Planejamento para enclaves seguros no Banco de Dados SQL do Azure
Aplica-se a: Banco de Dados SQL do Azure
No Banco de Dados SQL do Azure, Always Encrypted com enclaves seguros podem usar enclaves Intel SGX (Software Guard Extensions) ou enclaves VBS (segurança baseada em virtualização).
Enclaves Intel SGX
O Intel SGX é um ambiente de execução confiável baseado em hardware. Ele está disponível em bancos de dados e pools elásticos que usam o modelo de compra vCore e a configuração de hardware da série DC. Para disponibilizar um enclave Intel SGX para seu banco de dados ou pool elástico, você precisa selecionar a configuração de hardware da série DC ao criar o banco de dados ou pool elástico ou pode atualizar seu banco de dados ou pool elástico existente para usar o hardware de série DC.
Observação
O Intel SGX não está disponível para hardwares diferentes da série DC. Por exemplo, o Intel SGX não está disponível na configuração de hardware da série Standard (Gen5) e não está disponível para bancos de dados que usam o modelo de DTU.
Enclaves Intel SGX combinados com o atestado fornecido pelo Atestado do Microsoft Azure oferecem uma proteção mais forte contra ataques de atores com acesso de administrador no nível do sistema operacional, em comparação com enclaves VBS. No entanto, antes de configurar o hardware da série DC para seu banco de dados, esteja ciente das limitações e propriedades de desempenho:
- Ao contrário de outras configurações de hardware do modelo de compra vCore, a série DC usa núcleos de processador físico, e não núcleos lógicos. Os limites de recursos dos bancos de dados da série DC diferem dos limites de recursos da configuração de hardware da série Standard (Gen 5).
- O número máximo de núcleos de processador que você pode definir para um banco de dados da série DC é 40.
- A série DC não funciona com a opção sem servidor.
Além disso, verifique a disponibilidade regional atual da série DC e confirme se ela está disponível nas suas regiões preferenciais. Consulte Série DC para mais detalhes.
Enclaves SGX são recomendados para cargas de trabalho que exigem a proteção de confidencialidade de dados mais forte e podem aderir às limitações atuais da série DC.
Enclaves VBS
Enclaves VBS (também conhecidos como Modo de Segurança Virtual ou enclaves VSM) são uma tecnologia baseada em software que depende do hipervisor do Windows e não requer nenhum hardware especial. Portanto, os enclaves VBS estão disponíveis em todas as ofertas do Banco de Dados SQL do Azure, fornecendo a flexibilidade de usar Always Encrypted com enclaves seguros com um tamanho de computação, camada de serviço, modelo de compra, configuração de hardware e região que melhor atendam aos requisitos da carga de trabalho.
Observação
Os enclaves VBS estão disponíveis em todas as regiões do Banco de Dados SQL do Azure, exceto: Jio India Central.
Enclaves VBS são a solução recomendada para clientes que buscam proteção para dados em uso de usuários com privilégios elevados na organização do cliente, incluindo DBAs (Administradores de Banco de Dados). Sem ter as chaves criptográficas protegendo os dados, um DBA não poderá acessar os dados em texto não criptografado.
Os enclaves VBS também podem ajudar a evitar algumas ameaças no nível do sistema operacional, como exfiltrar dados confidenciais de despejos de memória em uma VM que hospeda seu banco de dados. Os dados de texto não criptografado processados em um enclave não aparecem em despejos de memória, desde que o código dentro do enclave e suas propriedades não tenham sido alterados de forma maliciosa. No entanto, os enclaves VBS no Banco de Dados SQL do Azure não podem lidar com ataques mais sofisticados, como substituir o binário do enclave por código mal-intencionado, devido à atual falta de atestado de enclave. Além disso, independentemente do atestado, os enclaves VBS não fornecem nenhuma proteção contra ataques usando contas de sistema privilegiadas originadas do host. É importante observar que a Microsoft implementou várias camadas de controles de segurança para detectar e evitar esses ataques na nuvem do Azure, incluindo acesso just-in-time, autenticação multifator e monitoramento de segurança. No entanto, os clientes que exigem isolamento de segurança forte podem preferir enclaves Intel SGX com a configuração de hardware da série DC, em vez de enclaves VBS.
Planejamento de atestado de enclave no Banco de Dados SQL do Azure
A configuração do atestado usando o Atestado do Microsoft Azure é necessária ao usar enclaves Intel SGX em bancos de dados da série DC.
Importante
Atualmente, não há suporte a atestado para enclaves VBS. O restante desta seção se aplica somente a enclaves Intel SGX em bancos de dados da série DC.
Para usar o Atestado do Microsoft Azure para atestar os enclaves Intel SGX no Banco de Dados SQL do Azure, você precisa criar um provedor de atestado e configurá-lo com a política de atestado fornecida pela Microsoft. Consulte Configurar o atestado para Always Encrypted usando o Atestado do Azure
Funções e responsabilidades ao configurar atestados e enclaves Intel SGX
Configurar o seu ambiente para ter suporte a atestado e enclaves Intel SGX para o Always Encrypted no Banco de Dados SQL do Azure envolve a configuração de componentes diferentes: um provedor de atestado, um banco de dados e aplicativos que disparam o atestado de enclave. A configuração de componentes de cada tipo é executada por usuários supondo uma das funções distintas abaixo:
- O administrador de atestado – cria um provedor de atestado no Atestado do Microsoft Azure, autoriza a política de atestado, concede ao servidor lógico do SQL do Azure acesso ao provedor de atestado e compartilha a URL de atestado que direciona para a política de administradores de aplicativos.
- Administrador do banco de dados (DBA) – habilita enclaves SGX em bancos de dados selecionando o hardware da série DC e fornece ao administrador de atestado a identidade do servidor lógico do SQL do Azure que precisa acessar o provedor de atestado.
- O Administrador de aplicativos – configura os aplicativos com a URL de atestado obtida do administrador de atestado.
Em ambientes de produção (manipulando dados confidenciais reais), é importante que sua organização obedeça à separação de funções ao configurar o atestado, em que cada função distinta é assumida por pessoas diferentes. Em particular, se o objetivo da implantação do Always Encrypted na sua organização é reduzir a área da superfície de ataque ao garantir que os administradores do banco de dados não possam acessar dados confidenciais, então os administradores do banco de dados não devem controlar as políticas de atestado.