Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Конфиденциальные вычисления Azure (ACC) позволяют организациям обрабатывать и сотрудничать с конфиденциальными данными, такими как персональные данные или защищенные сведения о работоспособности (PHI) с встроенной защитой от несанкционированного доступа. Благодаря защите данных, используемых с помощью доверенных сред выполнения (TEEs), ACC обеспечивает безопасную аналитику в режиме реального времени и совместное машинное обучение через границы организации.
Отрасли с строгими нормативными требованиями, такими как финансы, здравоохранение и государственный сектор, могут переносить конфиденциальные рабочие нагрузки из локальных сред в облако с минимальными изменениями кода и без ущерба для производительности с помощью конфиденциальных виртуальных машин Azure (виртуальных машин).
Архитектура
Доверенное окружение выполнения (TEE)* — это аппаратный изолированный регион памяти в ЦП. Данные, обработанные внутри TEE, защищены от доступа операционной системы, гипервизора или других приложений.
- Код выполняется в виде обычного текста в TEE, но остается зашифрованным за пределами анклава.
- Данные шифруются в состоянии покоя, при передаче и во время использования.
**AMD SEV-SNP (Безопасная зашифрованная виртуализация — безопасное вложенное разбиение по страницам)** — обеспечивает полное шифрование памяти и проверку её целостности с целью предотвращения таких атак, как переприсвоение памяти и воспроизведение. Технология поддерживает перенос существующих приложений в инфраструктуру Конфиденциальных вычислений Azure по методу "lift-and-shift," не требуя изменения кода и не влияя на производительность.
Удаленная аттестация
Удаленная аттестация — это процесс проверки безопасности и выполнения проверенного кода TEE перед предоставлением ему доступа к конфиденциальным ресурсам.
Поток аттестации:
- TEE отправляет отчет, содержащий криптографический хэш загруженного кода и конфигурации среды.
- Служба аттестации проверяет:
- Целостность сертификата.
- Издатель является надежным.
- TEE не включен в список блокировок.
- Если проверка выполнена успешно, проверяющий выдает маркер аттестации.
- TEE представляет токен менеджеру секретов.
- Диспетчер секретов сначала проверяет токен на соответствие политике, прежде чем выпускать секреты.
Конфиденциальные вычисления
Azure защищает данные в состоянии покоя и при передаче. Конфиденциальные вычисления добавляют защиту для данных в использовании с помощью аппаратно поддерживаемых и аттестованных TEE.
Консорциум конфиденциальных вычислений (CCC) определяет конфиденциальные вычисления следующим образом:
Замечание
Конфиденциальные вычисления защищают данные, используемые путем выполнения вычислений в аппаратной среде доверенного выполнения (TEE).
Конфиденциальные вычисления предоставляют:
- Аппаратный корень доверия — обеспечивает безопасность TEE в доверенном оборудовании процессора.
- Удаленная аттестация — проверяет целостность рабочей нагрузки перед разрешением доступа к данным.
- Доверенный запуск — гарантирует, что виртуальные машины начинаются с проверенного программного обеспечения и конфигураций.
- Изоляция памяти и шифрование — защищает данные в памяти от несанкционированного доступа.
- Безопасное управление ключами — ключи выдаются только проверенным и аттестованным средам.
Интеграция Базы данных Azure для PostgreSQL
Конфиденциальные вычисления Azure поддерживаются в Базе данных Azure для PostgreSQL. Включите ACC, выбрав поддерживаемый номер SKU конфиденциальной виртуальной машины при создании нового сервера.
Это важно
После создания сервера нельзя переключаться между конфиденциальными и неконфиденциальными параметрами вычислений.
Базу данных Azure для PostgreSQL можно развернуть с помощью ACC, используя любой поддерживаемый метод (например, портал Azure, Azure CLI, шаблоны ARM, Bicep, Terraform, Azure PowerShell, REST API и т. д.).
Поддерживаемые номера SKU ACC
Выберите из следующих SKU на основе ваших требований к вычислительным ресурсам и вводу-выводу.
| **Название SKU*- | **vCores** | **Память (GiB)*- | **Максимальное число операций ввода-вывода в секунду*- | **Максимальная пропускная способность ввода-вывода (MBps)*- |
|---|---|---|---|---|
| Standard_EC2ads_v5 | 2 | 16 | 3,750 | 48 |
| Standard_DC4ads_v5 | 4 | 16 | 6,400 | 96 |
| Standard_DC8ads_v5 | 8 | 32 | 12,800 | 192 |
| Standard_DC16ads_v5 | 16 | 64 | 25 600 | 384 |
| Standard_DC32ads_v5 | 32 | 128 | 51 200 | 768 |
| Standard_DC48ads_v5 | 48 | 192 | 76,800 | 1,152 |
| Standard_DC64ads_v5 | 64 | 256 | 80 000 | 1,200 |
| Standard_DC96ads_v5 | 96 | 384 | 80 000 | 1,200 |
Цена
Сведения о ценах на up-to-date см. в статье " База данных Azure для PostgreSQL" с гибкими ценами на сервер.
портал Azure также отображается оценка ежемесячных затрат на конфигурацию сервера на основе выбранных параметров.
Эта оценка можно оценить на протяжении всего процесса создания сервера на странице "Новый База данных Azure для PostgreSQL гибкий сервер" :
Кроме того, его можно увидеть для существующих серверов, если в меню ресурсов существующего экземпляра в разделе "Параметры " выберите "Вычисления и хранилище":
Если у вас нет подписки Azure, для расчета цены можно воспользоваться калькулятором цен Azure. На веб-сайте калькулятора цен Azure выберите категорию "Базы данных", а затем выберите База данных Azure для PostgreSQL, чтобы добавить службу в оценку, а затем настроить параметры.