Azure Vertrauliches Computing für Azure Database for PostgreSQL – Flexible Server

Azure Confidential Computing (ACC) ermöglicht Organisationen die sichere Verarbeitung und Zusammenarbeit an vertraulichen Daten, z. B. personenbezogenen Daten oder geschützten Gesundheitsinformationen (Protected Health Information, PHI). ACC bietet integrierten Schutz vor unbefugtem Zugriff, indem Daten gesichert werden, die über Trusted Execution Environments (TEEs) verwendet werden. Dieser Schutz ermöglicht sichere Echtzeitanalysen und gemeinsames maschinelles Lernen über Organisationsgrenzen hinweg.

Grundlagen der Architektur

Azure Database for PostgreSQL Flexible Server unterstützt Azure Confidential Computing durch vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments, TEEs), also hardwarebasierte, isolierte Speicherbereiche innerhalb der CPU. Das Betriebssystem, der Hypervisor und andere Anwendungen können nicht auf daten zugreifen, die innerhalb des TEE verarbeitet werden.

  • Code wird im Klartext innerhalb der TEE ausgeführt, bleibt aber außerhalb der Enklave verschlüsselt.
  • Ruhende Daten werden während der Übertragung und Verwendung verschlüsselt.
  • Das Betriebssystem, der Hypervisor und andere Anwendungen können nicht auf geschützte Daten zugreifen.

Processors

Sie aktivieren Azure Confidential Computing in Azure Database for PostgreSQL – Flexibler Server, indem Sie beim Erstellen eines neuen Servers eine unterstützte SKU für vertrauliche virtuelle Maschinen (VMs) auswählen. Nur AMD SEV-SNP-Prozessoren werden unterstützt.

Hinweis

Intel TDX-Prozessoren werden derzeit für Azure Database for PostgreSQL flexiblen Server nicht unterstützt.

VM-SKUs

Die SKUs, die Azure Confidential Computing (ACC) im Azure Database for PostgreSQL Flexible Server unterstützen, sind:

SKU-Name Prozessor V-Kerne Arbeitsspeicher (GiB) Max. IOPS Maximale E/A-Bandbreite (MBps)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

Schritte zum Bereitstellen eines Servers mit vertraulichen Computern

Verwenden des Azure-Portals:

  1. Wählen Sie eine Region aus, die Azure Confidential Computing für Azure Database for PostgreSQL Flexible Server unterstützt. Wählen Sie dann im Abschnitt "Compute + Storage " die Option "Server konfigurieren" aus.

    Screenshot mit der Registerkarte „Grundlagen“ des Assistenten für einen neuen flexiblen Server von Azure Database for PostgreSQL.

  2. Wählen Sie Ihren Compute-Tarif und Computeprozessor aus.

    Screenshot, der zeigt, wo Sie die Computeebene und den Prozessor auswählen können.

  3. Erweitern Sie die Computegröße , und wählen Sie einen der vertraulichen Compute-SKUs mit einer geeigneten Größe aus, um Ihre Anforderungen zu erfüllen.

    Screenshot, der zeigt, wo Sie die Berechnungsgröße auswählen können.

  4. Stellen Sie Ihren Server bereit.

Compare

Vergleichen wir virtuelle Azure Confidential Compute-Computer und Azure Confidential Computing.

Merkmal Vertrauliche Compute-VMs ACC für Azure Database for PostgreSQL
Vertrauensanker auf Hardwarebasis Yes Yes
Vertrauenswürdiger Start Yes Yes
Speicherisolation und Verschlüsselung Yes Yes
Azure-Schlüsselverwaltung Yes Yes
Remotenachweis Yes Nein

Einschränkungen und Überlegungen

Bewerten Sie die Einschränkungen sorgfältig, bevor Sie sie in einer Produktionsumgebung bereitstellen.

  • Vertrauliches Computing ist nur in den folgenden Regionen verfügbar: Region VAE Nord und Westeuropa.
  • Nur AMD SEV-SNP Prozessoren werden unterstützt. Intel TDX-Prozessoren sind derzeit nicht mit Azure Database for PostgreSQL flexiblen Server kompatibel.
  • Eine Point-in-Time-Wiederherstellung (PITR) aus nicht vertraulichen Computeversionen zu vertraulichen Versionen ist nicht zulässig.