Planejar enclaves seguros no Banco de Dados SQL do Azure
Aplica-se a:Banco de Dados SQL do Azure
No Banco de Dados SQL do Azure, o Always Encrypted com enclaves seguros pode usar enclaves Intel Software Guard Extensions (Intel SGX) ou enclaves VBS (Virtualization-based Security).
Enclaves Intel SGX
Intel SGX é uma tecnologia de ambiente de execução confiável baseada em hardware. Ele está disponível em bancos de dados e pools elásticos que usam o modelo de compra vCore e a configuração de hardware da série DC. Para disponibilizar um enclave Intel SGX para seu banco de dados ou pool elástico, você precisa selecionar a configuração de hardware da série DC ao criar o banco de dados ou o pool elástico, ou pode atualizar o banco de dados ou o pool elástico existente para usar o hardware da série DC.
Nota
Intel SGX não está disponível em hardware diferente da série DC. Por exemplo, o Intel SGX não está disponível na configuração de hardware da série padrão (Gen5) e não está disponível para bancos de dados que usam o modelo DTU.
Os enclaves Intel SGX combinados com o atestado fornecido pelo Microsoft Azure Attestation oferecem uma proteção mais forte contra ataques de atores com acesso de administrador no nível do sistema operacional, em comparação com os enclaves VBS. No entanto, antes de configurar o hardware da série DC para seu banco de dados, verifique se você está ciente de suas propriedades e limitações de desempenho:
- Ao contrário de outras configurações de hardware do modelo de compra vCore, a série DC usa núcleos de processador físico, não núcleos lógicos. Os limites de recursos dos bancos de dados da série DC diferem dos limites de recursos da configuração de hardware da série padrão (Gen 5).
- O número máximo de núcleos de processador que você pode definir para um banco de dados da série DC é 40.
- A série DC não funciona com serverless.
Além disso, verifique a disponibilidade regional atual da série DC e certifique-se de que está disponível nas suas regiões preferidas. Para obter detalhes, consulte Série DC.
Os enclaves SGX são recomendados para cargas de trabalho que exigem a mais forte proteção de confidencialidade de dados e podem aderir às limitações atuais da série DC.
Enclaves VBS
Importante
Os enclaves VBS no Banco de Dados SQL do Azure estão atualmente em visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Enclaves VBS (também conhecido como Virtual Secure Mode, ou enclaves VSM) é uma tecnologia baseada em software que depende do hipervisor do Windows e não requer nenhum hardware especial. Portanto, os enclaves VBS estão disponíveis em todas as ofertas do Banco de Dados SQL do Azure, incluindo os Pools Elásticos SQL do Azure, oferecendo a flexibilidade de usar o Always Encrypted com enclaves seguros com tamanho de computação, camada de serviço, modelo de compra, configuração de hardware e região que melhor atendam aos seus requisitos de carga de trabalho.
Nota
Os enclaves VBS estão disponíveis em todas as regiões do Banco de Dados SQL do Azure, exceto: Jio India Central.
Os enclaves VBS são a solução recomendada para clientes que buscam proteção para dados em uso de usuários com privilégios elevados na organização do cliente, incluindo administradores de banco de dados (DBAs). Sem ter as chaves criptográficas protegendo os dados, um DBA não poderá acessar os dados em texto sem formatação.
Os enclaves VBS também podem ajudar a prevenir algumas ameaças no nível do sistema operacional, como a exfiltração de dados confidenciais de despejos de memória em uma VM que hospeda seu banco de dados. Os dados de texto simples processados em um enclave não aparecem em despejos de memória, desde que o código dentro do enclave e suas propriedades não tenham sido alteradas maliciosamente. No entanto, os enclaves VBS no Banco de Dados SQL do Azure não podem lidar com ataques mais sofisticados, como a substituição do binário do enclave por código mal-intencionado, devido à atual falta de atestado de enclave. Além disso, independentemente do atestado, os enclaves VBS não fornecem nenhuma proteção contra ataques usando contas de sistema privilegiadas originadas do host. É importante observar que a Microsoft implementou várias camadas de controles de segurança para detetar e prevenir esses ataques na nuvem do Azure, incluindo acesso just-in-time, autenticação multifator e monitoramento de segurança. No entanto, os clientes que exigem um forte isolamento de segurança podem preferir enclaves Intel SGX com a configuração de hardware da série DC em vez de enclaves VBS.
Planejar o atestado de enclave no Banco de Dados SQL do Azure
A configuração do atestado usando o Microsoft Azure Attestation é necessária ao usar enclaves Intel SGX em bancos de dados da série DC.
Importante
Atualmente, o atestado não é suportado para enclaves VBS. O restante desta seção aplica-se apenas aos enclaves Intel SGX em bancos de dados da série DC.
Para usar o Atestado do Microsoft Azure para atestar enclaves Intel SGX no Banco de Dados SQL do Azure, você precisa criar um provedor de atestado e configurá-lo com a política de atestado fornecida pela Microsoft. Consulte Configurar atestado para Always Encrypted usando o Atestado do Azure
Funções e responsabilidades ao configurar enclaves e atestados Intel SGX
Configurar seu ambiente para dar suporte a enclaves e atestados Intel SGX para Always Encrypted no Banco de Dados SQL do Azure envolve a definição de componentes diferentes: um provedor de atestado, um banco de dados e aplicativos que acionam o atestado de enclave. A configuração de componentes de cada tipo é executada por usuários que assumem uma das funções distintas abaixo:
- Administrador de atestado - cria um provedor de atestado no Microsoft Azure Attestation, cria a política de atestado, concede acesso ao servidor lógico SQL do Azure ao provedor de atestado e compartilha a URL de atestado que aponta para a política para administradores de aplicativos.
- Administrador de banco de dados (DBA) - habilita enclaves SGX em bancos de dados selecionando o hardware da série DC e fornece ao administrador de atestado a identidade do servidor lógico SQL do Azure que precisa acessar o provedor de atestado.
- Administrador de aplicativos - configura aplicativos com a URL de atestado obtida do administrador de atestado.
Em ambientes de produção (lidando com dados confidenciais reais), é importante que sua organização adira à separação de funções ao configurar o atestado, onde cada função distinta é assumida por pessoas diferentes. Em particular, se o objetivo da implantação do Always Encrypted em sua organização é reduzir a área da superfície de ataque, garantindo que os administradores de banco de dados não possam acessar dados confidenciais, os administradores de banco de dados não devem controlar as políticas de atestado.