Computación confidencial de Azure en Azure Database for PostgreSQL: Servidor flexible

Azure Confidential Computing (ACC) permite a las organizaciones procesar y colaborar de forma segura en datos confidenciales, como datos personales o información de salud protegida (PHI). ACC proporciona protección integrada contra el acceso no autorizado mediante la protección de datos en uso mediante entornos de ejecución de confianza (TEE). Esta protección permite el análisis en tiempo real seguro y el aprendizaje automático colaborativo a través de los límites de la organización.

Comprensión de la arquitectura

Servidor flexible de Azure Database for PostgreSQL admite la informática confidencial de Azure mediante entornos de ejecución seguros (TEE), que son regiones de memoria aisladas basadas en hardware dentro de la CPU. El sistema operativo, el hipervisor y otras aplicaciones no pueden acceder a los datos procesados dentro del TEE.

  • El código se ejecuta en texto no cifrado dentro del TEE, pero permanece cifrado fuera del enclave.
  • Los datos se cifran en reposo, en tránsito y usan.
  • El sistema operativo, el hipervisor y otras aplicaciones no pueden acceder a los datos protegidos.

Procesadores

Para habilitar Azure Confidential Computing en Servidor flexible de Azure Database for PostgreSQL, selecciona una SKU de máquina virtual (VM) confidencial compatible al crear un nuevo servidor. Solo se admiten procesadores AMD SEV-SNP .

Nota:

Los procesadores Intel TDX no son compatibles actualmente con Azure Database for PostgreSQL: servidor flexible.

SKU de máquina virtual

Las SKU compatibles con Azure Confidential Computing (ACC) para el servidor flexible de Azure Database for PostgreSQL son:

Nombre de SKU Procesador vCores Memoria (GiB) IOPS máx. Ancho de banda máximo de E/S (MBps)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

Pasos para implementar un servidor con computación confidencial

Usa el portal de Azure:

  1. Seleccione una región que admita Azure Confidential Computing para el servidor flexible de Azure Database for PostgreSQL. A continuación, en la sección Proceso y almacenamiento , seleccione Configurar servidor.

    Captura de pantalla que muestra la pestaña Conceptos básicos del asistente para crear un nuevo servidor flexible de Azure Database for PostgreSQL.

  2. Seleccione el nivel de proceso y el procesador de proceso.

    Captura de pantalla que muestra dónde puede seleccionar el nivel de proceso y el procesador.

  3. Expande Tamaño de proceso y selecciona una de las SKU de proceso confidencial con el tamaño adecuado para satisfacer tus necesidades.

    Captura de pantalla que muestra dónde puede seleccionar el tamaño de proceso.

  4. Implemente el servidor.

Compare

Vamos a comparar las máquinas virtuales de proceso confidencial de Azure y la informática confidencial de Azure.

Característica Máquinas virtuales de proceso confidenciales ACC para Azure Database for PostgreSQL
Raíz de confianza del hardware
Lanzamiento confiable
Aislamiento y cifrado de memoria
Administración segura de claves
Atestación remota No

Limitaciones y consideraciones

Evalúe cuidadosamente las limitaciones antes de implementarlas en un entorno de producción.

  • La computación confidencial solo está disponible en las siguientes regiones: región Norte de Emiratos Árabes Unidos y Oeste de Europa.
  • Solo se admiten procesadores amd SEV-SNP. Los procesadores Intel TDX no son compatibles actualmente con Azure Database for PostgreSQL servidor flexible.
  • No se permite la restauración a un momento dado (PITR) de versiones de proceso no confidenciales a versiones de proceso confidenciales.