时事通讯




Azure SQL数据库通过安全的环保获得更安全


安全是微软所有产品和产品长期优先考虑的问题。事实上,SQL Server多年来在所有主要数据库平台中产生的安全漏洞最少,超过了Oracle和MySQL等行业中坚。微软正在扩大其在安全方面的领先地位的一个领域是基于Azure SQL云的数据库平台。

最近的Microsoft Ignite Virtual Conference在最近的Microsoft Ignite虚拟会议上宣布了一个重要的新功能,并在公共预览中宣布。虽然这个名字并不完全脱掉舌头,始终用安全的环保加密为需要对其数据进行更大控制和更安全的组织提供重要的新功能,同时还可以享受公共云的敏捷性、可伸缩性和生产力收益。

始终用安全的外地加密了什么?

机密计算的挑战之一是,大多数系统的管理员都有完全权限来访问和阅读该数据,即使该访问级别不合适。因此,在典型的客户端驱动应用程序中,DBA可以读取敏感数据,如工资,HIPAA受保护的医疗数据,PII,财务信息和其他机密类型的数据。多年来,替代方法都非常复杂,昂贵昂贵,如果不是彻头彻尾的不切实际。

在之前的版本中,我们有总是加密,这是SQL Server和Azure SQL数据库中的一个特性,它提供了使用加密数据处理查询的能力,而不会将数据暴露给高度特权的数据库用户,比如DBA。该特性使用确定性加密工作,基于简单的点查找、搜索和对等连接存储在SQL Server或Azure SQL数据库中的加密数据。

Always Encrypted with Secure Enclaves将早期的安全性和保密性提升到了一个全新的水平。有了这个新版本,我们现在可以在SQL数据库引擎中留出一个受保护的内存区域,作为处理敏感数据的可信执行环境,从而成为一个“安全的飞地”。此外,安全enclave对于数据库引擎的其余部分来说是一个黑盒。如果没有正确的密文,就无法查看enclave内的任何代码或数据,即使您有调试器。通过这种方式,enclave安全地解密它需要的数据,处理对数据的查询和计算,然后以安全的方式将数据返回给客户机。

在使用安全enclave进行数据库处理时,将解析Transact-SQL语句并确定是否包含需要使用安全enclave的任何加密数据。当解析器确定涉及到安全enclave时,将引入两个新步骤来处理查询。首先,客户端驱动程序通过安全通道将所需的列加密密钥发送到安全enclave,并将它们提交给查询处理器。然后,在查询处理期间,数据库引擎将加密列上的加密操作或计算委托给安全enclave。在需要的地方,飞区可以解密数据,然后在明文上执行其计算和数据处理。但是数据和列加密密钥都不会以明文形式暴露在安全飞地之外。

当您部署Azure SQL数据库时,运行始终使用安全的环保加密,您可以获得两个主要优点。首先,您的查询更容易且更灵活,允许更多语法,例如使用类似的模式匹配的范围比较。其次,加密会在安全的飞机内自动发生,使您能够避免困难的k,例如加密数据库之外的移动数据。

电池不包括在内

这个特性集在最新的本地SQL Server 2019 (15.x)中可用。在这种情况下,您将需要虚拟化基于安全(VBS)安全内存enclave,即虚拟安全模式或VSM enclave。同样,它也不能在已有的Azure SQL数据库sku中使用。相反,您将需要使用新的dc系列Azure硬件,这也是预览版。(详情请参见https://docs.microsoft.com/ azure/azure-sql/database/service- layers -vcore#dc-series。)这是因为一个安全的飞地使用了英特尔的软件保护扩展(Intel SGX)硬件,是使用该功能的先决条件。

下一步

要了解更多信息并开始使用AlwaysEncrypted with secure enclaves,请访问https://aka.ms/AlwaysEncryptedEnclavesAzureSQLDB。