Pianificare le enclave e l'attestazione di Intel SGX nel database SQL di Azure

Si applica a: Database SQL di Azure

Always Encrypted con enclave sicuri nel database Azure SQL usa enclave Intel Software Guard (Intel SGX) e richiede Microsoft attestazione di Azure.

Pianificare Intel SGX nel database Azure SQL

Intel SGX è una tecnologia di ambiente di esecuzione attendibile basata su hardware. Intel SGX è disponibile per i database che usano il modello vCore e l'hardware della serie DC . Pertanto, per assicurarsi di poter usare Always Encrypted con enclave sicuri nel database, è necessario selezionare l'hardware della serie DC quando si crea il database oppure è possibile aggiornare il database esistente per usare l'hardware della serie DC.

Nota

Intel SGX non è disponibile nell'hardware diverso dalla serie DC. Ad esempio, Intel SGX non è disponibile per l'hardware Gen5 e non è disponibile per i database usando il modello DTU.

Importante

Prima di configurare l'hardware della serie DC per il database, controllare la disponibilità a livello di area della serie DC e assicurarsi di comprendere le limitazioni delle prestazioni. Per informazioni dettagliate, vedere DC-series.

Pianificare l'attestazione nel database Azure SQL

Microsoft attestazione di Azure è una soluzione per l'attestazione di ambienti di esecuzione attendibili (TEE), incluse le enclave Intel SGX nei database Azure SQL usando l'hardware della serie DC.

Per usare attestazione di Azure per l'attestazione di enclave Intel SGX nel database Azure SQL, è necessario creare un provider di attestazione e configurarlo con i criteri di attestazione forniti da Microsoft. Vedere Configurare l'attestazione per Always Encrypted usando attestazione di Azure

Ruoli e responsabilità quando si configurano enclave SGX e attestazioni

La configurazione dell'ambiente per supportare enclave e attestazioni Intel SGX per Always Encrypted nel database Azure SQL comporta la configurazione di componenti di tipi diversi: Microsoft attestazione di Azure, database Azure SQL e applicazioni che attivano l'attestazione dell'enclave. La configurazione dei componenti di ogni tipo viene eseguita dagli utenti presupponendo uno dei ruoli distinti seguenti:

  • Amministratore attestazione: crea un provider di attestazioni in Microsoft attestazione di Azure, autori dei criteri di attestazione, concede Azure SQL accesso al server logico al provider di attestazione e condivide l'URL di attestazione che punta ai criteri agli amministratori dell'applicazione.
  • Azure SQL amministratore del database: abilita le enclave SGX nei database selezionando l'hardware della serie DC e fornisce all'amministratore dell'attestazione l'identità del server logico Azure SQL che deve accedere al provider di attestazioni.
  • Amministratore dell'applicazione: configura le applicazioni con l'URL di attestazione ottenuto dall'amministratore dell'attestazione.

Negli ambienti di produzione (che gestiscono dati sensibili reali), è importante che l'organizzazione rispetti la separazione dei ruoli durante la configurazione dell'attestazione, assicurandosi che ogni ruolo distinto venga assunto da persone diverse. In particolare, se l'obiettivo di distribuire Always Encrypted nell'organizzazione consiste nel ridurre l'area di superficie di attacco assicurando che gli amministratori del database Azure SQL non possano accedere ai dati sensibili, Azure SQL gli amministratori del database non devono controllare i criteri di attestazione.

Passaggi successivi

Vedere anche