Azure Confidential Computing (ACC) は、個人データや保護対象の健康情報 (PHI) などの機密データを安全に処理・共有するための機能を組織に提供します。 ACC は、Trusted Execution Environment (TEE) を通じて使用中のデータを保護することで、不正アクセスに対する組み込みの保護機能を提供します。 この保護により、組織の境界を越えてセキュリティで保護されたリアルタイム分析とコラボレーション機械学習が可能になります。
アーキテクチャの概要
Azure Database for PostgreSQL は、CPU に内蔵されたハードウェアベースの分離メモリ領域である Trusted Execution Environment (TEE) を活用し、Azure Confidential Computing に対応しています。 オペレーティング システム、ハイパーバイザー、およびその他のアプリケーションは、TEE 内で処理されたデータにアクセスできません。
- コードは TEE 内では平文で実行されますが、エンクレーブの外では暗号化された状態が維持されます。
- データは保存時、転送時、使用時に暗号化されます。
- オペレーティング システム、ハイパーバイザー、およびその他のアプリケーションは、保護されたデータにアクセスできません。
Processors
Azure Database for PostgreSQL で Azure Confidential Computing を有効にするには、新しいサーバーの作成時にサポートされている機密仮想マシン (VM) SKU を選択します。 AMD SEV-SNP プロセッサのみがサポートされています。
注
Intel TDX プロセッサは現在、Azure Database for PostgreSQL ではサポートされていません。
仮想マシン SKU
Azure Database for PostgreSQL の Azure Confidential Computing (ACC) をサポートする SKU は次のとおりです。
| SKU 名 | プロセッサ | vCores | メモリ (GiB) | 最大 IOPS | 最大 I/O 帯域幅 (MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
デプロイメント
AZURE portal、Azure CLI、ARM テンプレート、Bicep、Terraform、Azure PowerShell、REST API など、さまざまな方法を使用して、ACC を使用して Azure Database for PostgreSQL をデプロイできます。
この例では、Azure portal を使用します。
以下の手順に従って、Azure Database for PostgreSQL サーバーをデプロイしてください。
リージョンとして [アラブ首長国連邦北部] を選択してください。
[コンピューティングとストレージ] の下にある [サーバーの構成] を選択してください。
![Azure Confidential Computing ポータルのデプロイの [コンピューティングとストレージ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-2.png)
[コンピューティングとストレージ] タブで、[コンピューティング レベル] と [コンピューティング プロセッサ] を選択してください。
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとプロセッサ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-3.png)
[コンピューティング サイズ] を選択し、[機密コンピューティング SKU] とニーズに応じたサイズを選択してください。
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとサイズ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-4.png)
サーバーをデプロイします。
![Azure Confidential Computing ポータルのデプロイの [コンピューティングとストレージ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-2.png#lightbox)
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとプロセッサ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-3.png#lightbox)
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとサイズ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-4.png#lightbox)
Compare
Azure Confidential Compute 仮想マシンと Azure Confidential Computing を比較してみましょう。
| 特徴 | 機密コンピューティング仮想マシン | Azure Database for PostgreSQL 向け ACC |
|---|---|---|
| 信頼のハードウェア ルート | イエス | イエス |
| 信頼できる起動 | イエス | イエス |
| メモリの分離と暗号化 | イエス | イエス |
| 安全な鍵管理 | イエス | イエス |
| リモート構成証明 | イエス | いいえ |
制限事項と考慮事項
運用環境にデプロイする前に、制限事項を慎重に評価してください。
- コンフィデンシャル コンピューティングは、アラブ首長国連邦北部リージョンと西ヨーロッパ リージョンでのみ利用できます。
- AMD SEV-SNP プロセッサのみがサポートされています。 Intel TDX プロセッサは現在、Azure Database for PostgreSQL と互換性がありません。
- 非コンフィデンシャル コンピューティング バージョンから機密バージョンへのポイントインタイム リストア (PITR) は許可されません。