ACC(Azure 기밀 컴퓨팅)를 사용하면 조직에서 개인 데이터 또는 PHI(민감 건강 정보)와 같은 중요한 데이터를 안전하게 처리하고 공동으로 작업할 수 있습니다. ACC는 TEE(신뢰 실행 환경)를 통해 사용 중인 데이터를 보호하는 방식으로 무단 액세스에 대한 보호 기능을 기본적으로 제공합니다. 이를 통해 조직의 경계를 넘어 실시간 분석 및 공동 작업 기계 학습을 보호할 수 있습니다.
아키텍처 이해
Azure Database for PostgreSQL은 CPU 내에서 하드웨어 기반의 격리된 메모리 영역인 TEE(신뢰 실행 환경)를 통해 Azure 기밀 컴퓨팅을 지원합니다. TEE 내에서 처리되는 데이터는 운영 체제, 하이퍼바이저 또는 기타 애플리케이션의 액세스로부터 보호됩니다.
- 코드는 TEE 내에서 일반 텍스트로 실행되지만 엔클레이브 외부에서는 암호화된 상태로 유지됩니다.
- 데이터는 미사용, 전송 중 및 사용 시 암호화됩니다.
- OS, 하이퍼바이저 또는 기타 애플리케이션의 액세스로부터 보호됩니다.
Processors
Azure 기밀 컴퓨팅 은 새 서버를 만들 때 지원되는 기밀 VM(가상 머신) SKU를 선택하여 Azure Database for PostgreSQL에서 지원됩니다. 다음 두 가지 프로세서 중에서 선택할 수 있습니다.
AMD SEV-SNP
가상 머신 SKU
Azure Database for PostgreSQL에 대한 ACC(Azure 기밀 컴퓨팅)를 지원하는 SKU는 다음과 같습니다.
| SKU 이름 | Processor | vCore 수 | 메모리(GiB) | 최대 IOPS | 최대 I/O 대역폭(MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
배치
Azure Portal, Azure CLI, ARM 템플릿, Bicep, Terraform, Azure PowerShell, REST API 등과 같은 다양한 방법을 사용하여 ACC와 함께 Azure Database for PostgreSQL을 배포할 수 있습니다.
이 예제에서는 Azure Portal을 사용합니다.
아래 단계에 따라 Azure Database for PostgreSQL 서버를 배포합니다.
지역으로 아랍에미리트 북부를 선택합니다.
컴퓨팅 + 스토리지에서 서버 구성을 선택합니다.
컴퓨팅 및 스토리지 탭에서 컴퓨팅 계층 및 컴퓨팅 프로세서를 선택합니다.
컴퓨팅 크기를 선택하고 필요에 따라 기밀 컴퓨팅 SKU 및 크기를 선택합니다.
서버를 배포합니다.
Compare
Azure Confidential Compute 가상 머신과 Azure 기밀 컴퓨팅을 비교해 보겠습니다.
| 특징 | Confidential Compute VM | Azure Database for PostgreSQL용 ACC |
|---|---|---|
| 신뢰의 하드웨어 루트 | Yes | Yes |
| 신뢰할 수 있는 시작 | Yes | Yes |
| 메모리 격리 및 암호화 | Yes | Yes |
| 보안 키 관리 | Yes | Yes |
| 원격 증명 | Yes | 아니오 |
제한 사항 및 고려 사항
프로덕션 환경에 배포하기 전에 제한 사항을 신중하게 평가해야 합니다.
- 기밀 컴퓨팅은 UAE 북부 지역 및 서유럽 지역에서만 사용할 수 있습니다.
- 비기밀 컴퓨팅 SKU에서 기밀로의 PITR(특정 시점 복원)은 허용되지 않습니다.