Azure Database for PostgreSQL フレキシブル サーバー向け Azure Confidential Computing

Azure Confidential Computing (ACC) は、個人データや保護対象の健康情報 (PHI) などの機密データを安全に処理・共有するための機能を組織に提供します。 ACC は、Trusted Execution Environment (TEE) を通じて使用中のデータを保護することで、不正アクセスに対する組み込みの保護機能を提供します。 この保護により、組織の境界を越えてセキュリティで保護されたリアルタイム分析とコラボレーション機械学習が可能になります。

アーキテクチャの概要

Azure Database for PostgreSQLフレキシブル サーバーは、CPU 内のハードウェア ベースの分離されたメモリ領域である、信頼された実行環境 (TE) を介したAzureコンフィデンシャル コンピューティングをサポートします。 オペレーティング システム、ハイパーバイザー、およびその他のアプリケーションは、TEE 内で処理されたデータにアクセスできません。

  • コードは TEE 内では平文で実行されますが、エンクレーブの外では暗号化された状態が維持されます。
  • データは保存時、転送時、使用時に暗号化されます。
  • オペレーティング システム、ハイパーバイザー、およびその他のアプリケーションは、保護されたデータにアクセスできません。

Processors

Azure Database for PostgreSQLフレキシブル サーバーで Azure Confidential Computing を有効にするには、新しいサーバーの作成時にサポートされている機密仮想マシン (VM) SKU を選択します。 AMD SEV-SNP プロセッサのみがサポートされています。

Intel TDX プロセッサは、現在、Azure Database for PostgreSQLフレキシブル サーバーではサポートされていません。

仮想マシン SKU

Azure Database for PostgreSQL フレキシブル サーバーで Azure Confidential Computing (ACC) をサポートする SKU は次のとおりです。

SKU 名 プロセッサ vCores メモリ (GiB) 最大 IOPS 最大 I/O 帯域幅 (MBps)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

コンフィデンシャル コンピューティングを使用してサーバーをデプロイする手順

Azure portal を使用して以下を実行します。

  1. Azure Database for PostgreSQL フレキシブル サーバー向け Azure Confidential Computing をサポートしているリージョンを選択してください。 次に、[ コンピューティングとストレージ ] セクションで、[ サーバーの構成] を選択します。

    新しいAzure Database for PostgreSQLフレキシブル サーバー ウィザードの [基本] タブを示すスクリーンショット。

  2. コンピューティング レベルコンピューティング プロセッサを選択します。

    コンピューティング レベルとプロセッサを選択できる場所を示すスクリーンショット。

  3. コンピューティング サイズを展開し、ニーズを満たすために適切なサイズの機密コンピューティング SKU のいずれかを選択します。

    コンピューティング サイズを選択できる場所を示すスクリーンショット。

  4. サーバーをデプロイします。

Compare

Azure Confidential Compute 仮想マシンと Azure Confidential Computing を比較してみましょう。

特徴 機密コンピューティング仮想マシン Azure Database for PostgreSQL 向け ACC
信頼のハードウェア ルート イエス イエス
信頼できる起動 イエス イエス
メモリの分離と暗号化 イエス イエス
安全な鍵管理 イエス イエス
リモート構成証明 イエス いいえ

制限事項と考慮事項

運用環境にデプロイする前に、制限事項を慎重に評価してください。

  • コンフィデンシャル コンピューティングは、アラブ首長国連邦北部リージョンと西ヨーロッパのリージョンでのみ利用できます。
  • AMD SEV-SNP プロセッサのみがサポートされています。 Intel TDX プロセッサは現在、Azure Database for PostgreSQLフレキシブル サーバーと互換性がありません。
  • 非コンフィデンシャル コンピューティング バージョンから機密バージョンへのポイントインタイム リストア (PITR) は許可されません。