Azure Confidential Computing (ACC) は、個人データや保護対象の健康情報 (PHI) などの機密データを安全に処理・共有するための機能を組織に提供します。 ACC は、Trusted Execution Environment (TEE) を通じて使用中のデータを保護することで、不正アクセスに対する組み込みの保護機能を提供します。 これにより、組織の枠を越えた安全なリアルタイム分析と共同機械学習が可能になります。
アーキテクチャの概要
Azure Database for PostgreSQL は、CPU に内蔵されたハードウェアベースの分離メモリ領域である Trusted Execution Environment (TEE) を活用し、Azure Confidential Computing に対応しています。 TEE 内で処理されるデータは、オペレーティング システム、ハイパーバイザー、その他のアプリケーションからのアクセスから保護されます。
- コードは TEE 内では平文で実行されますが、エンクレーブの外では暗号化された状態が維持されます。
- データは保存時、転送時、使用時に暗号化されます。
- OS、ハイパーバイザー、その他のアプリケーションからのアクセスから保護されています。
Processors
Azure Confidential Computing は、Azure Database for PostgreSQL において、新しいサーバーの作成時に対応する機密仮想マシン (VM) SKU を選択することで利用可能です。 選択可能なプロセッサは 2 種類あります。
AMD SEV-SNP
仮想マシン SKU
Azure Database for PostgreSQL において Azure Confidential Computing (ACC) をサポートする SKU は次のとおりです。
| SKU 名 | Processor | 仮想コア | メモリ (GiB) | 最大 IOPS | 最大 I/O 帯域幅 (MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
デプロイメント
Azure Database for PostgreSQL は、Azure Confidential Computing (ACC) 対応で、Azure portal、Azure CLI、ARM テンプレート、Bicep、Terraform、Azure PowerShell、REST API など、さまざまな方法でデプロイできます。
この例では、Azure portal を使用しています。
以下の手順に従って、Azure Database for PostgreSQL サーバーをデプロイしてください。
リージョンとして [アラブ首長国連邦北部] を選択してください。
[コンピューティングとストレージ] の下にある [サーバーの構成] を選択してください。
![Azure Confidential Computing ポータルのデプロイの [コンピューティングとストレージ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-2.png)
[コンピューティングとストレージ] タブで、[コンピューティング レベル] と [コンピューティング プロセッサ] を選択してください。
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとプロセッサ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-3.png)
[コンピューティング サイズ] を選択し、[機密コンピューティング SKU] とニーズに応じたサイズを選択してください。
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとサイズ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-4.png)
サーバーをデプロイします。
![Azure Confidential Computing ポータルのデプロイの [コンピューティングとストレージ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-2.png#lightbox)
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとプロセッサ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-3.png#lightbox)
![Azure Confidential Computing ポータルのデプロイの [コンピューティング レベルとサイズ] ページのスクリーンショット。](media/security-confidential-computing/confidential-compute-portal-4.png#lightbox)
Compare
Azure Confidential Compute 仮想マシンと Azure Confidential Computing を比較してみましょう。
| 特徴 | 機密コンピューティング仮想マシン | Azure Database for PostgreSQL の ACC |
|---|---|---|
| 信頼のハードウェア ルート | イエス | イエス |
| トラステッド起動 | イエス | イエス |
| メモリの分離と暗号化 | イエス | イエス |
| 安全な鍵管理 | イエス | イエス |
| リモート構成証明 | イエス | いいえ |
制限と考慮事項
本番環境にデプロイする前に、制限事項を慎重に評価してください。
- コンフィデンシャル コンピューティングは、アラブ首長国連邦北部リージョンと西ヨーロッパ リージョンでのみ利用できます。
- 非機密コンピューティング SKU から機密コンピューティング SKU へのポイントインタイム リストア (PITR) は許可されていません。