Azure SQL Veritabanı'da güvenli kuşatmalar için planlama
Şunlar için geçerlidir:
Azure SQL Veritabanı
Azure SQL Veritabanı'de güvenli kuşatmalarla Always Encrypted, Intel Software Guard Uzantıları (Intel SGX) kuşatmalarını veya Sanallaştırma Tabanlı Güvenlik (VBS) kuşatmalarını kullanabilir.
Intel SGX kuşatmaları
Intel SGX , donanım tabanlı bir güvenilir yürütme ortamı teknolojisidir. Sanal çekirdek satın alma modelini ve DC serisi donanım yapılandırmasını kullanan veritabanlarında ve elastik havuzlarda kullanılabilir. Bir Intel SGX kapanımını veritabanınız veya elastik havuzunuz için kullanılabilir hale getirmek için, veritabanını veya elastik havuzu oluştururken DC serisi donanım yapılandırmasını seçmeniz ya da mevcut veritabanınızı veya elastik havuzunuzu DC serisi donanımını kullanacak şekilde güncelleştirebilirsiniz.
Not
Intel SGX, DC serisi dışındaki donanımlarda kullanılamaz. Örneğin, Intel SGX standart seri (5. Nesil) donanım yapılandırmasında kullanılamaz ve DTU modelini kullanan veritabanlarında kullanılamaz.
Microsoft Azure Doğrulama tarafından sağlanan kanıtlama ile birlikte Intel SGX kuşatmaları, VBS kuşatmalarına kıyasla işletim sistemi düzeyinde yönetici erişimine sahip aktörlerin saldırılarına karşı daha güçlü bir koruma sunar. Ancak, veritabanınız için DC serisi donanımı yapılandırmadan önce, bu donanımın performans özelliklerine ve sınırlamalarına dikkat edin:
- Sanal çekirdek satın alma modelinin diğer donanım yapılandırmalarından farklı olarak DC serisi, mantıksal çekirdekleri değil fiziksel işlemci çekirdeklerini kullanır. DC serisi veritabanlarının kaynak sınırları, standart seri (5. Nesil) donanım yapılandırmasının kaynak sınırlarından farklıdır.
- DC serisi veritabanı için ayarlayabileceğiniz işlemci çekirdeği sayısı üst sınırı 40'tır.
- DC serisi sunucusuz ile çalışmaz.
Ayrıca DC serisinin geçerli bölgesel kullanılabilirliğini denetleyin ve tercih ettiğiniz bölgelerde kullanılabilir olduğundan emin olun. Ayrıntılar için bkz . DC serisi.
En güçlü veri gizliliği koruması gerektiren ve DC serisinin geçerli sınırlamalarına uyabilen iş yükleri için SGX kuşatmaları önerilir.
VBS kuşatmaları
VBS kuşatmaları (Sanal Güvenli Mod veya VSM kuşatmaları olarak da bilinir), Windows hiper yöneticisine dayanan ve özel donanım gerektirmeyen yazılım tabanlı bir teknolojidir. Bu nedenle VBS kuşatmaları Azure SQL Elastik Havuzları da dahil olmak üzere tüm Azure SQL Veritabanı tekliflerinde kullanılabilir ve işlem boyutu, hizmet katmanı, satın alma modeli, donanım yapılandırması ve iş yükü gereksinimlerinizi en iyi karşılayan bölge ile Always Encrypted'ı güvenli kuşatmalarla kullanma esnekliği sağlar.
Not
VBS kuşatmaları şu durumlar dışında tüm Azure SQL Veritabanı bölgelerde kullanılabilir: Jio Hindistan Orta.
VBS kuşatmaları, Veritabanı Yönetici istrator'ları (DBA' lar) dahil olmak üzere müşterinin kuruluşundaki yüksek ayrıcalıklı kullanıcılardan kullanımda olan veriler için koruma arayan müşteriler için önerilen çözümdür. Şifreleme anahtarlarının verileri korumasını sağlamadan, DBA verilere düz metin olarak erişemez.
VBS kuşatmaları, hassas verileri veritabanınızı barındıran bir VM içindeki bellek dökümlerinden çıkarma gibi bazı işletim sistemi düzeyinde tehditlerin önlenmesine de yardımcı olabilir. Bir kapanımda işlenen düz metin verileri bellek dökümlerinde gösterilmez ve bu, kapanım içindeki kodun ve özelliklerinin kötü amaçlı olarak değiştirilmemiş olması sağlanır. Ancak Azure SQL Veritabanı'deki VBS kuşatmaları, mevcut kapanım kanıtlama eksikliği nedeniyle kapanım ikili dosyasını kötü amaçlı kodla değiştirme gibi daha karmaşık saldırıları ele alamıyor. Ayrıca, kanıtlamadan bağımsız olarak VBS kuşatmaları, konaktan kaynaklanan ayrıcalıklı sistem hesaplarını kullanan saldırılara karşı herhangi bir koruma sağlamaz. Microsoft'un Tam zamanında erişim, çok faktörlü kimlik doğrulaması ve güvenlik izleme dahil olmak üzere Azure bulutunda bu tür saldırıları algılamak ve önlemek için birden çok güvenlik denetimi katmanı uyguladığını unutmayın. Bununla birlikte, güçlü güvenlik yalıtımı gerektiren müşteriler, VBS kuşatmalarına göre DC serisi donanım yapılandırmasına sahip Intel SGX kuşatmalarını tercih edebilir.
Azure SQL Veritabanı'de kapanım kanıtlamayı planlama
DC serisi veritabanlarında Intel SGX kuşatmalarını kullanırken Microsoft Azure Doğrulama kullanarak kanıtlamayı yapılandırmanız gerekir.
Önemli
Kanıtlama şu anda VBS kuşatmalarında desteklenmemektedir. Bu bölümün geri kalanı yalnızca DC serisi veritabanlarındaki Intel SGX kuşatmalarına uygulanır.
Azure SQL Veritabanı'da Intel SGX kuşatmalarını kanıtlamaya yönelik Microsoft Azure Doğrulama kullanmak için bir kanıtlama sağlayıcısı oluşturmanız ve bunu Microsoft tarafından sağlanan kanıtlama ilkesiyle yapılandırmanız gerekir. Bkz. Azure Doğrulama kullanarak Always Encrypted için kanıtlamayı yapılandırma
Intel SGX kuşatmalarını ve kanıtlamayı yapılandırırken roller ve sorumluluklar
Ortamınızı Azure SQL Veritabanı'da Always Encrypted için Intel SGX kuşatmalarını ve kanıtlamasını destekleyecek şekilde yapılandırmak için farklı bileşenler ayarlamanız gerekir: kanıtlama sağlayıcısı, veritabanı ve kapanım kanıtlamayı tetikleyen uygulamalar. Her türün bileşenlerini yapılandırma, aşağıdaki farklı rollerden biri varsayılarak kullanıcılar tarafından gerçekleştirilir:
- Kanıtlama yöneticisi - Microsoft Azure Doğrulama'da bir kanıtlama sağlayıcısı oluşturur, kanıtlama ilkesini yazar, kanıtlama sağlayıcısına Azure SQL mantıksal sunucu erişimi verir ve ilkeyi işaret eden kanıtlama URL'sini uygulama yöneticilerine paylaşır.
- Veritabanı yöneticisi (DBA) - DC serisi donanımı seçerek veritabanlarında SGX kuşatmalarını etkinleştirir ve kanıtlama yöneticisine kanıtlama sağlayıcısına erişmesi gereken Azure SQL mantıksal sunucusunun kimliğini sağlar.
- Uygulama yöneticisi - Uygulamaları kanıtlama yöneticisinden alınan kanıtlama URL'si ile yapılandırıyor.
Üretim ortamlarında (gerçek hassas verileri işleme) kuruluşunuzun kanıtlamayı yapılandırırken rol ayrımlarına bağlı kalması ve her bir ayrı rolün farklı kişiler tarafından varsayılması önemlidir. Özellikle, kuruluşunuzda Always Encrypted'ı dağıtmanın amacı, veritabanı yöneticilerinin hassas verilere erişemediğinden emin olarak saldırı yüzeyi alanını azaltmaksa, veritabanı yöneticileri kanıtlama ilkelerini denetlememelidir.
Sonraki adımlar
Ayrıca bkz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin