Azure SQL 데이터베이스의 보안 Enclave 플랜
적용 대상: Azure SQL Database
Azure SQL 데이터베이스에서 보안 enclave의 Always Encrypted에는 Intel SGX(Intel Software Guard Extensions) enclave 또는 VBS(Virtualization-based Security)를 사용할 수 있습니다.
Intel SGX enclave
Intel SGX는 하드웨어 기반의 신뢰할 수 있는 실행 환경 기술입니다. vCore 구매 모델 및 DC 시리즈 하드웨어 구성을 사용하는 데이터베이스 및 Elastic Pool에서 사용할 수 있습니다. 데이터베이스 또는 Elastic Pool에 Intel SGX Enclave를 사용할 수 있도록 하려면 데이터베이스 또는 Elastic Pool을 만들 때 DC 시리즈 하드웨어 구성을 선택하거나 DC 시리즈 하드웨어를 사용하도록 기존 데이터베이스 또는 Elastic Pool을 업데이트해야 합니다.
참고 항목
Intel SGX는 DC 시리즈 이외의 하드웨어에서 사용할 수 없습니다. 예를 들어 Intel SGX는 표준 시리즈(Gen5) 하드웨어에 사용할 수 없으며 DTU 모델을 사용하는 데이터베이스에 사용할 수 없습니다.
Microsoft Azure Attestation에서 제공하는 증명과 결합된 Intel SGX Enclave는 VBS Enclave에 비해 OS 수준 관리자 액세스 권한이 있는 행위자의 공격에 대해 더 강력한 보호를 제공합니다. 그러나 데이터베이스에 대한 DC 시리즈 하드웨어를 구성하기 전에 성능 속성 및 제한 사항을 알아야 합니다.
- vCore 구매 모델의 다른 하드웨어 구성과 달리 DC 시리즈는 논리 코어가 아닌 물리적 프로세서 코어를 사용합니다. DC 시리즈 데이터베이스의 리소스 제한은 표준 시리즈(Gen 5) 하드웨어 구성의 리소스 제한과 다릅니다.
- DC 시리즈 데이터베이스에 대해 설정할 수 있는 프로세서 코어의 최대 수는 40개입니다.
- DC 시리즈는 서버리스에서 작동하지 않습니다.
또한 DC 시리즈의 현재 지역 가용성을 확인하여 선호하는 지역에서 사용할 수 있는지 확인해야 합니다. 자세한 내용은 DC 시리즈를 참조하세요.
SGX enclave는 가장 강력한 데이터 기밀성 보호가 필요한 워크로드에 권장되며 DC 시리즈의 현재 제한 사항을 준수할 수 있습니다.
VBS enclave
VBS enclave(가상 보안 모드 또는 VSM enclave라고도 함)는 Windows 하이퍼바이저를 사용하며 특별한 하드웨어를 요구하지 않는 소프트웨어 기반 기술입니다. 따라서 VBS enclave는 Azure SQL Elastic Pool을 비롯한 모든 Azure SQL 데이터베이스 제품에서 사용할 수 있으며, 보안 enclave를 사용하는 Always Encrypted를 워크로드 요구 사항을 가장 잘 충족하는 컴퓨팅 크기, 서비스 계층, 구매 모델, 하드웨어 구성 및 지역 설정과 함께 사용할 수 있는 유연함을 제공합니다.
참고 항목
VBS enclave는 Jio India Central을 제외한 모든 Azure SQL 데이터베이스 지역에서 사용할 수 있습니다.
VBS enclave는 DBA(데이터터베이스 관리자)를 포함하여 고객의 조직에서 권한이 높은 사용자가 사용하는 데이터에 대한 보호를 원하는 고객에게 권장되는 솔루션입니다. 암호화 키를 사용하여 데이터를 보호하지 않으면 DBA는 일반 텍스트로 데이터에 액세스할 수 없습니다.
또한 VBS enclave는 데이터베이스를 호스팅하는 VM 내의 메모리 덤프에서 중요한 데이터를 반출하는 것과 같은 일부 OS 수준 위협을 방지하는 데 도움이 될 수 있습니다. Enclave에서 처리된 일반 텍스트 데이터는 메모리 덤프에 표시되지 않으므로 enclave 내의 코드와 해당 속성이 악의적으로 변경되지 않습니다. 그러나 Azure SQL 데이터베이스의 VBS enclave는 현재 enclave 증명이 부재하기 때문에 enclave 이진 파일을 악성 코드로 바꾸는 등 보다 정교한 공격을 해결할 수 없습니다. 또한 증명에 관계없이 VBS enclave는 호스트에서 시작된 권한 있는 시스템 계정을 사용하여 공격으로부터 어떠한 보호도 제공하지 않습니다. Microsoft는 Just-In-Time 액세스, 다단계 인증 및 보안 모니터링을 포함하여 Azure 클라우드에서 이러한 공격을 감지하고 방지하기 위해 여러 계층의 보안 제어를 구현했습니다. 그럼에도 불구하고 강력한 보안 격리가 필요한 고객은 VBS Enclave보다 DC 시리즈 하드웨어 구성을 사용하는 Intel SGX Enclave를 선호할 수 있습니다.
Azure SQL 데이터베이스의 증명 플랜
DC 시리즈 데이터베이스에서 Intel SGX enclave를 사용하는 경우 Microsoft Azure Attestation을 사용하여 증명을 구성해야 합니다.
Important
증명은 현재 VBS Enclave에 대해 지원되지 않습니다. 이 섹션의 알림은 DC 시리즈 데이터베이스의 Intel SGX enclave에만 적용됩니다.
Azure SQL 데이터베이스에서 Intel SGX enclave를 증명하는 데 Azure Attestation을 사용하려면 증명 공급자를 만들고 Microsoft에서 제공하는 증명 정책을 사용하여 구성해야 합니다. Azure Attestation을 사용하여 Always Encrypted에 대한 증명 구성을 참조하세요.
Intel SGX Enclave 및 Enclave 및 증명 구성 역할 및 책임
Azure SQL 데이터베이스의 Always Encrypted에 대한 Intel SGX Enclave 및 증명을 지원하도록 환경을 구성하려면 증명 공급자, 데이터터베이스 및 Enclave 증명을 트리거하는 애플리케이션과 같은 다양한 유형의 구성 요소를 설정해야 합니다. 각 형식의 구성 요소는 다음과 같은 고유한 역할 중 하나를 수행하는 사용자가 구성합니다.
- 증명 관리자 - Microsoft Azure Attestation에서 증명 공급자를 만들고, 증명 정책을 작성하며, Azure SQL 논리 서버에 증명 공급자에 대한 액세스 권한을 부여하고, 정책을 가리키는 증명 URL을 애플리케이션 관리자에게 공유합니다.
- DBA(데이터베이스 관리자) - DC 시리즈 하드웨어를 선택하여 데이터베이스에서 SGX Enclave를 사용하도록 설정하고 증명 공급자에 액세스해야 하는 Azure SQL 논리 서버의 ID를 증명 관리자에게 제공합니다.
- 애플리케이션 관리자 - 증명 관리자로부터 얻은 증명 URL을 사용하여 애플리케이션을 구성합니다.
프로덕션 환경(실제 중요한 데이터 처리)에서 조직은 증명을 구성할 때 각 고유한 역할을 서로 다른 사용자가 수행하는 역할 분리를 준수해야 합니다. 특히, Azure SQL Databas 관리자가 중요한 데이터에 액세스할 수 없도록 함으로써 공격 노출 영역을 줄이기 위해 조직에 Always Encrypted를 배포하는 경우에는 Azure SQL 데이터베이스 관리자가 증명 정책을 제어하지 않아야 합니다.