Kurz: Začínáme s funkcí Always Encrypted

platí pro: SQL Server Azure SQL DatabaseAzure SQL Managed Instance

V tomto kurzu se naučíte, jak začít používat funkci Always Encrypted. Zobrazí se vám:

• Postup šifrování vybraných sloupců v databázi
• Jak dotazovat šifrované sloupce

Poznámka:

Pokud hledáte informace o funkci Always Encrypted se zabezpečenými enklávy, projděte si místo toho následující kurzy:

• Začínáme používat funkci Always Encrypted se zabezpečenými enklávy
• Kurz: Začínáme používat funkci Always Encrypted se zabezpečenými enklávy na SQL Serveru

Požadavky

Pro účely tohoto kurzu potřebujete:

• Prázdná databáze ve službě Azure SQL Database, Azure SQL Managed Instance nebo SQL Serveru. Následující pokyny předpokládají, že název databáze je ContosoHR. Musíte být vlastníkem databáze (členem role db_owner ). Informace o tom, jak vytvořit databázi, najdete v tématu Rychlý start: Vytvoření izolované databáze – Azure SQL Database nebo Vytvoření databáze na SQL Serveru.
• Volitelné, ale doporučené, zejména pokud je vaše databáze v Azure: trezor klíčů ve službě Azure Key Vault. Informace o tom, jak vytvořit trezor klíčů, najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí webu Azure Portal.
  • Pokud váš trezor klíčů používá model oprávnění zásad přístupu, ujistěte se, že máte v trezoru klíčů následující oprávnění: get, list, create, unwrap key, wrap key, verify, sign. Viz Přiřazení zásad přístupu ke službě Key Vault.
  • Pokud používáte model oprávnění řízení přístupu na základě role (RBAC) Azure, ujistěte se, že jste členem role kryptografického důstojníka služby Key Vault pro váš trezor klíčů. Viz Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure.
• Nejnovější verze aplikace SQL Server Management Studio (SSMS) nebo nejnovější verze modulů SqlServer a Az PowerShell. Modul Az PowerShell se vyžaduje jenom v případě, že používáte Azure Key Vault.

Krok 1: Vytvoření a naplnění schématu databáze

V tomto kroku vytvoříte schéma personálního oddělení a tabulku Zaměstnanci . Pak naplníte tabulku některými daty.

SSMS

1. Připojte se k databázi. Pokyny k připojení k databázi z aplikace SSMS najdete v tématu Rychlý start: Připojení a dotazování služby Azure SQL Database nebo azure SQL Managed Instance pomocí aplikace SQL Server Management Studio (SSMS) nebo rychlý start: Připojení a dotazování instance SQL Serveru pomocí aplikace SQL Server Management Studio (SSMS).

2. Otevřete nové okno dotazu pro databázi ContosoHR .

3. Vložte následující příkazy a spusťte následující příkazy a vytvořte novou tabulku s názvem Zaměstnanci.

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL
       , [SSN] [char](11) NOT NULL
       , [FirstName] [nvarchar](50) NOT NULL
       , [LastName] [nvarchar](50) NOT NULL
       , [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   

4. Vložte a spusťte následující příkazy a přidejte do tabulky Employees několik záznamů o zaměstnancích.

   INSERT INTO [HR].[Employees]
   (
       [SSN]
       , [FirstName]
       , [LastName]
       , [Salary]
   )
   VALUES
   (
       '795-73-9838'
       , N'Catherine'
       , N'Abel'
       , $31692
   );
   
   INSERT INTO [HR].[Employees]
   (
       [SSN]
       , [FirstName]
       , [LastName]
       , [Salary]
   )
   VALUES
   (
       '990-00-6818'
       , N'Kim'
       , N'Abercrombie'
       , $55415
   );
   

PowerShell

V session PowerShellu spusťte následující příkazy. Ujistěte se, že připojovací řetězec aktualizujete adresou vašeho serveru a nastavení ověřování, která jsou platná pro vaši databázi.

Import-Module "SqlServer"

# Set your database connection string
$connectionString = "Server = myServerAddress; Database = ContosoHR; ..."

# Create a new table, named Employees.
$query = @'
    CREATE SCHEMA [HR];
    GO
    
    CREATE TABLE [HR].[Employees]
    (
        [EmployeeID] [int] IDENTITY(1,1) NOT NULL
        , [SSN] [char](11) NOT NULL
        , [FirstName] [nvarchar](50) NOT NULL
        , [LastName] [nvarchar](50) NOT NULL
        , [Salary] [money] NOT NULL
    ) ON [PRIMARY];
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

# Add a few rows to the Employees table.
$query = @'
    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692
    );

    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415
    );
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

Krok 2: Šifrování sloupců

V tomto kroku vytvoříte hlavní klíč sloupce a šifrovací klíč sloupce pro funkci Always Encrypted. Potom zašifrujete sloupce SSN a Plat v tabulce Zaměstnanci .

SSMS

SSMS poskytuje průvodce, který vám pomůže snadno nakonfigurovat funkci Always Encrypted nastavením hlavního klíče sloupce, šifrovacího klíče sloupce a šifrováním vybraných sloupců.

1. V Průzkumníku objektů rozbalte databáze>ContosoHR>Tables.

2. Klikněte pravým tlačítkem myši na tabulku Employees (Zaměstnanci) a vyberte Encrypt Columns (Šifrovat sloupce), čímž otevřete průvodce Always Encrypted.

   

3. Na úvodní stránce průvodce vyberte Další.

4. Na stránce Výběr sloupce .

   1. Vyberte sloupce SSN a Plat . Zvolte deterministické šifrování pro sloupec SSN a náhodné šifrování sloupce Plat . Deterministické šifrování podporuje dotazy, jako jsou vyhledávání bodů, které zahrnují porovnání rovnosti u šifrovaných sloupců. Náhodné šifrování nepodporuje žádné výpočty u šifrovaných sloupců.
   2. U obou sloupců ponechte CEK-Auto1 (Nový) jako šifrovací klíč sloupce. Tento klíč ještě neexistuje a průvodce ho vygeneruje.
   3. Vyberte Další.

   

5. Na stránce Konfigurace hlavního klíče nakonfigurujte nový hlavní klíč sloupce, který průvodce vygeneruje. Nejprve musíte vybrat, kam chcete uložit hlavní klíč sloupce. Průvodce podporuje dva typy úložiště klíčů:

   • Azure Key Vault – doporučuje se, pokud je vaše databáze v Azure.
   • Úložiště certifikátů Systému Windows

   Azure Key Vault je obecně doporučenou možností, zejména pokud je vaše databáze v Azure.

   • Použití služby Azure Key Vault:

     1. Vyberte Azure Key Vault.
     2. Vyberte Přihlásit se a dokončete přihlášení k Azure.
     3. Po přihlášení se na stránce zobrazí seznam předplatných a trezorů klíčů, ke kterým máte přístup. Vyberte předplatné Azure obsahující trezor klíčů, které chcete použít.
     4. Vyberte své klíčové úložiště.
     5. Vyberte Další.

     

   • Použití úložiště certifikátů systému Windows:

     1. Vyberte úložiště certifikátů Systému Windows.

     2. Ponechte výchozí výběr Aktuální uživatel – tím dáte průvodci pokyn, aby vygeneroval certifikát (váš nový hlavní klíč sloupce) v úložišti Aktuální uživatel.

        

     3. Vyberte Další.

6. Na stránce Nastavení šifrování In-Place není nutná žádná další konfigurace, protože databáze nemá povolenou enklávu. Vyberte Další.

7. Na stránce Nastavení spuštění se zobrazí dotaz, jestli chcete pokračovat v šifrování nebo vygenerovat skript PowerShellu, který se má spustit později. Ponechte výchozí nastavení a vyberte Další.

8. Na stránce Souhrn vás průvodce informuje o akcích, které provede. Zkontrolujte správnost všech informací a vyberte Dokončit.

9. Na stránce Výsledky můžete sledovat průběh operací průvodce. Počkejte, až se všechny operace úspěšně dokončí, a vyberte Zavřít.

   

10. (Volitelné) Prozkoumejte změny, které průvodce provedl ve vaší databázi.

    1. Rozbalte sekci Zabezpečení ContosoHR>>klíče Always Encrypted, abyste prozkoumali objekty metadat pro hlavní klíč sloupce a šifrování sloupce, které vytvořil průvodce.

    2. Můžete také spustit následující dotazy na zobrazení katalogu systému, která obsahují klíčová metadata.

       SELECT * FROM sys.column_master_keys;
       SELECT * FROM sys.column_encryption_keys
       SELECT * FROM sys.column_encryption_key_values
       

    3. V Průzkumníku objektů klikněte pravým tlačítkem na tabulku Employees (Zaměstnanci) a vyberte Script Table as>CREATE To>). Otevře se nové okno dotazu s příkazem CREATE TABLE pro tabulku Employees . Všimněte si klauzule ENCRYPTED WITH , která se zobrazí v definicích sloupců SSN a Plat .

    4. Můžete také spustit následující dotaz na sys.columns a načíst metadata šifrování na úrovni sloupce pro dva šifrované sloupce.

       SELECT
       [name]
       , [encryption_type]
       , [encryption_type_desc]
       , [encryption_algorithm_name]
       , [column_encryption_key_id]
       FROM sys.columns
       WHERE [encryption_type] IS NOT NULL;
       

PowerShell

1. Vytvořte klíč hlavního sloupce ve vašem úložišti klíčů.

   • Pokud používáte Azure Key Vault, spusťte následující příkazy a vytvořte v trezoru klíčů asymetrický klíč. Ujistěte se, že zadáte správné ID vašeho předplatného, název skupiny prostředků obsahující váš trezor klíčů a název trezoru klíčů.

     Import-Module "Az"
     Connect-AzAccount
     $subscriptionId = "<your Azure subscription ID"
     $resourceGroup = "your resource group name containing your key vault"
     $keyVaultName = "your vault name"
     $keyVaultKeyName = "your key name"
     
     # Switch to your subscription.
     Set-AzConteXt -SubscriptionId $subscriptionId
     
     # To validate the above key vault settings, get the key vault properties.
     Get-AzKeyVault -VaultName $keyVaultName -ResourceGroupName $resourceGroup 
     
     # Create a key in the key vault.
     $keyVaultKey = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyVaultKeyName -Destination "Software"
     $keyVaultKey
     

   • Pokud používáte úložiště certifikátů Windows, spusťte následující příkazy a vytvořte v úložišti aktuálních uživatelů certifikát.

     $cert = New-SelfSignedCertificate -Subject "HRCMK" -CertStoreLocation Cert:CurrentUser\My -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage DataEncipherment -KeySpec KeyExchange
     

2. Připojte se k databázi pomocí modulu SqlServer PowerShell. Ujistěte se, že pro databázi zadáte platný připojovací řetězec.

   $database = Get-SqlDatabase -ConnectionString $connectionString
   $database
   

3. Zřiďte objekt metadat hlavního klíče sloupce (který odkazuje na hlavní klíč fyzického sloupce, který jste vytvořili v úložišti klíčů) v databázi.

   • Pokud používáte Azure Key Vault, spusťte následující příkazy.

     # Sign in to Azure for the SqlServer PowerShell module
     Add-SqlAzureAuthenticationContext -Interactive
     
     # Create a SqlColumnMasterKeySettings in-memory object referencing the key you've created in your key vault. 
     $cmkSettings = New-SqlAzureKeyVaultColumnMasterKeySettings -KeyURL $keyVaultKey.Key.Kid
     
     # Create column master key metadata object (referencing your certificate), named CMK1, in the database.
     $cmkName = "CMK1"
     New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings
     

   • Pokud používáte úložiště certifikátů Windows, spusťte následující příkazy.

     # Create a SqlColumnMasterKeySettings in-memory object referencing your certificate.
     $cmkSettings = New-SqlCertificateStoreColumnMasterKeySettings -CertificateStoreLocation "CurrentUser" -Thumbprint $cert.Thumbprint
     
     # Create column master key metadata object, named CMK1, in the database.
     $cmkName = "CMK1"
     New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings
     

4. Vygenerujte šifrovací klíč sloupce, zašifrujte ho pomocí hlavního klíče sloupce, který jste vytvořili, a vytvořte v databázi objekt metadat šifrovacího klíče sloupce.

   $cekName = "CEK1"
   New-SqlColumnEncryptionKey -Name $cekName -InputObject $database -ColumnMasterKey $cmkName
   

5. Zašifrujte sloupce SSN a Plat v tabulce Zaměstnanci . Zvolte deterministické šifrování pro sloupec SSN a náhodné šifrování sloupce Plat . Deterministické šifrování podporuje dotazy, jako jsou vyhledávání bodů, které zahrnují porovnání rovnosti u šifrovaných sloupců. Náhodné šifrování nepodporuje žádné výpočty u šifrovaných sloupců.

   # Encrypt the SSN and Salary columns 
   $ces = @()
   $ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.SSN" -EncryptionType "Deterministic" -EncryptionKey $cekName
   $ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey $cekName
   Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory .
   
   

6. (Volitelné) Prozkoumejte změny, které jste provedli v databázi.

   • Spuštěním následujících příkazů se můžete dotazovat na zobrazení katalogu systému, která obsahují metadata o hlavním klíči sloupce a šifrovacím klíči sloupce, který jste vytvořili.

     $query = @'
     SELECT * FROM sys.column_master_keys;
     SELECT * FROM sys.column_encryption_keys
     SELECT * FROM sys.column_encryption_key_values
     '@
     
     Invoke-SqlCmd -ConnectionString $connectionString -Query $query
     

   • Spuštěním následujících příkazů zadejte dotaz na sys.columns a načtěte metadata šifrování na úrovni sloupců pro dva šifrované sloupce.

     $query = @'
     SELECT
     [name]
     , [encryption_type]
     , [encryption_type_desc]
     , [encryption_algorithm_name]
     , [column_encryption_key_id]
     FROM sys.columns
     WHERE [encryption_type] IS NOT NULL;
     '@
     
     Invoke-SqlCmd -ConnectionString $connectionString -Query $query
     

Krok 3: Dotazování šifrovaných sloupců

SSMS

1. Připojte se k databázi se zakázaným funkcí Always Encrypted pro vaše připojení.

   1. Otevřete nové okno dotazu.
   2. Klikněte pravým tlačítkem na libovolné místo v okně dotazu a vyberte Připojení>změnit připojení. Tím se otevře dialogové okno Připojit k databázovému stroji .
   3. Vyberte Možnosti <<. Zobrazí se další karty v dialogovém okně Připojit k databázovému stroji .
   4. Vyberte kartu s názvem Always Encrypted.
   5. Ujistěte se, že není zaškrtnuté políčko Povolit funkci Always Encrypted (šifrování sloupců ).
   6. Vyberte Připojit.

   

2. Vložte a spusťte následující dotaz. Dotaz by měl vrátit binární šifrovaná data.

   SELECT [SSN], [Salary] FROM [HR].[Employees]
   

   

3. Připojte se k databázi s povolenou funkcí Always Encrypted pro vaše připojení.

   1. Klikněte pravým tlačítkem na libovolné místo v okně dotazu a vyberte Připojení>změnit připojení. Tím se otevře dialogové okno Připojit k databázovému stroji .
   2. Vyberte Možnosti <<. Zobrazí se další karty v dialogovém okně Připojit k databázovému stroji .
   3. Vyberte kartu s názvem Always Encrypted.
   4. Vyberte Povolit funkci Always Encrypted (šifrování sloupců).
   5. Vyberte Připojit.

   

4. Znovu spusťte stejný dotaz. Vzhledem k tomu, že jste připojení ke službě Always Encrypted pro připojení k databázi, pokusí se ovladač klienta v SSMS dešifrovat data uložená v obou šifrovaných sloupcích. Pokud používáte Azure Key Vault, může se zobrazit výzva k přihlášení k Azure.

   

5. Povolte parametrizaci pro funkci Always Encrypted. Tato funkce umožňuje spouštět dotazy, které filtrují data šifrovanými sloupci (nebo vkládají data do šifrovaných sloupců).

   1. V hlavní nabídce aplikace SSMS vyberte Dotaz .
   2. Vyberte Možnosti dotazu....
   3. Přejděte doProvádění>Upřesnit.
   4. Ujistěte se, že je zaškrtnuté povolení parametrizace pro funkci Always Encrypted .
   5. Vyberte OK.

   

6. Vložte a spusťte následující dotaz, který filtruje data podle šifrovaného sloupce SSN . Dotaz by měl vrátit jeden řádek obsahující hodnoty prostého textu.

   DECLARE @SSN [char](11) = '795-73-9838'
   SELECT [SSN], [Salary] FROM [HR].[Employees]
   WHERE [SSN] = @SSN
   

7. Pokud používáte Službu Azure Key Vault nakonfigurovanou s modelem oprávnění zásad přístupu, postupujte podle následujících kroků a zjistěte, co se stane, když se uživatel pokusí načíst data prostého textu ze šifrovaných sloupců, aniž byste měli přístup k hlavnímu klíči sloupce, který chrání data.

   1. Odeberte klíčové oprávnění unwrap sami sobě v přístupových zásadách vašeho trezoru klíčů. Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.
   2. Vzhledem k tomu, že ovladač klienta v SSMS ukládá šifrovací klíče sloupců získané z trezoru klíčů po dobu 2 hodin, zavřete SSMS a znovu ho otevřete. Tím zajistíte, že je mezipaměť klíčů prázdná.
   3. Připojte se k databázi s povolenou funkcí Always Encrypted pro vaše připojení.
   4. Vložte a spusťte následující dotaz. Dotaz by měl selhat s chybovou zprávou, že chybí požadovaná unwrap oprávnění.

   SELECT [SSN], [Salary] FROM [HR].[Employees]
   

PowerShell

1. Připojte se k databázi se zakázaným funkcí Always Encrypted a spusťte dotaz pro čtení dat ze šifrovaných sloupců. Dotaz by měl vrátit šifrovaná data jako binární pole.

   $query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
   Invoke-SqlCmd -ConnectionString $connectionString -Query $query
   

2. Připojte se k databázi s povolenou funkcí Always Encrypted a spusťte dotaz pro čtení dat ze šifrovaných sloupců. Vzhledem k tomu, že máte přístup k hlavnímu klíči sloupce chránící šifrované sloupce, měl by dotaz vrátit data ve formátu prostého textu.

   $query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
   Invoke-SqlCmd -ConnectionString "$connectionString; Column Encryption Setting = Enabled" -Query $query
   

Poznámka:

Invoke-SqlCmd nepodporuje dotazy, které můžou filtrovat nebo vkládat data do šifrovaných sloupců. Tyto dotazy je potřeba parametrizovat a Invoke-SqlCmd nepodporuje parametrizované dotazy.

Další kroky

• Vývoj aplikací pomocí funkce Always Encrypted

Viz také

• Dokumentace ke službě Always Encrypted
• Dokumentace ke službě Always Encrypted se zabezpečenými enklávy
• Zřízení klíčů Always Encrypted pomocí aplikace SQL Server Management Studio
• Konfigurace funkce Always Encrypted pomocí PowerShellu
• Průvodce Always Encrypted
• Dotazování na sloupce pomocí Always Encrypted v SQL Server Management Studio