Freigeben über


Planen von Secure Enclaves in Azure SQL-Datenbank

Gilt für: Azure SQL-Datenbank

In Azure SQL-Datenbank können für Always Encrypted mit Secure Enclaves entweder Intel SGX-Enclaves (Intel Software Guard Extensions) oder VBS-Enclaves (virtualisierungsbasierte Sicherheit) verwendet werden.

Intel SGX-Enclaves

Intel SGX ist eine hardwarebasierte TEE-Technologie (Trusted Execution Environment, vertrauenswürdige Ausführungsumgebung). Sie ist für Datenbanken und Pools für elastische Datenbanken verfügbar, die das vCore-basierte Kaufmodell und die Hardwarekonfiguration der DC-Serie verwenden. Um eine Intel SGX-Enclave für Ihre Datenbank oder Ihren Pool für elastische Datenbanken verfügbar zu machen, müssen Sie entweder bereits bei der Erstellung der Datenbank oder des Pools für elastische Datenbanken die DC-Serie als Hardwarekonfiguration auswählen oder eine vorhandene Datenbank oder einen vorhandenen Pool für elastische Datenbanken auf Hardware der DC-Serie umstellen.

Hinweis

Intel SGX ist für andere Hardware als die DC-Serie nicht verfügbar. So ist Intel SGX beispielsweise nicht für die Hardwarekonfiguration der Standard-Serie (Gen5) oder für Datenbanken verfügbar, die das DTU-basierte Kaufmodell verwenden.

Intel SGX-Enclaves bieten in Kombination mit Microsoft Azure Attestation im Vergleich zu VBS-Enclaves einen besseren Schutz vor Angriffen von Akteur*innen mit Administratorzugriff auf Betriebssystemebene. Bevor Sie jedoch Hardware der DC-Serie für Ihre Datenbank konfigurieren, sollten Sie sich deren Leistungseigenschaften und -einschränkungen bewusst machen:

  • Im Gegensatz zu anderen Hardwarekonfigurationen des vCore-basierten Kaufmodells verwendet die DC-Serie physische Prozessorkerne, nicht logische Kerne. Die Ressourcengrenzwerte von Datenbanken der DC-Serie unterscheiden sich von den Ressourcengrenzwerten der Hardwarekonfiguration der Standard-Serie (Gen5).
  • Die maximale Anzahl von Prozessorkernen, die Sie für eine Datenbank auf der DC-Serie festlegen können, beträgt 40.
  • Die DC-Serie funktioniert nicht mit serverlosen Konfigurationen.

Überprüfen Sie außerdem die aktuelle regionale Verfügbarkeit der DC-Serie, und stellen Sie sicher, dass sie in Ihren bevorzugten Regionen verfügbar ist. Einzelheiten dazu finden Sie unter DC-Serie.

SGX-Enclaves werden für Workloads empfohlen, die den stärksten Datenschutz erfordern und die aktuellen Einschränkungen der DC-Serie einhalten können.

VBS-Enclaves

VBS-Enclaves (auch als im virtuellen sicheren Modus oder VSM-Enclaves bezeichnet) sind eine softwarebasierte Technologie, die auf dem Windows-Hypervisor basieren und keine spezielle Hardware erfordern. Daher sind VBS-Enclaves in allen Angeboten von Azure SQL-Datenbank (einschließlich Azure SQL Pools für elastische Datenbanken) verfügbar. Dies bietet Ihnen die Flexibilität, Always Encrypted mit sicheren Enclaves mit einer Computegröße, einer Dienstebene, einem Kaufmodell, einer Hardwarekonfiguration und in einer Region verwenden zu können, die Ihren Workloadanforderungen am besten entsprechen.

Hinweis

VBS-Enclaves sind in allen Azure SQL Database-Regionen verfügbar, außer: Jio Indien, Mitte.

VBS-Enclaves werden für Kund*innen empfohlen, die Schutz für die von Benutzer*innen mit umfangreichen Berechtigungen verwendeten Daten in der Kundenorganisation benötigen, einschließlich Datenbankadministrator*innen (DBAs). Ohne die kryptografischen Schlüssel, mit denen die Daten geschützt werden, können DBAs nicht im Klartext auf die Daten zugreifen.

VBS-Enclaves können auch einige Bedrohungen auf Betriebssystemebene verhindern, z. B. das Exfiltrieren vertraulicher Daten aus Speicherabbildern auf einer VM, die Ihre Datenbank hostet. Die in einer Enclave verarbeiteten Klartextdaten sind nicht in den Speicherabbildern enthalten, sodass der Code in der Enclave und seine Eigenschaften nicht böswillig geändert werden können. VBS-Enclaves in Azure SQL-Datenbank können jedoch aufgrund des derzeit fehlenden Enclave-Nachweises nicht vor komplexeren Angriffen wie dem Ersetzen der Enclave-Binärdateien durch schädlichen Code schützen. Außerdem bieten VBS-Enclaves unabhängig vom Nachweis keinen Schutz vor Angriffen mit Systemkonten mit erhöhten Rechten, die vom Host kommen. Sie sollten unbedingt beachten, dass Microsoft mehrere Ebenen von Sicherheitskontrollen implementiert hat, um solche Angriffe in der Azure-Cloud zu erkennen und zu verhindern, einschließlich Just-In-Time-Zugriff, Multi-Faktor-Authentifizierung und Sicherheitsüberwachung. Dennoch sollten Kund*innen, die eine starke Sicherheitsisolation benötigen, Intel SGX-Enclaves mit der Hardwarekonfiguration der DC-Serie gegenüber VBS-Enclaves vorziehen.

Planen von Enclave-Nachweisen in Azure SQL-Datenbank

Das Konfigurieren des Nachweises mithilfe von Microsoft Azure Attestation ist erforderlich, wenn Intel SGX-Enclaves in Datenbanken der DC-Serie verwendet werden.

Wichtig

Für VBS-Enclaves wird Attestation derzeit nicht unterstützt. Der Rest dieses Abschnitts gilt nur für Intel SGX-Enclaves in Datenbanken der DC-Serie.

Um Microsoft Azure Attestation für den Nachweis in Intel SGX-Enclaves in Azure SQL-Datenbank verwenden zu können, müssen Sie einen Nachweisanbieter erstellen und mit der von Microsoft bereitgestellten Nachweisrichtlinie konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Nachweises für Always Encrypted mithilfe von Azure Attestation.

Rollen und Verantwortlichkeiten beim Konfigurieren von SGX-Enclaves und Nachweisen

Die Konfiguration Ihrer Umgebung zur Unterstützung von Intel SGX-Enclaves und Nachweisen für Always Encrypted in Azure SQL-Datenbank umfasst das Einrichten unterschiedlicher Komponenten: ein Nachweisanbieter, eine Datenbank und Anwendungen, die den Nachweis der Enclave auslösen. Die Konfiguration von Komponenten der einzelnen Typen wird von Benutzern durchgeführt, die eine der folgenden unterschiedlichen Rollen haben:

  • Nachweisadministrator: erstellt einen Nachweisanbieter in Microsoft Azure Attestation und die Nachweisrichtlinie, erteilt dem logischen Azure SQL-Server Zugriff auf den Nachweisanbieter und gibt die Nachweis-URL, die auf die Richtlinie verweist, für Anwendungsadministratoren frei.
  • Datenbankadministrator*innen (DBA): aktivieren SGX-Enclaves in Datenbanken durch Auswahl von Hardware der DC-Serie und Übergeben der Identität des logischen Azure SQL-Servers, der Zugriff auf den Nachweisanbieter benötigt, an die Nachweisadministrator*innen.
  • Anwendungsadministrator: konfiguriert die Anwendungen mit der Nachweis-URL, die er vom Nachweisadministrator erhalten hat.

In Produktionsumgebungen, in denen echte vertrauliche Daten verarbeitet werden, ist es wichtig, dass Ihre Organisation beim Konfigurieren des Nachweises die Rollentrennung einhält, wobei jede einzelne Rolle von unterschiedlichen Personen eingenommen wird. Datenbankadministrator*innen sollten insbesondere dann nicht die Nachweisrichtlinien verwalten, wenn das Ziel der Always Encrypted-Bereitstellung in Ihrer Organisation darin besteht, Datenbankadministrator*innen keinen Zugriff auf vertrauliche Daten zu gewähren. Außerdem sollten Datenbankadministrator*innen nicht die Nachweisrichtlinien steuern.

Nächste Schritte

Weitere Informationen