Computação Confidencial do Azure para o Banco de Dados do Azure para PostgreSQL – servidor flexível

A ACC (Computação Confidencial do Azure) permite que as organizações processem e colaborem com segurança em dados confidenciais, como dados pessoais ou informação de integridade protegida (PHI). A ACC fornece proteção interna contra acesso não autorizado protegendo dados em uso por meio de TEEs (Ambientes de Execução Confiáveis). Essa proteção permite uma análise segura em tempo real e o aprendizado de máquina colaborativo entre os limites organizacionais.

Compreendendo a arquitetura

Servidor Flexível do Banco de Dados do Azure para PostgreSQL é compatível com a Computação Confidencial do Azure por meio de TEEs (Ambientes de Execução Confiáveis), que são regiões de memória isoladas por hardware na CPU. O sistema operacional, o hipervisor e outros aplicativos não podem acessar dados processados dentro do TEE.

  • O código é executado em texto sem formatação dentro do TEE, mas permanece criptografado fora do enclave.
  • Os dados são criptografados quando estão inativos, em trânsito e em uso.
  • O sistema operacional, o hipervisor e outros aplicativos não podem acessar dados protegidos.

Processadores

Você pode habilitar a Computação Confidencial do Azure no Servidor Flexível do Banco de Dados do Azure para PostgreSQL selecionando uma SKU compatível de VM (máquina virtual) confidencial ao criar um novo servidor. Há suporte apenas para processadores AMD SEV-SNP .

Observação

Atualmente, não há suporte para processadores Intel TDX para Banco de Dados do Azure para PostgreSQL servidor flexível.

SKUs de máquina virtual

Os SKUs que dão suporte à Computação Confidencial do Azure (ACC) para o Servidor Flexível do Banco de Dados do Azure para PostgreSQL são:

Nome do SKU Processador vCores Memória (GiB) IOPS Máxima Largura de banda máxima de E/S (MBps)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

Etapas para implantar um servidor com computação confidencial

Usando o portal do Azure:

  1. Selecione uma região compatível com o Azure Confidential Computing para o Banco de Dados do Azure para PostgreSQL – Servidor Flexível. Em seguida, na seção Computação + armazenamento , selecione Configurar Servidor.

    Captura de tela mostrando a guia Noções básicas do assistente de servidor flexível do New Banco de Dados do Azure para PostgreSQL.

  2. Selecione a categoria de computação e processador de computação.

    Captura de tela mostrando onde você pode selecionar a camada de computação e o processador.

  3. Expanda o tamanho da computação e selecione uma das SKUs de computação confidencial com um tamanho apropriado para atender às suas necessidades.

    Captura de tela mostrando onde você pode selecionar o tamanho da computação.

  4. Implante seu servidor.

Compare

Vamos comparar as Máquinas Virtuais de Computação Confidencial do Azure e a Computação Confidencial do Azure.

Característica VMs de computação confidencial ACC para Banco de Dados do Azure para PostgreSQL
Raiz de hardware de confiança Yes Yes
Inicialização confiável Yes Yes
Isolamento de memória e criptografia Yes Yes
Gerenciamento seguro de chaves Yes Yes
Atestado remoto Yes Não

Limitações e considerações

Avalie as limitações cuidadosamente antes de implantar em um ambiente de produção.

  • A computação confidencial só está disponível nas seguintes regiões: Região Norte dos Emirados Árabes Unidos e Oeste da Europa.
  • Há suporte apenas para processadores amd SEV-SNP. Atualmente, os processadores Intel TDX não são compatíveis com Banco de Dados do Azure para PostgreSQL servidor flexível.
  • A restauração pontual (PITR) de versões de computação não-confidenciais para as confidenciais não é permitida.