Azure Confidential Computing voor Azure Database voor PostgreSQL Flexible Server

Met Azure Confidential Computing (ACC) kunnen organisaties veilig verwerken en samenwerken aan gevoelige gegevens, zoals persoonlijke gegevens of beschermde gezondheidsinformatie (PHI). ACC biedt ingebouwde beveiliging tegen onbevoegde toegang door gegevens in gebruik te beveiligen via TEE's (Trusted Execution Environments). Met deze beveiliging kunt u realtime analyses en gezamenlijke machine learning binnen de grenzen van de organisatie beveiligen.

Inzicht in de architectuur

Azure Database for PostgreSQL Flexible Server ondersteunt Azure Confidential Computing via Trusted Execution Environments (TEE’s), dit zijn op hardware gebaseerde, geïsoleerde geheugenregio’s binnen de CPU. Het besturingssysteem, de hypervisor en andere toepassingen hebben geen toegang tot gegevens die in de TEE worden verwerkt.

  • Code wordt uitgevoerd in plaintext binnen de TEE, maar blijft versleuteld buiten de enclave.
  • Gegevens worden in rust versleuteld, onderweg en gebruikt.
  • Het besturingssysteem, de hypervisor en andere toepassingen hebben geen toegang tot beveiligde gegevens.

Processors

U schakelt Azure Confidential Computing in Azure Database for PostgreSQL flexibele server in door een ondersteunde SKU voor vertrouwelijke virtuele machines (VM's) te selecteren bij het maken van een nieuwe server. Alleen AMD SEV-SNP-processors worden ondersteund.

Opmerking

Intel TDX-processors worden momenteel niet ondersteund voor Azure Database for PostgreSQL flexibele server.

SKU's voor virtuele machines

De SKU's die ondersteuning bieden voor Azure Confidential Computing (ACC) voor Azure Database for PostgreSQL flexibele server zijn:

SKU-naam Processor virtuele cores Geheugen (GiB) Maximum aantal IOPS Maximale I/O-bandbreedte (MBps)
Dcadsv5 AMD-SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD-SEV-SNP 2-96 16-672 3750-80000 48-1200

Stappen voor het implementeren van een server met confidential computing

Gebruik de Azure-portal:

  1. Selecteer een regio die ondersteuning biedt voor Azure Confidential Computing voor Azure Database for PostgreSQL flexibele server. Selecteer Vervolgens in de sectie Compute en opslag de optie Server configureren.

    Schermopname van het tabblad Basisprincipes in de wizard Nieuwe Azure Database for PostgreSQL - Flexibele server.

  2. Selecteer uw rekenniveau en processor.

    Schermopname die laat zien waar u de rekenlaag en processor kunt selecteren.

  3. Klap de optie Compute-grootte uit en selecteer een van de SKU's voor confidential compute in een grootte die past bij uw behoeften.

    Schermopname die laat zien waar u de rekengrootte kunt selecteren.

  4. Implementeer uw server.

Compare

Laten we azure Confidential Compute-VM's en Azure Confidential Computing vergelijken.

Eigenschap Virtuele machines voor vertrouwelijk rekenen ACC voor Azure Database for PostgreSQL
Hardwarewortel van vertrouwen Yes Yes
Vertrouwde start Yes Yes
Geheugenisolatie en -versleuteling Yes Yes
Beveiligd sleutelbeheer Yes Yes
Externe attestation Yes Nee.

Beperkingen en overwegingen

Evalueer de beperkingen zorgvuldig voordat u implementeert in een productieomgeving.

  • Confidential Computing is alleen beschikbaar in de volgende regio's: regio UAE - noord en Europa - west.
  • Alleen AMD SEV-SNP-processors worden ondersteund. Intel TDX-processors zijn momenteel niet compatibel met Azure Database for PostgreSQL flexibele server.
  • Herstel naar een bepaald tijdstip (PITR) van niet-vertrouwde rekenversies naar vertrouwelijke versies is niet toegestaan.