted biztonságos enklávékkal intel Software Guard-bővítményeket (Intel SGX) vagy virtualizációalapú biztonsági (VBS) enklávékat használhat.
Intel SGX-enklávék
Az Intel SGX egy hardveralapú megbízható végrehajtási környezet technológiája. Elérhető olyan adatbázisokban és rugalmas készletekben, amelyek a virtuális mag vásárlási modelljét és a DC-sorozat hardverkonfigurációját használják. Ha elérhetővé szeretne tenni egy Intel SGX-enklávét az adatbázishoz vagy a rugalmas készlethez, ki kell választania a DC sorozatú hardverkonfigurációt az adatbázis vagy a rugalmas készlet létrehozásakor, vagy frissítenie kell a meglévő adatbázist vagy rugalmas készletet a DC sorozatú hardver használatához.
Megjegyzés:
Az Intel SGX nem érhető el a DC-sorozattól eltérő hardverekben. Az Intel SGX például nem érhető el standard sorozatú (Gen5) hardverkonfigurációban, és nem érhető el a DTU-modellt használó adatbázisokhoz.
Az Intel SGX-enklávék a Microsoft Azure-igazolás által biztosított igazolásokkal kombinálva erősebb védelmet nyújtanak az operációsrendszer-szintű rendszergazdai hozzáféréssel rendelkező szereplők támadásai ellen, szemben a VBS-enklávékkal. Mielőtt azonban konfigurálja az adatbázis DC-sorozatú hardverét, győződjön meg arról, hogy tisztában van a teljesítmény tulajdonságaival és korlátaival:
- A virtuális magok vásárlási modelljének más hardverkonfigurációitól eltérően a DC-sorozat fizikai processzormagokat használ, nem logikai magokat. A DC-sorozatú adatbázisok erőforráskorlátai eltérnek a standard sorozatú (Gen 5) hardverkonfiguráció erőforráskorlátaitól.
- A DC-sorozatú adatbázisokhoz beállítható processzormagok maximális száma 40.
- A DC-sorozat nem működik kiszolgáló nélküliként.
Ellenőrizze továbbá a DC-sorozatok aktuális regionális elérhetőségét, és győződjön meg arról, hogy elérhető az előnyben részesített régiókban. További részletekért lásd a DC-sorozatot.
Az SGX-enklávék olyan számítási feladatokhoz ajánlottak, amelyek a legerősebb adatbiztonsági védelmet igénylik, és megfelelnek a DC-sorozatok jelenlegi korlátainak.
VBS-enklávék
Fontos
Az Azure SQL Database VBS-enklávéi jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy egyébként még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A VBS-enklávék (más néven virtuális biztonságos mód vagy VSM-enklávék) egy szoftveralapú technológia, amely Windows hipervizorra támaszkodik, és nem igényel speciális hardvert. Ezért a VBS-enklávék minden Azure SQL Database-ajánlatban elérhetők, beleértve az Azure SQL Elastic Poolst is, így rugalmasan használhatja az Always Encryptedt biztonságos enklávékkal számítási mérettel, szolgáltatási szinttel, vásárlási modellel, hardverkonfigurációval és a számítási feladatok igényeinek leginkább megfelelő régióval.
Megjegyzés:
A VBS-enklávék az Azure SQL Database összes régiójában elérhetők, kivéve: Jio India Central.
A VBS-enklávék azoknak az ügyfeleknek ajánlott megoldást jelentenek, akik védelmet keresnek a magas jogosultsággal rendelkező felhasználók által használt adatok számára az ügyfél szervezetében, beleértve az adatbázis-Rendszergazda istratorokat (DBA-kat). Anélkül, hogy a titkosítási kulcsok védik az adatokat, a DBA nem fogja tudni elérni az adatokat egyszerű szövegben.
A VBS-enklávék segíthetnek megelőzni bizonyos operációsrendszer-szintű fenyegetéseket is, például bizalmas adatok kiszűrését az adatbázist üzemeltető virtuális gépek memóriaképeiből. Az enklávéban feldolgozott egyszerű szöveges adatok nem jelennek meg a memóriaképekben, így az enklávéban lévő kódot és tulajdonságait nem módosították rosszindulatúan. Az Azure SQL Database-ben található VBS-enklávék azonban nem képesek kezelni a kifinomultabb támadásokat, például az enklávé bináris fájl rosszindulatú kóddal való lecserélését az enklávéigazolás jelenlegi hiánya miatt. Az igazolástól függetlenül a VBS-enklávék nem nyújtanak védelmet a gazdagépről származó kiemelt rendszerfiókokat használó támadások ellen. Fontos megjegyezni, hogy a Microsoft több biztonsági vezérlőréteget is implementált az ilyen támadások észlelésére és megelőzésére az Azure-felhőben, beleértve az igény szerint történő hozzáférést, a többtényezős hitelesítést és a biztonsági monitorozást. Ennek ellenére az erős biztonsági elkülönítést igénylő ügyfelek előnyben részesíthetik az Intel SGX-enklávékat a DC sorozatú hardverkonfigurációval vBS-enklávékkal szemben.
Enklávéigazolás megtervezése az Azure SQL Database-ben
Az igazolás Microsoft Azure-igazolással történő konfigurálása az Intel SGX-enklávék DC-sorozatú adatbázisokban való használatakor szükséges.
Fontos
Az igazolás jelenleg nem támogatott a VBS-enklávék esetében. A szakasz fennmaradó része csak a DC-sorozatú adatbázisokban lévő Intel SGX-enklávékra vonatkozik.
Ha a Microsoft Azure-igazolást szeretné használni az Intel SGX-enklávék Azure SQL Database-ben való igazolásához, létre kell hoznia egy igazolási szolgáltatót , és konfigurálnia kell azt a Microsoft által biztosított igazolási szabályzattal. Lásd: Az Always Encrypted igazolásának konfigurálása az Azure-igazolással
Szerepkörök és felelősségek az Intel SGX-enklávék és igazolások konfigurálásakor
Ha konfigurálja a környezetet az Azure SQL Database-ben az Always Encrypted Intel SGX-enklávéinak és igazolásainak támogatására, különböző összetevőket kell beállítania: egy igazolási szolgáltatót, egy adatbázist és az enklávéigazolást aktiváló alkalmazásokat. Az egyes típusú összetevők konfigurálását a felhasználók az alábbi különböző szerepkörök egyikével hajtják végre:
- Igazolási rendszergazda – létrehoz egy igazolási szolgáltatót a Microsoft Azure-igazolásban, létrehozza az igazolási szabályzatot, hozzáférést biztosít az Azure SQL logikai kiszolgálónak az igazolási szolgáltatóhoz, és megosztja a szabályzatra mutató igazolási URL-címet az alkalmazásgazdáknak.
- Adatbázis-rendszergazda (DBA) – engedélyezi az SGX-enklávékat az adatbázisokban a DC sorozatú hardver kiválasztásával, és biztosítja az igazolási rendszergazda számára az igazolási szolgáltató eléréséhez szükséges Azure SQL logikai kiszolgáló identitását.
- Alkalmazásadminisztrátor – az igazolási rendszergazda által beszerzett igazolási URL-címmel konfigurálja az alkalmazásokat.
Éles környezetekben (amelyek valós bizalmas adatokat kezelnek) fontos, hogy a szervezet betartsa a szerepkörök elkülönítését az igazolás konfigurálásakor, ahol a különböző szerepköröket különböző személyek feltételezik. Különösen, ha az Always Encrypted szervezeten belüli üzembe helyezésének célja a támadási felület csökkentése azáltal, hogy az adatbázisgazdák nem férnek hozzá a bizalmas adatokhoz, az adatbázis-rendszergazdáknak nem szabad szabályoznia az igazolási szabályzatokat.
Következő lépések
Kapcsolódó információk
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: