Azure Confidential Computing (ACC) は、個人データや保護対象の健康情報 (PHI) などの機密データを安全に処理・共有するための機能を組織に提供します。 ACC は、Trusted Execution Environment (TEE) を通じて使用中のデータを保護することで、不正アクセスに対する組み込みの保護機能を提供します。 この保護により、組織の境界を越えてセキュリティで保護されたリアルタイム分析とコラボレーション機械学習が可能になります。
アーキテクチャの概要
Azure Database for PostgreSQLフレキシブル サーバーは、CPU 内のハードウェア ベースの分離されたメモリ領域である、信頼された実行環境 (TE) を介したAzureコンフィデンシャル コンピューティングをサポートします。 オペレーティング システム、ハイパーバイザー、およびその他のアプリケーションは、TEE 内で処理されたデータにアクセスできません。
- コードは TEE 内では平文で実行されますが、エンクレーブの外では暗号化された状態が維持されます。
- データは保存時、転送時、使用時に暗号化されます。
- オペレーティング システム、ハイパーバイザー、およびその他のアプリケーションは、保護されたデータにアクセスできません。
Processors
Azure Database for PostgreSQLフレキシブル サーバーで Azure Confidential Computing を有効にするには、新しいサーバーの作成時にサポートされている機密仮想マシン (VM) SKU を選択します。 AMD SEV-SNP プロセッサのみがサポートされています。
注
Intel TDX プロセッサは、現在、Azure Database for PostgreSQLフレキシブル サーバーではサポートされていません。
仮想マシン SKU
Azure Database for PostgreSQL フレキシブル サーバーで Azure Confidential Computing (ACC) をサポートする SKU は次のとおりです。
| SKU 名 | プロセッサ | vCores | メモリ (GiB) | 最大 IOPS | 最大 I/O 帯域幅 (MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
コンフィデンシャル コンピューティングを使用してサーバーをデプロイする手順
Azure portal を使用して以下を実行します。
Compare
Azure Confidential Compute 仮想マシンと Azure Confidential Computing を比較してみましょう。
| 特徴 | 機密コンピューティング仮想マシン | Azure Database for PostgreSQL 向け ACC |
|---|---|---|
| 信頼のハードウェア ルート | イエス | イエス |
| 信頼できる起動 | イエス | イエス |
| メモリの分離と暗号化 | イエス | イエス |
| 安全な鍵管理 | イエス | イエス |
| リモート構成証明 | イエス | いいえ |
制限事項と考慮事項
運用環境にデプロイする前に、制限事項を慎重に評価してください。
- コンフィデンシャル コンピューティングは、アラブ首長国連邦北部リージョンと西ヨーロッパのリージョンでのみ利用できます。
- AMD SEV-SNP プロセッサのみがサポートされています。 Intel TDX プロセッサは現在、Azure Database for PostgreSQLフレキシブル サーバーと互換性がありません。
- 非コンフィデンシャル コンピューティング バージョンから機密バージョンへのポイントインタイム リストア (PITR) は許可されません。