Azure 機密運算 (ACC) (部分內容可能是機器或 AI 翻譯) 使組織能夠安全地處理敏感性資料並進行共和作業,例如個人資料或受保護的健康資訊 (PHI)。 ACC 透過受信任執行環境 (TEE) 確保使用中的資料安全,提供內建保護,防止未經授權的存取。 這使得跨組織界限的安全即時分析與共同作業機器學習成為可能。
了解架構
適用於 PostgreSQL 的 Azure 資料庫受信任執行環境 (TEE) 支援 Azure 機密運算,這些環境是 CPU 內基於硬體的隔離式方案記憶體區域。 在 TEE 內部處理的資料受到保護,防止作業系統、Hypervisor 或其他應用程式存取。
- 程式碼在 TEE 內以純文字形式執行,但在記憶體保護區外仍保持加密狀態。
- 資料在待用、傳輸和使用過程中均處於加密狀態。
- 受保護,不得由 OS、hypervisor 或其他應用程式存取。
Processors
Azure 機密運算支援適用於 PostgreSQL 的 Azure 資料庫,您可在建立新伺服器時選取支援機密運算的虛擬機器 (VM) SKU。 有兩種處理器可供選擇:
AMD SEV-SNP
虛擬機器 SKU
支援適用於 PostgreSQL 的 Azure 資料庫之機密運算 (ACC) 的 SKU 如下:
| SKU 名稱 | Processor | 虛擬核心 | 記憶體 (GiB) | 最大 IOPS | 最大 I/O 頻寬 (Mbps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
部署
您可以透過多種方法部署採用適用於 Azure PostgreSQL 資料庫之 ACC,例如 Azure 入口網站、Azure CLI、ARM 範本、Bicep、Terraform、Azure PowerShell、REST API 等。
在此範例中,我們使用的是 Azure 入口網站。
請遵循下列步驟來部署適用於 PostgreSQL 的 Azure 資料庫伺服器:
選取 [阿拉伯聯合大公國北部] 作為區域。
選取 [計算 + 儲存體] 底下的 [設定伺服器]。
在 [計算和儲存體] 索引標籤上,選取您的 [計算層] 和 [計算處理器]。
選取 [計算大小],然後根據您的需求選取機密運算 SKU 和大小。
部署您的伺服器。
Compare
讓我們比較 Azure 機密運算虛擬機器與 Azure 機密運算。
| 特徵 / 功能 | 機密計算 VM | 適用於 Azure PostgreSQL 資料庫之 ACC |
|---|---|---|
| 硬體信任根源 | Yes | Yes |
| 可信啟動 | Yes | Yes |
| 記憶體隔離和加密 | Yes | Yes |
| 安全金鑰管理 | Yes | Yes |
| 遠端證明 (部分內容可能是機器或 AI 翻譯) | Yes | 否 |
限制與注意事項
在生產環境中部署之前,請務必仔細評估限制。
- 機密運算僅適用於阿聯酋北部地區和西歐地區。
- 不允許從非機密運算 SKU 到機密運算 SKU 的時間點復原 (PITR)。
相關內容
- Azure 機密運算 \(英文\)
- Azure 機密 VM 選項 (部分內容可能是機器或 AI 翻譯)