Planera för säkra enklaver i Azure SQL Database
Gäller för:
Azure SQL Database
I Azure SQL Database kan Always Encrypted med säkra enklaver använda antingen Intel Software Guard-tillägg (Intel SGX) enklaver eller VBS-enklaver (Virtualization-based Security).
Intel SGX-enklaver
Intel SGX är en maskinvarubaserad teknik för betrodd körningsmiljö. Den är tillgänglig i databaser och elastiska pooler som använder köpmodellen för virtuella kärnor och maskinvarukonfigurationen i DC-serien . Om du vill göra en Intel SGX-enklav tillgänglig för din databas eller elastiska pool måste du antingen välja dc-seriens maskinvarukonfiguration när du skapar databasen eller den elastiska poolen, eller så kan du uppdatera din befintliga databas eller elastiska pool för att använda dc-seriens maskinvara.
Kommentar
Intel SGX är inte tillgängligt i annan maskinvara än DC-serien. Intel SGX är till exempel inte tillgängligt i maskinvarukonfigurationen i standardserien (Gen5) och är inte tillgänglig för databaser med hjälp av DTU-modellen.
Intel SGX-enklaver i kombination med attestering från Microsoft Azure Attestation ger ett starkare skydd mot attacker från aktörer med administratörsåtkomst på operativsystemnivå, jämfört med VBS-enklaver. Innan du konfigurerar DC-seriens maskinvara för databasen måste du dock se till att du är medveten om dess prestandaegenskaper och begränsningar:
- Till skillnad från andra maskinvarukonfigurationer för köpmodellen för virtuella kärnor använder DC-serien fysiska processorkärnor, inte logiska kärnor. Resursgränserna för DC-seriens databaser skiljer sig från resursgränserna för maskinvarukonfigurationen i standardserien (Gen 5).
- Det maximala antalet processorkärnor som du kan ange för en DC-seriedatabas är 40.
- DC-serien fungerar inte med serverlös.
Kontrollera även den aktuella regionala tillgängligheten för DC-serien och se till att den är tillgänglig i dina önskade regioner. Mer information finns i DC-serien.
SGX-enklaver rekommenderas för arbetsbelastningar som kräver det starkaste dataskyddet för data och kan följa de aktuella begränsningarna i DC-serien.
VBS-enklaver
Viktigt!
VBS-enklaver i Azure SQL Database är för närvarande i förhandsversion. De kompletterande användningsvillkoren för Förhandsversioner av Microsoft Azure innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.
VBS-enklaver (även kallat virtuellt säkert läge eller VSM-enklaver) är en programvarubaserad teknik som förlitar sig på Windows-hypervisor och inte kräver någon särskild maskinvara. Därför är VBS-enklaver tillgängliga i alla Azure SQL Database-erbjudanden, inklusive Elastiska Azure SQL-pooler, vilket ger dig flexibiliteten att använda Always Encrypted med säkra enklaver med beräkningsstorlek, tjänstnivå, inköpsmodell, maskinvarukonfiguration och region som bäst uppfyller dina arbetsbelastningskrav.
Kommentar
VBS-enklaver är tillgängliga i alla Azure SQL Database-regioner förutom: Jio India Central.
VBS-enklaver är den rekommenderade lösningen för kunder som söker skydd för data som används från högprivilegierade användare i kundens organisation, inklusive databasadministratörer (DBA). Utan att ha krypteringsnycklarna som skyddar data kan en databasadministratör inte komma åt data i klartext.
VBS-enklaver kan också hjälpa till att förhindra vissa hot på os-nivå, till exempel exfiltrering av känsliga data från minnesdumpar i en virtuell dator som är värd för din databas. Klartextdata som bearbetas i en enklav visas inte i minnesdumpar, vilket ger koden i enklaven och dess egenskaper har inte ändrats skadligt. VBS-enklaver i Azure SQL Database kan dock inte hantera mer avancerade attacker, till exempel att ersätta enklaverbinärfilen med skadlig kod, på grund av den nuvarande bristen på enklavattestering. Oavsett attestering ger inte heller VBS-enklaver något skydd mot attacker med privilegierade systemkonton som kommer från värden. Det är viktigt att observera att Microsoft har implementerat flera lager säkerhetskontroller för att identifiera och förhindra sådana attacker i Azure-molnet, inklusive just-in-time-åtkomst, multifaktorautentisering och säkerhetsövervakning. Kunder som behöver stark säkerhetsisolering kanske föredrar Intel SGX-enklaver med dc-seriens maskinvarukonfiguration framför VBS-enklaver.
Planera för enklavattestering i Azure SQL Database
Du måste konfigurera attestering med Microsoft Azure Attestation när du använder Intel SGX-enklaver i DC-seriens databaser.
Viktigt!
Attestering stöds för närvarande inte för VBS-enklaver. Resten av det här avsnittet gäller endast Intel SGX-enklaver i DC-seriens databaser.
Om du vill använda Microsoft Azure Attestation för attestera Intel SGX-enklaver i Azure SQL Database måste du skapa en attesteringsprovider och konfigurera den med den Microsoft-tillhandahållna attesteringsprincipen. Se Konfigurera attestering för Always Encrypted med Azure Attestation
Roller och ansvarsområden när du konfigurerar Intel SGX-enklaver och attestering
När du konfigurerar din miljö för att stödja Intel SGX-enklaver och attestering för Always Encrypted i Azure SQL Database måste du ange olika komponenter: en attesteringsprovider, en databas och program som utlöser enklavattestering. Konfiguration av komponenter av varje typ utförs av användare som antar någon av nedanstående distinkta roller:
- Attesteringsadministratör – skapar en attesteringsprovider i Microsoft Azure Attestation, skriver attesteringsprincipen, ger Azure SQL logisk server åtkomst till attesteringsprovidern och delar attesterings-URL:en som pekar på principen till programadministratörer.
- Databasadministratör (DBA) – aktiverar SGX-enklaver i databaser genom att välja DC-seriens maskinvara och ger attesteringsadministratören identiteten för den logiska Azure SQL-server som behöver åtkomst till attesteringsprovidern.
- Programadministratör – konfigurerar program med attesterings-URL:en som hämtats från attesteringsadministratören.
I produktionsmiljöer (hantering av verkligt känsliga data) är det viktigt att din organisation följer rollavgränsningen när du konfigurerar attestering, där varje distinkt roll antas av olika personer. I synnerhet om målet med att distribuera Always Encrypted i din organisation är att minska attackytan genom att se till att databasadministratörer inte kan komma åt känsliga data, bör databasadministratörer inte kontrollera attesteringsprinciper.