Azure Confidential Computingサービス群
https://gyazo.com/aad9a065d98adf80e99bd5edbe3b5230
構成証明として(ほぼ)全てのazure confidential computingサービスとAzure Attestationが連携
Azure Confidential Ledger
ACLもprivate preview
https://gyazo.com/76f5684ced4ca8434a8fe4415db4f56f
secure enclave ledgerはCCF実装(デモログにCCF)
Azure Attestation
Always Encrypted with secure enclaves in SQL Server
TDE(透過的なデータ暗号化)(デフォルトで有効化)
DBサーバー側で透過的に暗号化
ディクス処分時などにデータ漏洩しないようにDB全体を暗号化
Always Encrypted
クライアントドライバ側で暗号化
データベース管理者やSQL Serverインスタンス(論理サーバ)管理者のアクセスから保護する機能
暗号化方法
決定論的暗号(ECBモードなど)による暗号化
平文と暗号文が一対一に対応するので暗号化されたカラムにアクセスできればそのパターンから平文を推測可能
特にBOOLEAN、ENUMなど
nrryuya.icon > 論文 によると、CBCモードでIVに平文のハッシュを使うらしい INNEAR JOIN、GROUP BY、インデックスはれる
ランダム化された暗号化
クエリほぼ制限
TEEを使うことでalwaye encryptedを有効化したカラムに対してもよりリッチなクエリを処理できるようにする機能
https://gyazo.com/30dafbd85b8a6bf0a730442e76ed7b3b
暗号鍵は(カラム)マスターキーと(カラム)暗号化キーが存在
マスターキーはAzureKeyVaultで管理
暗号化キーはマスターキーで暗号化しSQL Database側に保存
KMSと違い、クライアントはKeyVaultからマスターキーを取得し暗号化・復号に利用
Confidential Computing nodes on AKS
AKSクラスタにConfidential Computing用アドオン追加(--enable-addon confcom)
DCsv2 SKUのVMをノードとして利用