Konfigurieren einer direkten Spaltenverschlüsselung mithilfe von Always Encrypted mit Secure Enclaves
Gilt für:
SQL Server 2019 (15.x) und höher – nur Windows Azure SQL-Datenbank
Always Encrypted with secure enclaves supports cryptographic operations on database columns in-place - inside a secure enclave in the Database Engine. Durch die direkte Verschlüsselung ist es nicht mehr erforderlich, die Daten für solche Vorgänge aus der Datenbank zu verschieben, wodurch die Kryptografievorgänge schneller und zuverlässiger werden.
Hinweis
Trotz der Leistungsvorteile der direkten Verschlüsselung können kryptografische Vorgänge für große Tabellen eine lange Zeit in Anspruch nehmen und beträchtliche Ressourcen beanspruchen. Dadurch wird möglicherweise die Leistung und Verfügbarkeit Ihrer Anwendungen beeinträchtigt.
Durch die direkte Verschlüsselung ist es auch möglich, kryptografische Vorgänge mithilfe der Anweisung ALTER TABLE ALTER COLUMN (Transact-SQL) auszulösen. Dies ist ohne Enclave nicht möglich.
Voraussetzungen
Die unterstützten kryptografischen Vorgänge und die Anforderungen für Spaltenverschlüsselungsschlüssel, die für die Vorgänge verwendet werden, lauten wie folgt:
- Verschlüsseln einer Klartextspalte. Der Spaltenverschlüsselungsschlüssel, der zum Verschlüsseln der Spalte verwendet wird, muss Enclave-fähig sein.
- Erneutes Verschlüsseln einer verschlüsselten Spalte mit einem neuen Verschlüsselungstyp und/oder einem neuen Spaltenverschlüsselungsschlüssel. Sowohl der aktuelle als auch der neue Spaltenverschlüsselungsschlüssel (sofern Letzterer sich vom aktuellen Schlüssel unterscheidet) müssen Enclave-fähig sein.
- Entschlüsseln einer verschlüsselten Spalte: der Spaltenverschlüsselungsschlüssel, der die Spalte schützt, muss Enclave-fähig sein.
Informationen zum Sicherstellen, dass Ihre Spaltenverschlüsselungsschlüssel enklaviert sind, finden Sie unter "Verwalten von Schlüsseln für Always Encrypted with secure enklaves".
Außerdem müssen Sie sicherstellen, dass Ihre Umgebung die allgemeinen Voraussetzungen für die Ausführung von Anweisungen mit sicheren Enklaven erfüllt.
Ein Benutzer oder eine Anwendung, der oder die kryptografische Vorgänge auslöst, muss über Berechtigungen zum Vornehmen von Schemaänderungen für die Tabelle verfügen, die die betroffenen Spalten enthält. Zusätzlich muss der Benutzer oder die Anwendung auch Zugriff auf Spaltenhauptschlüssel haben, die an den Vorgängen beteiligt sind, sowie auf die relevanten Schlüsselmetadaten in der Datenbank.
Sie können die direkte Verschlüsselung mit einer der folgenden Methoden auslösen:
- ALTER TABLE ALTER COLUMN (Transact-SQL) aus SQL Server Management Studio oder Ihrer benutzerdefinierten Anwendung. Weitere Informationen finden Sie unter Direkte Konfiguration der Spaltenverschlüsselung mit Transact-SQL.
- Der Assistent "Immer verschlüsselt"
- Das Cmdlet Set-SqlColumnEncryption . Siehe Konfigurieren der Spaltenverschlüsselung in PowerShell.
- Ein DAC-Paket (Data-Tier Application). Weitere Informationen finden Sie unter Konfigurieren der Spaltenverschlüsselung mit dem DAC-Paket.
Nächste Schritte
- Direkte Konfiguration der Spaltenverschlüsselung mit Transact-SQL
- Erstellen und Verwenden von Indizes in Spalten mithilfe von Always Encrypted mit Secure Enclaves
- Entwickeln von Anwendungen mithilfe von Always Encrypted mit Secure Enclaves
Siehe auch
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für