Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
SQL Server 2019 (15.x) a novější verze ve službě Windows Azure SQL Database
Tento článek popisuje, jak odemknout funkcionalitu Always Encrypted pomocí zabezpečených enkláv a povolit výpočty v enklávě pro existující šifrované sloupce.
Pokud máte existující sloupce šifrované pomocí klíčů, které nejsou aktivované enklávou, můžete sloupce zašifrovat pomocí klíčů aktivovaných enklávou. To vám umožní používat zabezpečené enklávy v dotazech ve sloupcích.
Výpočty enklávy můžete povolit pro existující šifrované sloupce několika různými způsoby v závislosti na:
- Rozsah/členitost: Chcete povolit funkci enklávy pro podmnožinu sloupců nebo pro všechny sloupce chráněné daným hlavním klíčem sloupce?
- Velikost dat: Jaká je velikost tabulek obsahujících sloupce, které chcete povolit?
- Chcete také změnit typ šifrování pro sloupce? Mějte na paměti, že pouze randomizované šifrování podporuje bohaté výpočty (porovnávání vzorů, relační operátory). Pokud je váš sloupec šifrovaný pomocí deterministického šifrování, budete ho muset znovu zašifrovat pomocí randomizovaného šifrování, abyste mohli odemknout bohaté výpočty.
Následující části popisují tři přístupy pro aktivaci enkláv pro existující sloupce.
Metoda 1: Otočení hlavního klíče sloupce k nahrazení hlavním klíčem sloupce s podporou enklávy
Nahrazení existujícího hlavního klíče sloupce (který není povolený pro použití v enklávě) novým hlavním klíčem sloupce, který je povolený pro použití v enklávě, efektivně způsobí, že všechny šifrovací klíče sloupců (přidružené k hlavnímu klíči sloupce) budou také povoleny pro použití v enklávě.
Výhody
- Nezahrnuje opětovné šifrování dat, takže je to obvykle nejrychlejší přístup. Je doporučeno použít pro sloupce obsahující velké objemy dat, které již umožňují komplexní výpočty a používají deterministické šifrování.
- Umožňuje povolit funkci enklávy pro více sloupců ve velkém měřítku. Nahrazení původního hlavního klíče sloupce hlavním klíčem sloupce aktivovaným enklávou způsobí, že všechny šifrovací klíče sloupců a šifrované sloupce spojené s původním hlavním klíčem sloupce jsou aktivovány enklávou.
Nevýhody:
- Nepodporuje změnu typu šifrování z deterministické na randomizovanou. I když odemkne místní šifrování pro sloupce šifrované pomocí deterministického šifrování, neumožňuje bohaté výpočty. Sloupce budete muset znovu zašifrovat pomocí randomizovaného šifrování.
- Neumožňuje selektivně převést některé sloupce přidružené k danému hlavnímu klíči sloupce.
- Zavádí režijní náklady na správu kryptografických klíčů. Budete muset vytvořit nový hlavní klíč sloupce a zpřístupnit ho aplikacím, které dotazují ovlivněné sloupce.
Informace o otočení hlavního klíče sloupce naleznete v tématu Otočení klíčů umožněných enklávou.
Metoda 2: Otočení hlavního klíče sloupce a opětovné šifrování sloupců pomocí náhodného šifrování na místě
Tato metoda zahrnuje provedení metody 1 jako první krok a následné opětovné šifrování sloupců. Sloupce začínají deterministickým šifrováním a poté jsou znovu zašifrovány randomizovaným šifrováním pro odemykání komplexních dotazů.
Výhody:
- Opětovně šifruje data na místě. Je to doporučená metoda, pokud potřebujete povolit bohaté dotazy pro šifrované sloupce, které aktuálně používají deterministické šifrování a obsahují velké objemy dat. Krok 1 (otočení hlavního klíče sloupce) odemkne místní šifrování sloupců pomocí deterministického šifrování a krok 2 (znovu zašifrování sloupců) je možné provést na místě.
- Umožňuje povolit funkci enklávy pro více sloupců ve velkém měřítku.
Nevýhody:
- Neumožňuje selektivně převést některé sloupce spojené s daným hlavním klíčem pro sloupce.
- Představuje režijní náklady na správu klíčů. Budete muset vytvořit nový hlavní klíč sloupce a zpřístupnit ho aplikacím, které dotazují ovlivněné sloupce.
Informace o obměně hlavního klíče sloupce a opětovném zašifrování sloupce za účelem otočení šifrovacího klíče sloupce najdete v tématu Otočení klíčů s podporou enklávy.
Metoda 3: Opětovné šifrování vybraného sloupce pomocí šifrovacího klíče sloupce podporujícího enklávu na klientské straně
Tato metoda zahrnuje opětovné šifrování sloupce pomocí šifrovacího klíče sloupce povoleného pro enklávy a umožňuje složitější dotazy s randomizovaným šifrováním. Vzhledem k tomu, že aktuální šifrovací klíč sloupce není povolený pro enklávu, nemůžete sloupec znovu zašifrovat. Pomocí průvodce Always Encrypted nebo rutiny Set-SqlColumnEncryption znovu zašifrujte sloupec databáze.
Výhody:
- Umožňuje selektivně povolit funkčnost enklávy (šifrování na místě a bohaté dotazy, pokud znovu šifrujete sloupec pomocí randomizovaného šifrování) pro jeden sloupec nebo malou podmnožinu sloupců.
- Umožňuje bohaté výpočty pro sloupce v jednom kroku.
Nevýhody:
- Pokud chcete data znovu zašifrovat, nástroj data přesune z databáze, což může trvat dlouhou dobu a je náchylné k chybám v síti.
- Zavádí režijní náklady na správu klíčů. Budete muset vytvořit nový hlavní klíč sloupce a zpřístupnit ho aplikacím, které dotazují ovlivněné sloupce.
Další informace o obměně šifrování sloupců pomocí nástroje na straně klienta najdete v tématu Otočení klíčů Always Encrypted pomocí aplikace SQL Server Management Studio a otočení klíčů Always Encrypted pomocí PowerShellu.