Kurz: Začínáme používat funkci Always Encrypted s enklávy VBS ve službě Azure SQL Database

Platí pro:Azure SQL Database

V tomto kurzu se naučíte, jak začít používat funkci Always Encrypted se zabezpečenými enklávy ve službě Azure SQL Database pomocí enkláv založených na virtualizaci. Zobrazí se vám:

• Vytvoření prostředí pro testování a vyhodnocení funkce Always Encrypted pomocí enkláv VBS
• Postup šifrování místních dat a vydávání bohatých důvěrných dotazů na šifrované sloupce pomocí aplikace SQL Server Management Studio (SSMS).

Požadavky

• Aktivní předplatné Azure. Pokud žádné nemáte, vytvořte si bezplatný účet. Abyste mohli vytvářet prostředky, musíte být členem role Přispěvatel nebo role Vlastník předplatného.
• Volitelné, ale doporučuje se uložit hlavní klíč sloupce pro Always Encrypted do trezoru klíčů ve službě Azure Key Vault. Informace o tom, jak vytvořit trezor klíčů, najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí webu Azure Portal.
  • Pokud trezor klíčů používá model oprávnění zásad přístupu, ujistěte se, že máte v trezoru klíčů následující oprávnění: get, list, create, unwrap key, wrap key, verify, sign. Viz Přiřazení zásad přístupu ke službě Key Vault.
  • Pokud používáte model oprávnění řízení přístupu na základě role (RBAC) Azure, ujistěte se, že jste členem role kryptografického důstojníka služby Key Vault pro váš trezor klíčů. Viz Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure.

Požadavky na nástroje

Pro účely tohoto kurzu se vyžaduje SQL Server Management Studio (SSMS). K povolení enkláv VBS můžete použít PowerShell nebo Azure CLI.

SSMS

Stáhněte si nejnovější verzi aplikace SQL Server Management Studio (SSMS).

PowerShell

Vyžaduje se modul Az PowerShell verze 9.3.0 nebo novější. Podrobnosti o tom, jak nainstalovat modul Az PowerShell, najdete v tématu Instalace modulu Azure Az PowerShell. Pokud chcete zjistit verzi modulu Az PowerShell, který je nainstalovaný na vašem počítači, spusťte z PowerShellu následující příkaz.

Get-InstalledModule -Name Az

Azure CLI

Ujistěte se, že je na vašem počítači nainstalované Azure CLI 2.44.0 nebo novější. Podrobnosti o tom, jak nainstalovat Azure CLI, najdete v tématu Postup instalace Azure CLI. Pokud chcete najít nainstalovanou verzi a zjistit, jestli potřebujete aktualizovat, spusťte příkaz az version.

az version

Krok 1: Vytvoření a konfigurace serveru a databáze

V tomto kroku vytvoříte nový logický server Azure SQL Database a novou databázi.

Přejděte do rychlého startu: Vytvoření izolované databáze – Azure SQL Database a postupujte podle pokynů v části Vytvoření izolované databáze a vytvořte nový logický server Azure SQL Database a novou databázi.

Důležité

Ujistěte se, že vytvoříte prázdnou databázi s názvem ContosoHR (a ne ukázkovou databází).

Krok 2: Povolení enklávy VBS

V tomto kroku povolíte enklávu VBS v databázi, která se vyžaduje pro funkci Always Encrypted se zabezpečenými enklávami. Pokud chcete povolit enklávy VBS ve vaší databázi, musíte nastavit vlastnost databáze preferredEnclaveTypena VBS.

Portál

1. Otevřete Azure Portal a vyhledejte databázi, pro kterou chcete povolit zabezpečené enklávy.

2. V nastavení zabezpečení vyberte Šifrování dat.

3. V nabídce Šifrování dat vyberte kartu Always Encrypted.

4. Nastavte Povolit zabezpečené enklávy na ZAPNUTO. Pokud je již nastavená na ZAPNUTO , pokračujte dalším krokem.

   

5. Vyberte Uložit a uložte konfiguraci funkce Always Encrypted.

SSMS

1. Otevřete SSMS a připojte logický server, kde chcete upravit databázi.
2. Klikněte pravým tlačítkem na databázi a vyberte Vlastnosti.
3. Na stránce Konfigurovat SLO nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO. Pokud je již nastavena na ON, pokračujte dalším krokem.
4. Vyberte OK a uložte vlastnosti databáze.

PowerShell

1. Otevřete konzolu PowerShellu a naimportujte požadovanou verzi modulu Az PowerShell.

   Import-Module "Az" -MinimumVersion "9.3.0"
   

2. Přihlaste se k Azure. V případě potřeby přepněte na předplatné, které používáte pro účely tohoto kurzu.

   Connect-AzAccount
   $subscriptionId = "<your subscription ID>"
   $context = Set-AzContext -Subscription $subscriptionId
   

3. Povolte enklávu VBS ve vaší databázi.

   $resourceGroupName = "<your resource group name>"
   $serverName = "<your server name>"
   $databaseName = "ContosoHR"
   
   Set-AzSqlDatabase -ResourceGroupName $resourceGroupName -ServerName $serverName -DatabaseName $databaseName -PreferredEnclaveType VBS
   

Azure CLI

1. Otevřete příkazový řádek Windows (CMD) nebo PowerShell a přihlaste se k Azure. V případě potřeby přepněte na předplatné, které používáte pro účely tohoto kurzu.

   az login
   $subscriptionId = "<your subscription ID>"
   az account set --subscription $subscriptionId
   

2. Povolte enklávu VBS ve vaší databázi.

   $resourceGroupName = "<your resource group name>"
   $serverName = "<your server name>"
   $databaseName = "ContosoHR"
   
   az sql db update -g $resourceGroupName `
       -s $serverName `
       -n $databaseName `
       --preferred-enclave-type VBS
   

Krok 3: Naplnění databáze

V tomto kroku vytvoříte tabulku a naplníte ji některými daty, která později zašifrujete a dotazujete.

1. Otevřete SSMS a připojte se k databázi ContosoHR na logickém serveru Azure SQL, který jste vytvořili bez povolené funkce Always Encrypted v připojení k databázi.

   1. V dialogovém okně Připojit k serveru zadejte plně kvalifikovaný název serveru (například myserver135.database.windows.net) a zadejte uživatelské jméno správce a heslo, které jste zadali při vytváření serveru.

   2. Vyberte Možnosti >> a vyberte kartu Vlastnosti připojení. Nezapomeňte vybrat databázi ContosoHR (ne výchozí databázi). master

   3. Vyberte kartu s názvem Always Encrypted.

   4. Ujistěte se, že políčko Povolit funkci Always Encrypted (šifrování sloupce) není zaškrtnuté.

      

   5. Vyberte Připojit.

2. Vytvořte novou tabulku s názvem Employees.

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
       [SSN] [char](11) NOT NULL,
       [FirstName] [nvarchar](50) NOT NULL,
       [LastName] [nvarchar](50) NOT NULL,
       [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   GO
   

3. Přidejte do Employees tabulky několik záznamů o zaměstnancích.

   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('795-73-9838'
           , N'Catherine'
           , N'Abel'
           , $31692);
   
   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('990-00-6818'
           , N'Kim'
           , N'Abercrombie'
           , $55415);
   

Krok 4: Poskytnutí klíčů s podporou enklávy

V tomto kroku vytvoříte hlavní klíč sloupce a šifrovací klíč sloupce, který umožňuje výpočty enklávy.

1. Pomocí instance SSMS z předchozího kroku rozbalte v Průzkumníku objektů svou databázi a přejděte na Zabezpečení>Klíče Always Encrypted.

2. Zřízení nového hlavního sloupcového klíče s podporou enklávy:

   1. Klikněte pravým tlačítkem myši na Always Encrypted Keys a vyberte Nový hlavní klíč sloupce....

   2. Zadejte název nového hlavního klíče sloupce: CMK1.

   3. Ověřte, že Povolit výpočty enklávy je vybráno. (Ve výchozím nastavení je vybraná, pokud je pro databázi povolená zabezpečená enkláva – měla by být povolená, protože vaše databáze používá konfiguraci hardwaru řady DC.)

   4. Vyberte službu Azure Key Vault (doporučeno) nebo Úložiště certifikátů Windows (aktuální uživatel nebo místní počítač).

      • Pokud vyberete Azure Key Vault, přihlaste se k Azure, vyberte předplatné Azure obsahující trezor klíčů, který chcete použít, a vyberte svůj trezor klíčů. Vyberte Vygenerovat klíč a vytvořte nový klíč.
      • Pokud vyberete Úložiště certifikátů systému Windows, vyberte tlačítko Generovat certifikát a vytvořte nový certifikát.

   5. Vyberte OK.

3. Vytvořte nový šifrovací klíč sloupce s podporou enklávy:

   1. Klikněte pravým tlačítkem myši na Vždy zašifrované klíče (Always Encrypted Keys) a vyberte Nový šifrovací klíč sloupce (New Column Encryption Key).
   2. Zadejte název nového šifrovacího klíče sloupce: CEK1.
   3. V rozevíracím seznamu Hlavní klíč sloupce vyberte hlavní klíč sloupce, který jste vytvořili v předchozích krocích.
   4. Vyberte OK.

Krok 5: Zašifrování některých sloupců

V tomto kroku zašifrujete data uložená ve sloupcích SSN a Salary uvnitř enklávy na straně serveru a poté otestujete dotaz SELECT na data.

1. Otevřete novou instanci SSMS a připojte se k vaší databázi, kde je pro připojení povolena funkce Always Encrypted.

   1. Spusťte novou instanci aplikace SSMS.

   2. V dialogovém okně Připojit k serveru zadejte plně kvalifikovaný název serveru (například myserver135.database.windows.net) a zadejte uživatelské jméno správce a heslo, které jste zadali při vytváření serveru.

   3. Vyberte Možnosti >> a vyberte kartu Vlastnosti připojení. Nezapomeňte vybrat databázi ContosoHR (ne výchozí databázi). master

   4. Vyberte kartu s názvem Always Encrypted.

   5. Zaškrtněte políčko Povolit funkci Always Encrypted (šifrování sloupce).

   6. Vyberte Povolit zabezpečené enklávy.

   7. Nastavte Protocol na Žádný.

      

   8. Vyberte Připojit.

   9. Pokud se zobrazí výzva k povolení parametrizace pro dotazy Always Encrypted, vyberte Povolit.

2. Pomocí stejné instance SSMS (s povolenou funkcí Always Encrypted) otevřete nové okno dotazu a zašifrujte SSNSalary sloupce spuštěním následujících příkazů.

   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [Salary] [money]
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
   

   Poznámka:

   Příkaz ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE vymaže mezipaměť plánu dotazu pro databázi ve výše uvedeném skriptu. Po změně tabulky je potřeba vymazat plány pro všechny dávky a uložené procedury, které přistupují k tabulce, aby se aktualizovaly informace o šifrování parametrů.

3. Pokud chcete ověřit, že SSN jsou sloupce Salary teď šifrované, otevřete v instanci SSMS nové okno dotazu bez povolení funkce Always Encrypted pro připojení k databázi a spusťte následující příkaz. Okno dotazu by mělo vracet šifrované hodnoty v polích SSN a Salary sloupcích. Pokud spustíte stejný dotaz pomocí instance SSMS s povolenou funkcí Always Encrypted, měli byste vidět dešifrovaná data.

   SELECT * FROM [HR].[Employees];
   

Krok 6: Spuštění pokročilých dotazů na šifrované sloupce

Pro šifrované sloupce můžete spouštět pokročilé dotazy. Některé zpracování dotazů se provede uvnitř enklávy na straně serveru.

1. V instanci SSMS s povolenou funkcí Always Encrypted se ujistěte, že je povolená také parametrizace funkce Always Encrypted.

   1. V hlavní nabídce aplikace SSMS vyberte Nástroje .
   2. Vyberte Možnosti....
   3. Přejděte na Spuštění dotazů>SQL Server>Pokročilé.
   4. Ujistěte se, že je zaškrtnuté povolení parametrizace pro funkci Always Encrypted .
   5. Vyberte OK.

2. Otevřete nové okno dotazu, vložte následující dotaz a spusťte ho. Dotaz by měl vrátit hodnoty prostého textu a řádky, které splňují zadaná kritéria hledání.

   DECLARE @SSNPattern [char](11) = '%6818';
   DECLARE @MinSalary [money] = $1000;
   SELECT * FROM [HR].[Employees]
   WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
   

3. Opakujte stejný dotaz v instanci SSMS, která nemá povolenou funkci Always Encrypted. Mělo by dojít k selhání.

Výukové materiály

Po dokončení tohoto kurzu můžete přejít na jeden z následujících kurzů:

• Kurz: Vývoj aplikace .NET pomocí funkce Always Encrypted se zabezpečenými enklávy
• Kurz: Vývoj aplikace rozhraní .NET Framework pomocí funkce Always Encrypted se zabezpečenými enklávy
• Kurz: Vytváření a používání indexů ve sloupcích povolených enklávou pomocí randomizovaného šifrování

Související obsah

• Konfigurace a použití funkce Always Encrypted se zabezpečenými enklávy