ACC(Azure 기밀 컴퓨팅)를 사용하면 조직에서 개인 데이터 또는 PHI(민감 건강 정보)와 같은 중요한 데이터를 안전하게 처리하고 공동으로 작업할 수 있습니다. ACC는 TEE(신뢰 실행 환경)를 통해 사용 중인 데이터를 보호하는 방식으로 무단 액세스에 대한 보호 기능을 기본적으로 제공합니다. 이러한 보호를 통해 조직의 경계를 넘어 실시간 분석 및 공동 작업 기계 학습을 보호할 수 있습니다.
아키텍처 이해
Azure Database for PostgreSQL은 CPU 내에서 하드웨어 기반의 격리된 메모리 영역인 TEE(신뢰 실행 환경)를 통해 Azure 기밀 컴퓨팅을 지원합니다. 운영 체제, 하이퍼바이저 및 기타 애플리케이션은 TEE 내에서 처리된 데이터에 액세스할 수 없습니다.
- 코드는 TEE 내에서 일반 텍스트로 실행되지만 엔클레이브 외부에서는 암호화된 상태로 유지됩니다.
- 데이터는 미사용, 전송 중 및 사용 시 암호화됩니다.
- 운영 체제, 하이퍼바이저 및 기타 애플리케이션은 보호된 데이터에 액세스할 수 없습니다.
Processors
새 서버를 만들 때 지원되는 VM(기밀 가상 머신) SKU를 선택하여 Azure Database for PostgreSQL에서 Azure 기밀 컴퓨팅을 사용하도록 설정합니다. AMD SEV-SNP 프로세서만 지원됩니다.
비고
Intel TDX 프로세서는 현재 Azure Database for PostgreSQL에서 지원되지 않습니다.
가상 머신 SKU
Azure Database for PostgreSQL에 대한 ACC(Azure Confidential Computing)를 지원하는 SKU는 다음과 같습니다.
| SKU 이름 | 프로세서 | vCores | 메모리(GiB) | 최대 IOPS | 최대 I/O 대역폭(MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
배치
Azure Portal, Azure CLI, ARM 템플릿, Bicep, Terraform, Azure PowerShell, REST API 등과 같은 다양한 방법을 사용하여 ACC와 함께 Azure Database for PostgreSQL을 배포할 수 있습니다.
이 예제에서는 Azure Portal을 사용합니다.
아래 단계에 따라 Azure Database for PostgreSQL 서버를 배포합니다.
지역으로 아랍에미리트 북부를 선택합니다.
컴퓨팅 + 스토리지에서 서버 구성을 선택합니다.
컴퓨팅 및 스토리지 탭에서 컴퓨팅 계층 및 컴퓨팅 프로세서를 선택합니다.
컴퓨팅 크기를 선택하고 필요에 따라 기밀 컴퓨팅 SKU 및 크기를 선택합니다.
서버를 배포합니다.
Compare
Azure Confidential Compute 가상 머신과 Azure 기밀 컴퓨팅을 비교해 보겠습니다.
| 특징 | Confidential Compute VM | Azure Database for PostgreSQL용 ACC |
|---|---|---|
| 신뢰의 하드웨어 루트 | Yes | Yes |
| 신뢰할 수 있는 시작 | Yes | Yes |
| 메모리 격리 및 암호화 | Yes | Yes |
| 보안 키 관리 | Yes | Yes |
| 원격 증명 | Yes | 아니오 |
제한 사항 및 고려 사항
프로덕션 환경에 배포하기 전에 제한 사항을 신중하게 평가합니다.
- 기밀 컴퓨팅은 UAE 북부 지역 및 서유럽 지역에서만 사용할 수 있습니다.
- AMD SEV-SNP 프로세서만 지원됩니다. Intel TDX 프로세서는 현재 Azure Database for PostgreSQL과 호환되지 않습니다.
- 비기밀 컴퓨팅 버전에서 기밀 컴퓨팅 버전으로의 PITR(지정 시간 복원)은 허용되지 않습니다.