Konfigurieren einer direkten Spaltenverschlüsselung mithilfe von Always Encrypted mit Secure Enclaves

Gilt für: SQL Server 2019 (15.x) und höher – nur Windows Azure SQL-Datenbank

Always Encrypted mit Secure Enclaves unterstützt direkte kryptografische Vorgänge für Datenbankspalten. Dies geschieht innerhalb einer Secure Enclave in der Datenbank-Engine. Durch die direkte Verschlüsselung ist es nicht mehr erforderlich, die Daten für solche Vorgänge aus der Datenbank zu verschieben, wodurch die Kryptografievorgänge schneller und zuverlässiger werden.

Hinweis

Trotz der Leistungsvorteile der direkten Verschlüsselung können kryptografische Vorgänge für große Tabellen eine lange Zeit in Anspruch nehmen und beträchtliche Ressourcen beanspruchen. Dadurch wird möglicherweise die Leistung und Verfügbarkeit Ihrer Anwendungen beeinträchtigt.

Durch die direkte Verschlüsselung ist es auch möglich, kryptografische Vorgänge mithilfe der Anweisung ALTER TABLE ALTER COLUMN (Transact-SQL) auszulösen. Dies ist ohne Enclave nicht möglich.

Voraussetzungen

Die unterstützten kryptografischen Vorgänge und die Anforderungen für Spaltenverschlüsselungsschlüssel, die für die Vorgänge verwendet werden, lauten wie folgt:

• Verschlüsseln einer Klartextspalte. Der Spaltenverschlüsselungsschlüssel, der zum Verschlüsseln der Spalte verwendet wird, muss Enclave-fähig sein.
• Erneutes Verschlüsseln einer verschlüsselten Spalte mit einem neuen Verschlüsselungstyp und/oder einem neuen Spaltenverschlüsselungsschlüssel. Sowohl der aktuelle als auch der neue Spaltenverschlüsselungsschlüssel (sofern Letzterer sich vom aktuellen Schlüssel unterscheidet) müssen Enclave-fähig sein.
• Entschlüsseln einer verschlüsselten Spalte: der Spaltenverschlüsselungsschlüssel, der die Spalte schützt, muss Enclave-fähig sein.

IInformationen darüber, wie Sie sicherstellen, dass Ihre Spaltenverschlüsselungsschlüssel Enklave-fähig sind, finden Sie unter Verwalten von Schlüsseln für Always Encrypted mit sicheren Enklaven.

Außerdem müssen Sie sicherstellen, dass Ihre Umgebung die Voraussetzungen für das Ausführen von Anweisungen mithilfe von Secure Enclaves erfüllt.

Ein Benutzer oder eine Anwendung, der oder die kryptografische Vorgänge auslöst, muss über Berechtigungen zum Vornehmen von Schemaänderungen für die Tabelle verfügen, die die betroffenen Spalten enthält. Zusätzlich muss der Benutzer oder die Anwendung auch Zugriff auf Spaltenhauptschlüssel haben, die an den Vorgängen beteiligt sind, sowie auf die relevanten Schlüsselmetadaten in der Datenbank.

Sie können die direkte Verschlüsselung mit einer der folgenden Methoden auslösen:

• ALTER TABLE ALTER COLUMN (Transact-SQL) aus SQL Server Management Studio oder Ihrer benutzerdefinierten Anwendung. Weitere Informationen finden Sie unter Direkte Konfiguration der Spaltenverschlüsselung mit Transact-SQL.
• Der Always Encrypted-Assistent
• Das Cmdlet Set-SqlColumnEncryption. Siehe Konfigurieren der Spaltenverschlüsselung mit PowerShell.
• Ein DAC-Paket (Data-Tier Application). Siehe Konfigurieren der Spaltenverschlüsselung mit DAC-Paket.

Nächste Schritte

• Direkte Konfiguration der Spaltenverschlüsselung mit Transact-SQL
• Erstellen und Verwenden von Indizes in Spalten mithilfe von Always Encrypted mit Secure Enclaves
• Entwickeln von Anwendungen mithilfe von Always Encrypted mit Secure Enclaves

Weitere Informationen

• Behandeln von häufig auftretenden Problemen bei Always Encrypted mit Secure Enclaves