Plan voor beveiligde enclaves in Azure SQL Database

Van toepassing op: Azure SQL Database

In Azure SQL Database kan Always Encrypted met beveiligde enclaves gebruikmaken van Intel Software Guard Extensions (Intel SGX)-enclaves of VBS-enclaves (Virtualization-based Security).

Intel SGX-enclaves

Intel SGX is een op hardware gebaseerde, vertrouwde uitvoeringsomgevingstechnologie. Deze is beschikbaar in databases en elastische pools die gebruikmaken van het vCore-aankoopmodel en de hardwareconfiguratie van de DC-serie . Als u een Intel SGX-enclave beschikbaar wilt maken voor uw database of elastische pool, moet u de hardwareconfiguratie van de DC-serie selecteren wanneer u de database of elastische pool maakt, of u kunt uw bestaande database of elastische pool bijwerken om de DC-serie-hardware te gebruiken.

Notitie

Intel SGX is niet beschikbaar in andere hardware dan DC-serie. Intel SGX is bijvoorbeeld niet beschikbaar in de hardwareconfiguratie van de Standard Series (Gen5) en is niet beschikbaar voor databases die gebruikmaken van het DTU-model.

Intel SGX-enclaves in combinatie met attestation van Microsoft Azure Attestation bieden een sterkere bescherming tegen aanvallen van actoren met beheerderstoegang op besturingssysteemniveau, vergeleken met VBS-enclaves. Voordat u de HARDWARE uit de DC-serie voor uw database configureert, moet u echter op de hoogte zijn van de prestatie-eigenschappen en -beperkingen:

  • In tegenstelling tot andere hardwareconfiguraties van het vCore-aankoopmodel maakt DC-serie gebruik van fysieke processorkernen, niet van logische kernen. De resourcelimieten van DC-seriedatabases verschillen van de resourcelimieten van de hardwareconfiguratie van de standaardreeks (Gen 5).
  • Het maximum aantal processorkernen dat u kunt instellen voor een DC-seriedatabase is 40.
  • DC-serie werkt niet met serverloos.

Controleer ook de huidige regionale beschikbaarheid van DC-serie en controleer of deze beschikbaar is in uw voorkeursregio's. Zie DC-serie voor meer informatie.

SGX-enclaves worden aanbevolen voor werkbelastingen waarvoor de sterkste bescherming van gegevensgeheimen is vereist en die aan de huidige beperkingen van DC-serie kunnen voldoen.

VBS-enclaves

Belangrijk

VBS-enclaves in Azure SQL Database zijn momenteel in preview. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die b├Ęta, in preview of op een andere manier nog niet algemeen beschikbaar zijn.

VBS-enclaves (ook wel virtuele beveiligde modus of VSM-enclaves genoemd) is een softwaretechnologie die afhankelijk is van Windows-hypervisor en geen speciale hardware vereist. Daarom zijn VBS-enclaves beschikbaar in alle Azure SQL Database-aanbiedingen, waaronder Azure SQL Elastic Pools, zodat u de flexibiliteit hebt om Always Encrypted te gebruiken met beveiligde enclaves met een rekengrootte, servicelaag, aankoopmodel, hardwareconfiguratie en regio die het beste voldoet aan uw workloadvereisten.

Notitie

VBS-enclaves zijn beschikbaar in alle Azure SQL Database-regio's , met uitzondering van Jio India Central.

VBS-enclaves zijn de aanbevolen oplossing voor klanten die bescherming zoeken voor gegevens die worden gebruikt door gebruikers met hoge bevoegdheden in de organisatie van de klant, waaronder Database Beheer istrators (DBA's). Zonder dat de cryptografische sleutels de gegevens beveiligen, heeft een DBA geen toegang tot de gegevens in tekst zonder opmaak.

VBS-enclaves kunnen ook helpen bij het voorkomen van bedreigingen op besturingssysteemniveau, zoals het exfiltreren van gevoelige gegevens uit geheugendumps binnen een VM die als host fungeert voor uw database. De onbewerkte tekstgegevens die in een enclave worden verwerkt, worden niet weergegeven in geheugendumps, zodat de code in de enclave en de eigenschappen ervan niet schadelijk zijn gewijzigd. VBS-enclaves in Azure SQL Database kunnen echter geen geavanceerdere aanvallen aanpakken, zoals het vervangen van het binaire bestand van de enclave door schadelijke code, vanwege het huidige gebrek aan enclave-attestation. Ook bieden VBS-enclaves, ongeacht attestation, geen bescherming tegen aanvallen met behulp van bevoegde systeemaccounts die afkomstig zijn van de host. Het is belangrijk te weten dat Microsoft meerdere beveiligingslagen heeft geïmplementeerd om dergelijke aanvallen in de Azure-cloud te detecteren en te voorkomen, waaronder Just-In-Time-toegang, meervoudige verificatie en beveiligingsbewaking. Klanten die een sterke beveiligingsisolatie nodig hebben, geven de voorkeur aan Intel SGX-enclaves met de hardwareconfiguratie van de DC-serie via VBS-enclaves.

Enclave-attestation plannen in Azure SQL Database

Het configureren van attestation met Behulp van Microsoft Azure Attestation is vereist bij het gebruik van Intel SGX-enclaves in DC-seriedatabases.

Belangrijk

Attestation wordt momenteel niet ondersteund voor VBS-enclaves. De rest van deze sectie geldt alleen voor Intel SGX-enclaves in DC-seriedatabases.

Als u Microsoft Azure Attestation wilt gebruiken voor het attesteren van Intel SGX-enclaves in Azure SQL Database, moet u een attestation-provider maken en configureren met het door Microsoft geleverde attestation-beleid. Zie Attestation configureren voor Always Encrypted met behulp van Azure Attestation

Rollen en verantwoordelijkheden bij het configureren van Intel SGX-enclaves en attestation

Het configureren van uw omgeving ter ondersteuning van Intel SGX-enclaves en attestation voor Always Encrypted in Azure SQL Database omvat het instellen van verschillende onderdelen: een attestation-provider, een database en toepassingen die enclave-attestation activeren. Het configureren van onderdelen van elk type wordt uitgevoerd door gebruikers die een van de onderstaande afzonderlijke rollen aannemen:

  • Attestation-beheerder: maakt een attestation-provider in Microsoft Azure Attestation, auteurs van het attestation-beleid, verleent logische Azure SQL-server toegang tot de attestation-provider en deelt de attestation-URL die verwijst naar het beleid aan toepassingsbeheerders.
  • Databasebeheerder (DBA): schakelt SGX-enclaves in databases in door de HARDWARE uit de DC-serie te selecteren en biedt de attestation-beheerder de identiteit van de logische Azure SQL-server die toegang nodig heeft tot de attestation-provider.
  • Toepassingsbeheerder: configureert toepassingen met de attestation-URL die is verkregen van de attestation-beheerder.

In productieomgevingen (het verwerken van echte gevoelige gegevens) is het belangrijk dat uw organisatie zich houdt aan de scheiding van rollen bij het configureren van attestation, waarbij elke afzonderlijke rol wordt aangenomen door verschillende personen. Met name als het doel van het implementeren van Always Encrypted in uw organisatie is om het kwetsbaarheid voor aanvallen te verminderen door ervoor te zorgen dat databasebeheerders geen toegang hebben tot gevoelige gegevens, moeten databasebeheerders geen attestation-beleid beheren.

Volgende stappen

Zie ook