Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
SQL Server 2019 (15.x) a novější verze ve službě Windows Azure SQL Database
Funkce Always Encrypted se zabezpečenými enklávy rozšiřuje funkci Always Encrypted , která umožňuje bohatší funkce dotazů aplikací na šifrované citlivé databázové sloupce. Využívá zabezpečené technologie enklávy, které umožňují exekutoru dotazů v databázovém stroji delegovat výpočty na šifrovaných sloupcích na zabezpečenou enklávu v rámci procesu databázového stroje.
Požadavky
Aby vaše prostředí podporovalo funkci Always Encrypted se zabezpečenými enklávy, musí splňovat následující požadavky.
- Vaše instance SQL Serveru nebo váš databázový server ve službě Azure SQL Database musí být správně nakonfigurované tak, aby podporovaly enklávy a ověření identity, pokud je to možné/povinné. Další informace naleznete v tématu Nastavení zabezpečené enklávy a ověření identity.
- Ujistěte se, že vaše aplikace:
Používá verzi klientského ovladače, která podporuje funkci Always Encrypted se zabezpečenými enklávy.
Povolí funkci Always Encrypted při připojování k databázi.
Nastaví protokol ověřování identity, který určuje, zda musí ovladač klienta ověřit enklávu před odesláním dotazů do enklávy, a pokud ano, kterou službu ověřování identity by měl použít. Nejnovější verze ovladačů podporují následující protokoly ověření identity:
- Ověření identity Microsoft Azure – vynucuje ověření identity pomocí ověření identity Microsoft Azure.
- Služba Strážce hostitele – vynucuje ověření pomocí služby Strážce hostitele.
- Žádné – umožňuje používat enklávy bez ověření.
Následující tabulka určuje protokoly ověření identity platné pro konkrétní produkty SQL a technologie enklávy:
Product Technologie enklávy Podporované protokoly ověření identity SQL Server 2019 (15.x) a novější Enklávy VBS Služba Strážce hostitele, Žádná Azure SQL Database Enklávy SGX (v databázích řady DC) Ověření pravosti Microsoft Azure Azure SQL Database Enklávy VBS None Nastaví adresu URL ověření identity, která je platná pro vaše prostředí, pokud používáte ověření identity.
- Pokud používáte SQL Server a službu Strážce hostitele (HGS), podívejte se na Určení a sdílení attestační URL služby HGS.
- Pokud používáte Azure SQL Database s enklávami Intel SGX a službou Microsoft Azure Attestation, přečtěte si téma Určení adresy URL pro zásady ověření.
Klientské ovladače pro Always Encrypted se zabezpečenými enklávy
Pokud chcete vyvíjet aplikace pomocí funkce Always Encrypted se zabezpečenými enklávy, potřebujete verzi ovladače klienta SQL, která podporuje zabezpečené enklávy. Klientský ovladač hraje následující klíčovou roli:
- Před odesláním dotazu, který k provedení používá zabezpečenou enklávu do SQL Serveru nebo Azure SQL Database, ovladač zahájí ověření enklávy (pokud je nakonfigurované), aby ověřil důvěryhodnost zabezpečené enklávy a dá se bezpečně použít ke zpracování citlivých dat. Další informace o ověření identity najdete v tématu Secure Enclave Attestation.
- Klientský ovladač vytvoří zabezpečenou relaci s enklávou vyjednáním sdíleného tajemství.
- Ovladač pomocí sdíleného tajného klíče zašifruje šifrovací klíče sloupce, které enkláva bude muset zpracovat, a odešle klíče na SQL Server, který je předá zabezpečené enklávě, která dešifruje klíče.
- Nakonec ovladač odešle dotaz na spuštění, který aktivuje výpočty uvnitř zabezpečené enklávy.
Následující klientské ovladače podporují funkci Always Encrypted se zabezpečenými enklávy:
Zprostředkovatel dat Microsoft .NET pro SQL Server v rozhraní .NET Framework 4.6 nebo novější a .NET Core 2.1 nebo novější. Pokud chcete používat enklávy VBS bez ověření identity, vyžaduje se verze 4.1 nebo novější, která je kompatibilní s rozhraním .NET Framework 4.6.1 nebo novějším a .NET Core 3.1.
- Další informace naleznete v tématu Použití funkce Always Encrypted se zprostředkovatelem dat Microsoft .NET pro SQL Server.
- Podrobný kurz najdete v tématu Kurz: Vývoj aplikace .NET pomocí funkce Always Encrypted se zabezpečenými enklávy.
- Podívejte se také na příklad ukazující použití poskytovatele služby Azure Key Vault a funkce Always Encrypted se zabezpečenými enklávy.
Ovladač Microsoft ODBC pro SQL Server verze 17.4 nebo vyšší. Pokud chcete používat enklávy VBS bez ověření identity, vyžaduje se verze 18.1 nebo vyšší.
- Další informace naleznete v tématu Použití funkce Always Encrypted s ovladačem ODBC.
- Informace o povolení výpočtů enklávy pro připojení k databázi pomocí rozhraní ODBC naleznete v části Povolení funkce Always Encrypted se zabezpečenými enklávami .
Ovladač Microsoft JDBC pro SQL Server verze 8.2 nebo vyšší. Pokud chcete používat enklávy VBS bez ověření identity, vyžaduje se verze 12.2 nebo vyšší.
- Další informace najdete v tématu Použití funkce Always Encrypted se zabezpečenými enklávy s ovladačem JDBC.
Zprostředkovatel dat rozhraní .NET Framework pro SQL Server, verze .NET Framework 4.7.2 nebo vyšší.
- Další informace naleznete v tématu Použití funkce Always Encrypted se zprostředkovatelem dat rozhraní .NET Framework pro SQL Server.
- Podrobný kurz najdete v tématu Kurz: Vývoj aplikace .NET Framework pomocí funkce Always Encrypted se zabezpečenými enklávy
Poznámka:
Použití zprostředkovatele dat rozhraní .NET Framework pro SQL Server (System.Data.SqlClient) se nedoporučuje pro nový vývoj. Další informace naleznete v tématu System.Data.SqlClient.