Pianificare enclave sicuri in database SQL di Azure
Si applica a:
database SQL di Azure
In database SQL di Azure, Always Encrypted con enclave sicuri può usare enclave Intel Software Guard Extensions (Intel SGX) o enclave di sicurezza basata su virtualizzazione.
Enclave Intel SGX
Intel SGX è una tecnologia di ambiente di esecuzione attendibile basata su hardware. È disponibile nei database e nei pool elastici che usano il modello di acquisto vCore e la configurazione hardware della serie DC. Per rendere disponibile un enclave Intel SGX per il database o il pool elastico, è necessario selezionare la configurazione hardware della serie DC quando si crea il database o il pool elastico oppure è possibile aggiornare il database o il pool elastico esistente per usare l'hardware della serie DC.
Nota
Intel SGX non è disponibile nell'hardware diverso dalla serie DC. Intel SGX, ad esempio, non è disponibile nella configurazione hardware della serie Standard (Gen5) e non è disponibile per i database che usano il modello DTU.
Le enclave Intel SGX combinate con l'attestazione fornita da Microsoft attestazione di Azure offrono una protezione più avanzata dagli attacchi da parte di attori con accesso amministratore a livello di sistema operativo, rispetto alle enclave VBS. Tuttavia, prima di configurare l'hardware della serie DC per il database, assicurarsi di conoscere le relative proprietà e limitazioni delle prestazioni:
- A differenza di altre configurazioni hardware del modello di acquisto vCore, la serie DC usa core del processore fisico, non core logici. I limiti delle risorse dei database della serie DC differiscono dai limiti delle risorse della configurazione hardware della serie standard (Gen 5).
- Il numero massimo di core del processore che è possibile impostare per un database della serie DC è 40.
- La serie DC non funziona con serverless.
Controllare anche la disponibilità a livello di area corrente della serie DC e assicurarsi che sia disponibile nelle aree preferite. Per informazioni dettagliate, vedere DC-series.
Le enclave SGX sono consigliate per i carichi di lavoro che richiedono la protezione più avanzata della riservatezza dei dati e possono rispettare le limitazioni correnti della serie DC.
Enclave VBS
Le enclave VBS (note anche come modalità di protezione virtuale o enclave VSM) sono una tecnologia basata su software che si basa sull'hypervisor Windows e non richiede hardware speciale. Di conseguenza, le enclave VBS sono disponibili in tutte le offerte di database SQL di Azure, inclusi i pool elastici SQL di Azure, offrendo la flessibilità di usare Always Encrypted con enclave sicuri con dimensioni di calcolo, livello di servizio, modello di acquisto, configurazione hardware e area che soddisfano meglio i requisiti del carico di lavoro.
Nota
Le enclave VBS sono disponibili in tutte le aree database SQL di Azure ad eccezione di Jio India Central.
Le enclave VBS sono la soluzione consigliata per i clienti che cercano la protezione dei dati in uso da utenti con privilegi elevati nell'organizzazione del cliente, tra cui Database Amministrazione istrators (DBA). Senza che le chiavi crittografiche proteggono i dati, un amministratore del database non sarà in grado di accedere ai dati in testo non crittografato.
Le enclave VBS possono anche aiutare a prevenire alcune minacce a livello di sistema operativo, ad esempio l'esfiltrazione di dati sensibili dai dump di memoria all'interno di una macchina virtuale che ospita il database. I dati in testo non crittografato elaborati in un enclave non vengono visualizzati nei dump della memoria, fornendo il codice all'interno dell'enclave e le relative proprietà non sono state modificate in modo dannoso. Tuttavia, le enclave VBS in database SQL di Azure non possono affrontare attacchi più sofisticati, ad esempio sostituendo il file binario dell'enclave con codice dannoso, a causa della mancanza corrente di attestazione dell'enclave. Inoltre, indipendentemente dall'attestazione, le enclave VBS non forniscono alcuna protezione dagli attacchi che usano account di sistema con privilegi provenienti dall'host. È importante notare che Microsoft ha implementato più livelli di controlli di sicurezza per rilevare e prevenire tali attacchi nel cloud di Azure, tra cui l'accesso JITE, l'autenticazione a più fattori e il monitoraggio della sicurezza. Tuttavia, i clienti che richiedono un forte isolamento della sicurezza potrebbero preferire enclave Intel SGX con la configurazione hardware della serie DC rispetto alle enclave VBS.
Pianificare l'attestazione dell'enclave in database SQL di Azure
La configurazione dell'attestazione tramite Microsoft attestazione di Azure è necessaria quando si usano enclave Intel SGX nei database della serie DC.
Importante
L'attestazione non è attualmente supportata per le enclave VBS. La parte restante di questa sezione si applica solo alle enclave Intel SGX nei database della serie DC.
Per usare Microsoft attestazione di Azure per attestare le enclave Intel SGX in database SQL di Azure, è necessario creare un provider di attestazioni e configurarlo con i criteri di attestazione forniti da Microsoft. Vedere Configurare l'attestazione per Always Encrypted usando attestazione di Azure
Ruoli e responsabilità durante la configurazione di enclave e attestazioni intel SGX
La configurazione dell'ambiente per supportare enclave e attestazioni Intel SGX per Always Encrypted in database SQL di Azure comporta l'impostazione di componenti diversi: un provider di attestazioni, un database e applicazioni che attivano l'attestazione dell'enclave. La configurazione dei componenti di ogni tipo viene eseguita dagli utenti presupponendo uno dei ruoli distinti seguenti:
- Amministratore attestazione: crea un provider di attestazioni in Microsoft attestazione di Azure, crea i criteri di attestazione, concede al server logico SQL di Azure l'accesso al provider di attestazione e condivide l'URL di attestazione che punta ai criteri agli amministratori dell'applicazione.
- Amministratore del database : abilita le enclave SGX nei database selezionando l'hardware della serie DC e fornisce all'amministratore dell'attestazione l'identità del server logico SQL di Azure che deve accedere al provider di attestazioni.
- Amministratore dell'applicazione: configura le applicazioni con l'URL di attestazione ottenuto dall'amministratore dell'attestazione.
Negli ambienti di produzione (gestione di dati sensibili reali), è importante che l'organizzazione rispetti la separazione dei ruoli durante la configurazione dell'attestazione, in cui ogni ruolo distinto viene assunto da persone diverse. In particolare, se l'obiettivo della distribuzione di Always Encrypted nell'organizzazione è ridurre la superficie di attacco assicurando che gli amministratori di database non possano accedere ai dati sensibili, gli amministratori di database non devono controllare i criteri di attestazione.
Passaggi successivi
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per