Azure Confidential Computing (ACC) を使用すると、組織は、未承認のアクセスに対する組み込みの保護を使用して、個人データや保護された正常性情報 (PHI) などの機密データを処理および共同作業できます。 ACC は、信頼できる実行環境 (TE) を通じて使用中のデータをセキュリティで保護することで、組織の境界を越えて安全なリアルタイム分析とコラボレーション機械学習を実現します。
財務、医療、公共部門などの厳しい規制要件を持つ業界では、Azure Confidential Virtual Machines (VM) を使用することで、コードの変更を最小限に抑え、パフォーマンスを犠牲にすることなく、機密性の高いワークロードをオンプレミス環境からクラウドに移行できます。
アーキテクチャ
**信頼された実行環境 (TEE)*- は、CPU 内のハードウェア ベースの分離されたメモリ領域です。 TEE 内で処理されるデータは、オペレーティング システム、ハイパーバイザー、またはその他のアプリケーションによるアクセスから保護されます。
- コードは TEE 内でプレーンテキストで実行されますが、エンクレーブの外部では暗号化されたままです。
- データは保存時、転送中、使用中に暗号化されます。
**AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging)*- メモリの再マッピングやリプレイなどの攻撃を防ぐために、完全なメモリ暗号化とメモリ整合性検証を提供します。 コードを変更したりパフォーマンスに影響を与えたりすることなく、既存のアプリケーションを Azure Confidential Computing にリフト アンド シフト移行できます。
リモート構成証明
リモート構成証明は、TEE がセキュリティで保護されていることを検証し、機密リソースへのアクセスを許可する前に検証済みコードを実行するプロセスです。
認証フロー:
- TEE は、読み込まれたコードと環境の構成の暗号化ハッシュを含むレポートを送信します。
- 構成証明サービス (検証ツール) では以下を検証します。
- 証明書の整合性。
- 発行者は信頼されています。
- TEE はブロックリストに含まれません。
- 検証が成功した場合、検証者は構成証明トークンを発行します。
- TEE は、シークレット マネージャーにトークンを提示します。
- シークレット マネージャーは、シークレットをリリースする前に、ポリシーに対してトークンを検証します。
コンフィデンシャル コンピューティング
Azure は、保存データと転送中のデータをセキュリティで保護します。 コンフィデンシャル コンピューティングを使用すると、ハードウェアに基づく構成証明済みの TEEs を通じて 、使用中のデータ の保護が強化されます。
コンフィデンシャル コンピューティング コンソーシアム (CCC) は、コンフィデンシャル コンピューティングを次のように定義します。
注
コンフィデンシャル コンピューティングは、ハードウェア ベースの構成証明済みの信頼された実行環境 (TEE) で計算を実行することで、使用中のデータを保護します。
コンフィデンシャル コンピューティングには次の機能があります。
- ハードウェア信頼の根 – プロセッサの信頼されたハードウェアに TEE セキュリティを基盤化します。
- リモート構成証明 – データへのアクセスを許可する前に、ワークロードの整合性を検証します。
- 信頼できる起動 – VM が検証済みのソフトウェアと構成で始まります。
- メモリの分離と暗号化 – 未承認のアクセスからメモリ内データをセキュリティで保護します。
- セキュリティで保護されたキー管理 – 検証済みで実証された環境にのみキーを解放するように制限されています。
Azure Database for PostgreSQL 統合
Azure Confidential Computing は、 Azure Database for PostgreSQL でサポートされています。 新しいサーバーを作成するときに、サポートされている機密仮想マシン (VM) SKU を選択して ACC を有効にします。
Von Bedeutung
サーバーが作成された後は、機密コンピューティング オプションと非コンフィデンシャル コンピューティング オプションを切り替えることはできません。
サポートされている任意の方法 (Azure portal、Azure CLI、ARM テンプレート、Bicep、Terraform、Azure PowerShell、REST API など) を使用して、ACC を使用して Azure Database for PostgreSQL をデプロイできます。
サポートされている ACC SKU
コンピューティングと I/O の要件に基づいて、次の SKU から選択します。
| **SKU 名*- | **仮想コア*- | **メモリ (GiB)*- | **最大 IOPS*- | **最大 I/O 帯域幅 (MBps)*- |
|---|---|---|---|---|
| Standard_EC2ads_v5 | 2 | 16 | 3,750 | 48 |
| Standard_DC4ads_v5 | 4 | 16 | 6,400 | 96 |
| Standard_DC8ads_v5 | 8 | 32 | 12,800 | 192 |
| Standard_DC16ads_v5 | 16 | 64 | 25,600 | 384 |
| Standard_DC32ads_v5 | 32 | 128 | 5万1,200 | 768 |
| Standard_DC48ads_v5 | 48 | 192 | 76,800 | 1,152 |
| Standard_DC64ads_v5 | 64 | 256 | 80,000 | 1,200 |
| Standard_DC96ads_v5 | 96 | 384 | 80,000 | 1,200 |
料金
最新の価格情報 up-toについては、 Azure Database for PostgreSQL フレキシブル サーバーの価格に関するページを参照してください。
Azure portal にも、選択されたオプションに基づく、サーバー構成の月額コストの見積もりが表示されます。
この見積もりは、サーバー作成エクスペリエンス全体を通して、以下のように [新しい Azure Database for PostgreSQL フレキシブル サーバー] ページで確認できます。
![[新しい Azure Database for PostgreSQL フレキシブル サーバー] ウィザード内の推定月額コストを示すスクリーンショット。](media/compute-storage-pricing/new-server-estimated-costs.png#lightbox)
以下のように、既存インスタンスのリソース メニューの [設定] セクションで、[コンピューティングとストレージ] を選択すると、これを既存サーバーでも確認することができます。
![既存の Azure Database for PostgreSQL フレキシブル サーバー インスタンスの [コンピューティングとストレージ] ページ内の推定月額コストを示すスクリーンショット。](media/compute-storage-pricing/existing-server-estimated-costs.png#lightbox)
Azure サブスクリプションを取得していない場合は、Azure 料金計算ツールを使用して見積もり価格を確認できます。 Azure 価格計算ツール Web サイトで、[データベース] カテゴリを選択した後、[Azure Database for PostgreSQL] を選択して、サービスを見積もりに追加した後、オプションをカスタマイズします。