Konfigurace šifrování sloupců pomocí Průvodce funkcí Always Encrypted

Platí pro:SQL ServerAzure SQL DatabaseSpravovaná instance Azure SQL

Průvodce funkcí Always Encrypted je výkonný nástroj, který umožňuje nastavit požadovanou konfiguraci funkce Always Encrypted pro vybrané databázové sloupce. V závislosti na aktuální konfiguraci a požadované cílové konfiguraci může průvodce zašifrovat sloupec, dešifrovat ho (odebrat šifrování) nebo ho znovu zašifrovat (například pomocí nového šifrovacího klíče sloupce nebo typu šifrování, který se liší od aktuálního typu nakonfigurovaného pro sloupec). V jednom spuštění průvodce je možné nakonfigurovat více sloupců.

Průvodce umožňuje šifrovat sloupce s existujícími šifrovacími klíči sloupců nebo můžete vygenerovat nový šifrovací klíč sloupce nebo nový šifrovací klíč sloupce i nový hlavní klíč sloupce.

Pokud je vaše databáze nakonfigurovaná pomocí zabezpečené enklávy, můžete spouštět kryptografické operace na místě, aniž byste museli přesouvat data z databáze. Průvodce odebere všechny závislosti, které blokují změnu schématu sloupce, který se má šifrovat. Provádí šifrování na místě pro každý sloupec pomocí enklávy v databázovém stroji. Po dokončení šifrování průvodce znovu vytvoří závislosti. Další informace o funkci Always Encrypted se zabezpečenými enklávy najdete v tématu Always Encrypted se zabezpečenými enklávy.

Pokud vaše databáze není* nakonfigurovaná se zabezpečeným enklávem, průvodce vám poskytne možnost povolit zabezpečenou enklávu. Pokud se rozhodnete nepovolit zabezpečenou enklávu nebo nepoužíváte klíče s podporou enklávy, průvodce funguje přesunutím dat z databáze a prováděním kryptografických operací v rámci procesu SQL Server Management Studio (SSMS). Průvodce vytvoří novou tabulku (nebo tabulky) s požadovanou konfigurací šifrování v databázi, načte všechna data z původních tabulek, provede požadované kryptografické operace, nahraje data do nových tabulek a potom prohodí původní tabulky s novými tabulkami.

Návod

Použití místního šifrování pomocí funkce Always Encrypted se zabezpečenými enklávy, pokud je dostupné ve vašem prostředí, může výrazně zkrátit dobu a spolehlivost kryptografických operací.

Poznámka:

Spouštění kryptografických operací může trvat dlouhou dobu. Během této doby není vaše databáze k dispozici pro zápis transakcí. PowerShell je doporučený nástroj pro kryptografické operace ve větších tabulkách. Viz Konfigurace šifrování sloupců pomocí funkce Always Encrypted s PowerShellem nebo místní konfigurace šifrování sloupců pomocí PowerShellu.

• Kompletní návod, který ukazuje, jak nakonfigurovat funkci Always Encrypted pomocí průvodce a používat ji v klientské aplikaci, najdete v následujících kurzech ke službě Azure SQL Database:

  • Chraňte citlivá data v Azure SQL Database pomocí Always Encrypted a hlavních klíčů sloupců v úložišti certifikátů systému Windows
  • Ochrana citlivých dat ve službě Azure SQL Database pomocí klíčů Always Encrypted a hlavních klíčů sloupců ve službě Azure Key Vault

• Informace o klíčích Always Encrypted najdete v tématu Přehled správy klíčů pro funkci Always Encrypted.

• Informace o typech šifrování podporovaných v funkci Always Encrypted naleznete v tématu Výběr deterministické nebo randomizovaného šifrování.

Povolení

Pro provádění kryptografických operací pomocí průvodce musíte mít oprávnění k VIEW ANY COLUMN MASTER KEY DEFINITION a VIEW ANY COLUMN ENCRYPTION KEY DEFINITION. K vytvoření, přístupu a použití hlavního klíče sloupce potřebujete také oprávnění k úložišti klíčů. Podrobné informace o oprávněních k úložišti klíčů najdete v tématu Vytvoření a uložení hlavních klíčů sloupců pro Always Encrypted nebo vyhledejte oddíl relevantní pro vaše úložiště klíčů.

Otevřete průvodce Always Encrypted

Můžete spustit průvodce na třech různých úrovních:

• Na úrovni databáze – pokud chcete zašifrovat více sloupců umístěných v různých tabulkách.
• Na úrovni tabulky – pokud chcete zašifrovat více sloupců umístěných ve stejné tabulce.
• Na úrovni sloupce – pokud chcete šifrovat jeden konkrétní sloupec.

1. Připojte se k SQL Serveru pomocí komponenty Průzkumník objektů aplikace SQL Server Management Studio.

2. Šifrování:

   1. Klikněte pravým tlačítkem myši na vaši databázi, přejděte na Úkoly a vyberte Šifrovat sloupce pro více sloupců umístěných v různých tabulkách v databázi.
   2. Více sloupců umístěných ve stejné tabulce, přejděte na ni, klikněte na ni pravým tlačítkem myši a vyberte Šifrovat sloupce.
   3. Jednotlivé sloupce, přejděte na sloupec, klikněte na něj pravým tlačítkem myši a vyberte Šifrovat sloupce.

Stránka Výběr sloupců

Na této stránce vyberete sloupce, které chcete šifrovat, znovu zašifrovat nebo dešifrovat, a definujete konfiguraci cílového šifrování pro vybrané sloupce.

Pokud chcete zašifrovat sloupec ve formátu prostého textu (sloupec, který není šifrovaný), vyberte typ šifrování (deterministický nebo randomizovaný) a šifrovací klíč sloupce.

Pokud chcete změnit typ šifrování nebo otočit (změnit) šifrovací klíč sloupce pro již šifrovaný sloupec, vyberte požadovaný typ šifrování a klíč.

Pokud chcete, aby průvodce zašifrovala nebo znovu zašifrovala jeden nebo více sloupců pomocí nového šifrovacího klíče sloupce, vyberte klíč obsahující (Nový) v názvu. Průvodce vygeneruje klíč.

Pokud chcete dešifrovat sloupec, který je aktuálně šifrovaný, vyberte pro typ šifrování prostý text .

Poznámka:

Pokud chcete použít místní šifrování a používáte existující klíče, ujistěte se, že jste vybrali klíče s podporou enklávy – označené jako (s podporou enklávy).

Poznámka:

Průvodce nepodporuje kryptografické operace v dočasných tabulkách a tabulkách v paměti. Prázdné dočasné tabulky nebo tabulky v paměti můžete vytvářet pomocí Transact-SQL a vkládat data pomocí aplikace.

Stránka Konfigurace hlavního klíče

Pokud jste vybrali automaticky vygenerovaný šifrovací klíč sloupce pro libovolný sloupec na předchozí stránce, musíte na této stránce buď vybrat existující hlavní klíč sloupce, nebo nakonfigurovat nový hlavní klíč sloupce, který zašifruje šifrovací klíč sloupce.

Při konfiguraci nového hlavního klíče sloupce můžete buď vybrat existující klíč ve Windows Certificate Store, nebo ve službě Azure Key Vault a nechat průvodce vytvořit pouze objekt metadat pro klíč v databázi, nebo můžete zvolit vygenerování klíče i objektu metadat popisujícího klíč v databázi.

Pokud chcete použít místní šifrování, ujistěte se, že jste pro nový hlavní klíč sloupce vybrali Povolit výpočty enklávy. Zaškrtnutí tohoto políčka je povoleno pouze v případě, že je vaše databáze nakonfigurovaná se zabezpečeným enklávem.

Další informace o vytváření a ukládání hlavních klíčů sloupců ve Windows Certificate Storu, Azure Key Vaultu nebo jiných úložištích klíčů najdete v tématu Vytvoření a uložení hlavních klíčů sloupců pro Always Encrypted nebo Správa klíčů pro Always Encrypted se zabezpečenými enklávy.

Návod

Průvodce umožňuje procházet a vytvářet klíče jenom ve Windows Certificate Store a ve službě Azure Key Vault. Také automaticky vygeneruje názvy nových klíčů i objektů metadat databáze popisující klíče. Pokud potřebujete větší kontrolu nad tím, jak se klíče zřizují (a další možnosti úložiště klíčů obsahující hlavní klíč sloupce), můžete pomocí dialogových oken Hlavní klíč nového sloupce a Nového šifrovacího klíče sloupce nejprve vytvořit klíče a pak spustit průvodce a vybrat klíče, které jste vytvořili. Viz Zřízení hlavních klíčů sloupců pomocí dialogového okna Nový hlavní klíč nebo Zřízení klíčů s podporou enklávy a Zřízení šifrovacích klíčů sloupců pomocí dialogového okna Nový šifrovací klíč sloupce.

stránka Nastavení šifrování In-Place

Pokud jste ve své databázi nakonfigurovali zabezpečenou enklávu a používáte klíče s podporou enklávy, můžete na této stránce zadat parametry ověření identity enklávy, které jsou vyžadovány pro místní šifrování. Pokud nechcete používat místní šifrování, zrušte výběr možnosti Použít místní šifrování pro oprávněné sloupce a pokračujte v šifrování na straně klienta. Doporučujeme nechat toto políčko povolené, aby průvodce mohl používat místní šifrování.

Další informace o důvěryhodném ověření enklávy najdete v tématu Konfigurace důvěryhodného ověření pro Always Encrypted pomocí Azure Attestation.

Po šifrování

Vymažte mezipaměť plánu pro všechny dávky a uložené procedury, které přistupují k tabulce, a aktualizujte informace o šifrování parametrů.

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;

Poznámka:

Pokud plán ovlivněného dotazu z mezipaměti neodeberete, může první spuštění dotazu po šifrování selhat.

Pečlivě použijte ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE nebo DBCC FREEPROCCACHE k vymazání mezipaměti plánu, protože to může vést k dočasnému snížení výkonu dotazů. Pokud chcete minimalizovat negativní dopad vymazání mezipaměti, můžete selektivně odebrat plány pouze pro ovlivněné dotazy.

Voláním sp_refresh_parameter_encryption aktualizujte metadata pro parametry každého modulu (uložená procedura, funkce, zobrazení, trigger), které jsou trvalé v sys.parameters a mohly být zneplatněné šifrováním sloupců.

Související obsah

• Dotazování sloupců pomocí funkce Always Encrypted se sadou SQL Server Management Studio
• Spouštění příkazů Transact-SQL pomocí zabezpečených enkláv
• Vývoj aplikací s využitím funkce Always Encrypted
• Kurz: Vývoj aplikace .NET pomocí funkce Always Encrypted se zabezpečenými enklávy
• Always Encrypted
• Always Encrypted s využitím zabezpečených enkláv
• Přehled správy klíčů pro Always Encrypted
• Konfigurace funkce Always Encrypted pomocí aplikace SQL Server Management Studio
• Konfigurace a použití funkce Always Encrypted se zabezpečenými enklávy
• Zřízení klíčů Always Encrypted pomocí PowerShellu
• Zřízení klíčů s podporou enklávy
• Konfigurace šifrování sloupců pomocí funkce Always Encrypted s Využitím PowerShellu
• Konfigurace místního šifrování sloupců pomocí PowerShellu
• Konfigurace šifrování sloupců pomocí funkce Always Encrypted s balíčkem DAC
• Konfigurace místního šifrování sloupců pomocí balíčku DAC
• Konfigurace místního šifrování sloupců pomocí jazyka Transact-SQL