新闻稿




Azure SQL数据库通过安全的环保获得更安全


安全性是其产品和产品中微软的长期优先级。事实上,SQL Server多年来产生了所有主要数据库平台的最少量的安全漏洞,击败了Oracle和MySQL等行业史库特。Microsoft在Security中延伸的一个区域是基于Azure SQL云的数据库平台。

最近的Microsoft Ignite Virtual Conference在最近的Microsoft Ignite虚拟会议上宣布了一个重要的新功能,并在公共预览中宣布。虽然这个名字并不完全脱掉舌头,始终用安全的环保加密为您的数据提供更大控制和安全的组织提供重要的新功能,同时还享受公共云的敏捷性,可扩展性和生产力收益。

始终用安全的外地加密了什么?

机密计算的挑战之一是,大多数系统的管理员都有完全权限来访问和阅读该数据,即使该访问级别不合适。因此,在典型的客户端驱动应用程序中,DBA可以读取敏感数据,如工资,HIPAA受保护的医疗数据,PII,财务信息和其他机密类型的数据。多年来,替代方法都非常复杂,昂贵昂贵,如果不是彻头彻尾的不切实际。

在早期的版本中,我们有总是加密,SQL Server和Azure SQL数据库中的功能,提供了使用加密数据处理查询的功能,而不将该数据暴露给高度特权的数据库用户,例如DBA。此功能使用确定性加密,基于简单的点查找,搜索和平等连接在SQL Server或Azure SQL数据库中的加密数据上进行。

始终用安全的环保加密,采取早期的安全性和机密性的全新水平。使用此新版本,我们现在可以在SQL数据库引擎中留出保护的内存区域,以充当可信执行环境,以处理敏感数据,从而使“安全的飞地”。此外,安全的飞地为数据库引擎的其余部分是一个黑盒子。即使您有调试器,您也无法在接入内部的任何代码或数据中查看任何代码或数据。这样,Cancave安全地解密它需要的数据,处理数据上的查询和计算,然后以安全的方式将数据返回给客户端。

在具有安全切换的数据库处理中,解析了Transact-SQL语句,并确定包含或排除需要使用安全固定的加密数据。当解析器确定涉及安全的外壳时,将引入几个新步骤来处理查询。首先,客户端驱动程序通过安全通道将所需列加密密钥发送到安全的电路,将它们提交到查询处理器。然后,在查询处理期间,数据库引擎将加密列的加密操作或计算委托给安全的飞地。在需要的情况下,飞地可以解密数据,然后在明文上执行其计算和数据处理。但是,数据和列加密密钥都不在安全的飞地外以明文暴露。

当您部署Azure SQL数据库时,运行始终使用安全的环保加密,您可以获得两个主要优点。首先,您的查询更容易且更灵活,允许更多语法,例如使用类似的模式匹配的范围比较。其次,加密会在安全的飞机内自动发生,使您能够避免困难的k,例如加密数据库之外的移动数据。

电池不包括在内

此功能集可在最新版本的内部部署SQL Server 2019(15.x)中提供。在这种情况下,您需要基于虚拟化的安全性(VBS)安全内存FacDaves,A.k.a.虚拟安全模式或vsm factaves。以同样的方式,它不存在预先存在的Azure SQL数据库SKU。相反,您需要使用新的DC系列Azure硬件,这也在预览中。(Details at https://docs.microsoft.com/ azure/azure-sql/database/service-tiers-vcore#dc-series.) That’s because a secure enclave makes use of Intel’s Software Guard Extensions (Intel SGX) hardware and is a prerequisite to use the feature.

下一步

有关更多信息,并始终使用安全的环保加密始终加密,请转到https://aka.ms/alwaysencryptedenclavesazuresqldb。