Informatique confidentielle Azure pour Azure Database pour PostgreSQL - Serveur flexible

L’Informatique confidentielle Azure permet aux organisations de traiter et de collaborer en toute sécurité sur des données sensibles, telles que des données personnelles ou des informations médicales protégées. L’Informatique confidentielle Azure fournit une protection intégrée contre l’accès non autorisé en sécurisant les données en cours d’utilisation par le biais d’environnements d’exécution de confiance. Cette protection permet une analytique en temps réel sécurisée et un machine learning collaboratif à travers les limites de l’organisation.

Présentation de l’architecture

Le serveur flexible Azure Database pour PostgreSQL prend en charge Azure Confidential Computing via des environnements d’exécution sécurisés (TEE), qui sont des régions de mémoire isolées matérielles au sein du processeur. Le système d’exploitation, l’hyperviseur et d’autres applications ne peuvent pas accéder aux données traitées à l’intérieur de l’ETE.

  • Le code s’exécute en texte brut dans l’environnement d’exécution de confiance, mais reste chiffré en dehors de l’enclave.
  • Les données sont chiffrées au repos, en transit et utilisées.
  • Le système d’exploitation, l’hyperviseur et d’autres applications ne peuvent pas accéder aux données protégées.

Processors

Vous activez Azure Informatique confidentielle dans Azure Database pour PostgreSQL serveur flexible en sélectionnant une référence SKU de machine virtuelle confidentielle prise en charge lors de la création d’un serveur. Seuls les processeurs AMD SEV-SNP sont pris en charge.

Note

Les processeurs Intel TDX ne sont actuellement pas pris en charge pour Azure Database pour PostgreSQL serveur flexible.

Références SKU de machine virtuelle

Les SKU prenant en charge Azure Confidential Computing (ACC) pour Azure Database pour PostgreSQL - Serveur flexible sont les suivants :

Nom de la référence SKU Processeur vCores Mémoire (Gio) Nb max. d’E/S par seconde Bande passante d’E/S maximale (Mbits/s)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Acedsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

Étapes de déploiement d’un serveur avec l’informatique confidentielle

Utilisation du portail Azure :

  1. Sélectionnez une région qui prend en charge le Computing confidentiel Azure pour le serveur flexible Azure Database pour PostgreSQL. Ensuite, dans la section Calcul + stockage , sélectionnez Configurer le serveur.

    Capture d’écran montrant l’onglet Général de l’assistant Nouveau serveur flexible Azure Database pour PostgreSQL.

  2. Sélectionnez votre niveau de calcul et votre processeur de calcul.

    Capture d’écran montrant où vous pouvez sélectionner le niveau de calcul et le processeur.

  3. Développez la taille de calcul et sélectionnez l’une des références SKU de calcul confidentielles avec une taille appropriée pour répondre à vos besoins.

    Capture d’écran montrant où vous pouvez sélectionner la taille de calcul.

  4. Déployez votre serveur.

Compare

Nous allons comparer les machines virtuelles de calcul confidentiel Azure et l’informatique confidentielle Azure.

Caractéristique Machines virtuelles de calcul confidentielles Informatique confidentielle Azure pour Azure Database pour PostgreSQL
Racine matérielle de confiance Oui Oui
Lancement sécurisé Oui Oui
Isolation et chiffrement de la mémoire Oui Oui
Sécuriser la gestion des clés Oui Oui
Attestation distante Oui Non

Limitations et considérations

Évaluez attentivement les limitations avant le déploiement dans un environnement de production.

  • L’informatique confidentielle est disponible uniquement dans les régions suivantes : région Nord des Émirats arabes unis et Europe Ouest.
  • Seuls les processeurs AMD SEV-SNP sont pris en charge. Les processeurs Intel TDX ne sont actuellement pas compatibles avec Azure Database pour PostgreSQL serveur flexible.
  • La restauration à un point dans le temps (PITR) des versions de calcul non confidentielles vers des versions confidentielles n’est pas autorisée.