Planowanie bezpiecznych enklaw w usłudze Azure SQL Database
Dotyczy: 
Azure SQL Database
W usłudze Azure SQL Database funkcja Always Encrypted z bezpiecznymi enklawami może używać enklaw funkcji Intel Software Guard Extensions (Intel SGX) lub enklaw zabezpieczeń opartych na wirtualizacji (VBS).
Enklawy Intel SGX
Intel SGX to oparta na sprzęcie technologia środowiska zaufanego wykonywania. Jest ona dostępna w bazach danych i pulach elastycznych korzystających z modelu zakupów rdzeni wirtualnych i konfiguracji sprzętu serii DC. Aby udostępnić enklawę Intel SGX dla bazy danych lub elastycznej puli, należy wybrać konfigurację sprzętową serii DC podczas tworzenia bazy danych lub elastycznej puli albo zaktualizować istniejącą bazę danych lub pulę elastyczną, aby użyć sprzętu serii DC.
Uwaga
Intel SGX nie jest dostępny w sprzęcie innym niż seria DC. Na przykład intel SGX nie jest dostępny w konfiguracji sprzętowej serii Standardowa (Gen5) i nie jest dostępny dla baz danych przy użyciu modelu DTU.
Enklawy Intel SGX połączone z zaświadczeniem dostarczonym przez zaświadczenie platformy Microsoft Azure oferują silniejszą ochronę przed atakami ze strony podmiotów z dostępem administratora na poziomie systemu operacyjnego w porównaniu z enklawami VBS. Jednak przed skonfigurowaniem sprzętu serii DC dla bazy danych upewnij się, że znasz jej właściwości wydajności i ograniczenia:
- W przeciwieństwie do innych konfiguracji sprzętowych modelu zakupów rdzeni wirtualnych seria DC używa rdzeni procesora fizycznego, a nie rdzeni logicznych. Limity zasobów baz danych serii DC różnią się od limitów zasobów konfiguracji sprzętowej serii standardowej (Gen 5).
- Maksymalna liczba rdzeni procesora, które można ustawić dla bazy danych serii DC, wynosi 40.
- Seria DC nie działa z bezserwerowymi.
Sprawdź również bieżącą regionalną dostępność serii DC i upewnij się, że jest ona dostępna w preferowanych regionach. Aby uzyskać szczegółowe informacje, zobacz Serie DC.
Enklawy SGX są zalecane w przypadku obciążeń wymagających najsilniejszej ochrony poufności danych i mogą stosować się do bieżących ograniczeń serii DC.
Enklawy VBS
Enklawy VBS (nazywane również wirtualnym trybem bezpiecznym lub enklawami VSM) to technologia oparta na oprogramowaniu oparta na funkcji hypervisor systemu Windows i nie wymaga żadnego specjalnego sprzętu. W związku z tym enklawy VBS są dostępne we wszystkich ofertach usługi Azure SQL Database, w tym w elastycznych pulach Azure SQL, zapewniając elastyczność korzystania z funkcji Always Encrypted z bezpiecznymi enklawami o rozmiarze obliczeniowym, warstwie usług, modelu zakupów, konfiguracji sprzętu i regionie, który najlepiej spełnia wymagania dotyczące obciążenia.
Uwaga
Enklawy VBS są dostępne we wszystkich regionach usługi Azure SQL Database z wyjątkiem: Jio India Central.
Enklawy VBS są zalecanym rozwiązaniem dla klientów, którzy szukają ochrony danych używanych przez użytkowników o wysokim poziomie uprawnień w organizacji klienta, w tym administratorów baz danych (DBA). Bez posiadania kluczy kryptograficznych chroniących dane administrator bazy danych nie będzie mógł uzyskać dostępu do danych w postaci zwykłego tekstu.
Enklawy VBS mogą również pomóc w zapobieganiu niektórym zagrożeniom na poziomie systemu operacyjnego, takim jak eksfiltrowanie poufnych danych z zrzutów pamięci na maszynie wirtualnej hostujące bazę danych. Dane w postaci zwykłego tekstu przetwarzane w enklawie nie są wyświetlane w zrzutach pamięci, zapewniając kod wewnątrz enklawy i jej właściwości nie zostały złośliwie zmienione. Jednak enklawy VBS w usłudze Azure SQL Database nie mogą rozwiązywać bardziej zaawansowanych ataków, takich jak zastępowanie pliku binarnego enklawy złośliwym kodem z powodu bieżącego braku zaświadczania enklawy. Ponadto niezależnie od zaświadczania enklawy VBS nie zapewniają żadnej ochrony przed atakami przy użyciu uprzywilejowanych kont systemowych pochodzących z hosta. Należy pamiętać, że firma Microsoft wdrożyła wiele warstw mechanizmów kontroli zabezpieczeń w celu wykrywania i zapobiegania takim atakom w chmurze platformy Azure, w tym dostępu just in time, uwierzytelniania wieloskładnikowego i monitorowania zabezpieczeń. Niemniej jednak klienci, którzy wymagają silnej izolacji zabezpieczeń, mogą preferować enklawy Intel SGX z konfiguracją sprzętu serii DC w enklawach VBS.
Planowanie zaświadczania enklawy w usłudze Azure SQL Database
Konfigurowanie zaświadczania przy użyciu zaświadczania microsoft Azure jest wymagane w przypadku korzystania z enklaw Intel SGX w bazach danych serii DC.
Ważne
Zaświadczenie nie jest obecnie obsługiwane w przypadku enklaw VBS. Pozostała część tej sekcji dotyczy tylko enklaw Intel SGX w bazach danych serii DC.
Aby użyć zaświadczania microsoft Azure do zaświadczania enklaw Intel SGX w usłudze Azure SQL Database, należy utworzyć dostawcę zaświadczania i skonfigurować go przy użyciu zasad zaświadczania dostarczonych przez firmę Microsoft. Zobacz Konfigurowanie zaświadczania dla funkcji Always Encrypted przy użyciu zaświadczania platformy Azure
Role i obowiązki podczas konfigurowania enklaw Intel SGX i zaświadczania
Skonfigurowanie środowiska w celu obsługi enklaw Intel SGX i zaświadczania dla funkcji Always Encrypted w usłudze Azure SQL Database obejmuje ustawianie różnych składników: dostawcy zaświadczania, bazy danych i aplikacji, które wyzwalają zaświadczanie enklawy. Konfigurowanie składników każdego typu jest wykonywane przez użytkowników przy założeniu jednej z poniższych odrębnych ról:
- Administrator zaświadczania — tworzy dostawcę zaświadczania w usłudze Microsoft Azure Attestation, autorów zasad zaświadczania, udziela dostępu serwera logicznego Azure SQL do dostawcy zaświadczania i udostępnia adres URL zaświadczania wskazujący zasady administratorom aplikacji.
- Administrator bazy danych (DBA) — włącza enklawy SGX w bazach danych, wybierając sprzęt serii DC i udostępnia administrator zaświadczania z tożsamością serwera logicznego Usługi Azure SQL, który musi uzyskać dostęp do dostawcy zaświadczania.
- Administrator aplikacji — konfiguruje aplikacje przy użyciu adresu URL zaświadczania uzyskanego od administratora zaświadczania.
W środowiskach produkcyjnych (obsługa rzeczywistych danych poufnych) ważne jest, aby organizacja przestrzegała separacji ról podczas konfigurowania zaświadczania, gdzie każda odrębna rola jest przyjmowany przez różne osoby. W szczególności, jeśli celem wdrożenia funkcji Always Encrypted w organizacji jest zmniejszenie obszaru obszaru podatnego na ataki przez zapewnienie administratorom baz danych dostępu do poufnych danych, administratorzy baz danych nie powinni kontrolować zasad zaświadczania.