ACC(Azure Confidential Computing) 를 사용하면 조직에서 무단 액세스에 대한 기본 제공 보호를 통해 개인 데이터 또는 PHI(보호된 상태 정보)와 같은 중요한 데이터를 처리하고 공동 작업할 수 있습니다. ACC는 TEE(신뢰할 수 있는 실행 환경)를 통해 사용 중인 데이터를 보호함으로써 조직 경계를 넘어 실시간 분석 및 공동 작업 기계 학습을 보호할 수 있습니다.
금융, 의료 및 공공 부문과 같은 엄격한 규제 요구 사항이 있는 산업은 코드 변경을 최소화하고 Azure 기밀 VM(Virtual Machines)을 사용하여 성능을 저하시키지 않고도 온-프레미스 환경에서 클라우드로 중요한 워크로드를 마이그레이션할 수 있습니다.
건축학
**TEE(신뢰할 수 있는 실행 환경)*-는 CPU 내의 하드웨어 기반 격리된 메모리 영역입니다. TEE 내에서 처리되는 데이터는 운영 체제, 하이퍼바이저 또는 기타 애플리케이션의 액세스로부터 보호됩니다.
- 코드는 TEE 내에서 일반 텍스트로 실행되지만 enclave 외부에서 암호화된 상태로 유지됩니다.
- 데이터는 미사용, 전송 중 및 사용 중에 암호화됩니다.
**AMD SEV-SNP(보안 암호화된 가상화 – 보안 중첩 페이징)*- 메모리 다시 매핑 및 재생과 같은 공격을 방지하기 위해 전체 메모리 암호화 및 메모리 무결성 유효성 검사를 제공합니다. 코드 변경을 요구하거나 성능에 영향을 주지 않고 기존 애플리케이션을 Azure 기밀 컴퓨팅으로 리프트 앤 시프트 마이그레이션할 수 있습니다.
원격 증명
원격 증명은 TEE가 안전한지 확인하고 중요한 리소스에 대한 액세스 권한을 부여하기 전에 확인된 코드를 실행하는 프로세스입니다.
증명 흐름:
- TEE는 로드된 코드 및 환경 구성의 암호화 해시를 포함하는 보고서를 제출합니다.
- 증명 서비스(검증 도구)는 다음의 유효성을 검사합니다.
- 인증서의 무결성입니다.
- 발급자를 신뢰할 수 있습니다.
- TEE가 차단 목록에 없습니다.
- 유효성 검사에 성공하면 검증 도구가 증명 토큰을 발급합니다.
- TEE는 비밀 관리자에게 토큰을 제공합니다.
- 비밀 관리자는 비밀을 해제하기 전에 정책에 대해 토큰의 유효성을 검사합니다.
기밀 컴퓨팅
Azure는 저장 및 전송 중인 데이터를 보호합니다. 기밀 컴퓨팅은 하드웨어 지원 증명 TEE를 통해 사용 중인 데이터에 대한 보호를 추가합니다.
CCC(기밀 컴퓨팅 컨소시엄)는 기밀 컴퓨팅을 다음과 같이 정의합니다.
비고
기밀 컴퓨팅은 하드웨어 기반의 증명된 TEE(신뢰할 수 있는 실행 환경)에서 계산을 수행하여 사용 중인 데이터를 보호합니다.
기밀 컴퓨팅은 다음을 제공합니다.
- 신뢰할 수 있는 하드웨어 루트 – 프로세서의 신뢰할 수 있는 하드웨어에서 TEE 보안을 고정합니다.
- 원격 증명 – 데이터에 대한 액세스를 허용하기 전에 워크로드 무결성을 확인합니다.
- 신뢰할 수 있는 시작 – VM이 확인된 소프트웨어 및 구성으로 시작하는지 확인합니다.
- 메모리 격리 및 암호화 – 무단 액세스로부터 메모리 내 데이터를 보호합니다.
- 보안 키 관리 – 검증되고 증명된 환경에서만 키를 해제합니다.
Azure의 PostgreSQL 데이터베이스 통합
Azure Confidential Computing 은 Azure Database for PostgreSQL에서 지원됩니다. 새 서버를 만들 때 지원되는 VM(기밀 가상 머신) SKU를 선택하여 ACC를 사용하도록 설정합니다.
중요합니다
서버를 만든 후에는 기밀 컴퓨팅 옵션과 비확인 컴퓨팅 옵션 간에 전환할 수 없습니다.
지원되는 방법(예: Azure Portal, Azure CLI, ARM 템플릿, Bicep, Terraform, Azure PowerShell, REST API 등)을 사용하여 ACC와 함께 Azure Database for PostgreSQL을 배포할 수 있습니다.
지원되는 ACC SKU
컴퓨팅 및 I/O 요구 사항에 따라 다음 SKU 중에서 선택합니다.
| **SKU 이름*- | **vCores*- | **메모리(GiB)*- | **최대 IOPS*- | **최대 I/O 대역폭(MBps)*- |
|---|---|---|---|---|
| Standard_EC2ads_v5 | 2 | 16 | 3,750 | 48 |
| Standard_DC4ads_v5 | 4 | 16 | 6,400 | 96 |
| Standard_DC8ads_v5 | 8 (여덟) | 32 | 12,800 | 192 |
| Standard_DC16ads_v5 | 16 | 64 | 25,600 | 384 |
| Standard_DC32ads_v5 | 32 | 128 | 5만 1천 2백 | 768 |
| Standard_DC48ads_v5 | 48 | 192 | 76,800 | 1,152 |
| Standard_DC64ads_v5 | 64 | 256 | 80,000 | 1,200 |
| Standard_DC96ads_v5 | 96 | 384 | 80,000 | 1,200 |
가격
가장 up-to날짜 가격 책정 정보는 Azure Database for PostgreSQL 유연한 서버 가격 책정을 참조하세요.
또한 Azure Portal 은 선택한 옵션에 따라 서버 구성의 월별 비용을 예측합니다.
이러한 예측은 새 Azure Database for PostgreSQL 유연한 서버 페이지에서 서버 만들기 환경 전체에서 확인할 수 있습니다.
기존 인스턴스 의 리소스 메뉴에서 설정 섹션에서 Compute + 스토리지를 선택하는 경우 기존 서버에 대해서도 볼 수 있습니다.
Azure 구독이 없는 경우 Azure 가격 책정 계산기를 사용하여 예상 가격을 구할 수 있습니다. Azure 가격 계산기 웹 사이트에서 데이터베이스 범주를 선택한 다음, Azure Database for PostgreSQL을 선택하여 예상에 서비스를 추가한 다음, 옵션을 사용자 지정합니다.