在 Azure SQL Database 中規劃 Intel SGX 的記憶體保護區和證明

適用于:Azure SQL資料庫

Azure SQL Database 中具有安全記憶體保護區的 Always Encrypted 會使用 Intel Software Guard Extensions (Intel SGX) 記憶體保護區,且要求 Microsoft Azure 證明

規劃 Azure SQL Database 中的 Intel SGX

Intel SGX 是以硬體為基礎的受信任執行環境技術。 Intel SGX 適用於使用虛擬核心模型DC 系列硬體的資料庫。 因此,為確保資料庫可以使用具有安全記憶體保護區的 Always Encrypted,您需要在建立資料庫時選取 DC 系列硬體,或更新現有資料庫以使用 DC 系列硬體。

注意

DC 系列以外的硬體無法使用 Intel SGX。 例如,Gen5 硬體中不能使用 Intel SGX,使用 DTU 模型的資料庫也不能使用。

重要

在您為資料庫設定 DC 系列硬體之前,請先檢查 DC 系列的區域可用性,並確定您了解其效能限制。 如需詳細資料,請參閱 DC 系列

規劃 Azure SQL Database 中的證明

Microsoft Azure 證明是證明受信任執行環境 (TEE) 的解決方案,包括使用 DC 系列硬體的 Azure SQL 資料庫中 Intel SGX 記憶體保護區。

若要使用 Azure 證明來證明 Azure SQL Database 中的 Intel SGX 記憶體保護區,您需要建立證明提供者,並使用 Microsoft 提供的證明原則來加以設定。 請參閱使用 Azure 證明設定 Always Encrypted 證明

設定 SGX 記憶體保護區和證明時的角色和責任

將環境設定為支援 Azure SQL Database 中 Intel SGX 記憶體保護區和 Always Encrypted 證明需要設定不同類型的元件:Microsoft Azure 證明、Azure SQL Database,以及觸發記憶體保護區證明的應用程式。 設定各類型元件會由擔任下列其中一種不同角色的使用者所執行:

  • 證明系統管理員:在 Microsoft Azure 證明中建立證明提供者、撰寫證明原則、將 Azure SQL 邏輯伺服器存取權授與證明提供者,以及與應用程式系統管理員共用指向原則的證明 URL。
  • Azure SQL Database 系統管理員:選取 DC 系列硬體以啟用資料庫的 SGX 記憶體保護區,並為需要存取證明提供者的證明系統管理員提供 Azure SQL 邏輯伺服器的身分識別。
  • 應用程式系統管理員:使用從證明系統管理員處取得的證明 URL 設定應用程式。

在生產環境中 (處理真正的機密資料),組織在設定證明時必須遵守每個不同角色皆由不同人擔任的角色隔離。 特別是,如果組織部署 Always Encrypted 的目標是要確保 Azure SQL Database 系統管理員無法存取敏感性資料,藉此減少受攻擊面的區域,就不該讓 Azure SQL Database 系統管理員控制證明原則。

後續步驟

另請參閱