Rotation von Enclave-fähigen Schlüsseln

Anwendbar für: SQL Server 2019 (15.x) und höher – ausschließlich Windows Azure SQL-Datenbank

Bei Always Encrypted ist eine Schlüsselrotation ein Vorgang, bei dem ein vorhandener Spaltenhauptschlüssel oder ein Spaltenverschlüsselungsschlüssel durch einen neuen Schlüssel ersetzt wird. In diesem Artikel werden Anwendungsfälle und Überlegungen zur Schlüsselrotation bei Always Encrypted mit Secure Enclaves beschrieben, wenn der ursprüngliche Schlüssel und/oder der Zielschlüssel (neuer Schlüssel) Enclave-fähig ist. Allgemeine Richtlinien und Verfahren zum Verwalten von Always Encrypted-Schlüsseln finden Sie unter Übersicht über die Schlüsselverwaltung für Always Encrypted.

Möglicherweise müssen Sie aus Sicherheits- oder Konformitätsgründen eine Schlüsselrotation durchführen. Dies kann beispielsweise der Fall sein, wenn ein Schlüssel kompromittiert wurde oder die Richtlinien Ihrer Organisation verlangen, dass Sie Schlüssel regelmäßig ersetzen. Zudem bietet die Schlüsselrotation mithilfe von Always Encrypted mit Secure Enclaves eine Möglichkeit, die Funktion der serverseitigen Secure Enclave für die verschlüsselten Spalten zu aktivieren oder zu deaktivieren.

• Wenn Sie einen nicht Enclave-fähigen Schlüssel durch einen Enclave-fähigen Schlüssel ersetzen, entsperren Sie die Funktion der Secure Enclave, um mit dem Schlüssel geschützte Spalten abzufragen. Weitere Informationen finden Sie unter Aktivieren von Always Encrypted mit Secure Enclaves für vorhandene verschlüsselte Spalten.
• Wenn Sie einen Enclave-fähigen Schlüssel durch einen nicht Enclave-fähigen Schlüssel ersetzen, deaktivieren Sie die Funktion der Secure Enclave, um mit dem Schlüssel geschützte Spalten abzufragen.

Wenn Sie eine Schlüsselrotation nur aus Sicherheits- oder Compliancegründen durchführen und keine Enclave-Berechnungen für die Spalten aktivieren oder deaktivieren möchten, stellen Sie sicher, dass der Zielschlüssel in Bezug auf Enclaves dieselbe Konfiguration wie der Quellschlüssel aufweist. Wenn der Quellschlüssel beispielsweise Enclave-fähig ist, muss der Zielschlüssel ebenfalls Enclave-fähig sein.

Die folgenden Schritte enthalten je nach Rotationsszenario Links zu ausführlichen Artikeln:

1. Stellen Sie einen neuen Schlüssel (Spaltenhauptschlüssel oder Spaltenverschlüsselungsschlüssel) bereit.
   • Informationen zum Bereitstellen eines neuen Enclave-fähigen Schlüssel finden Sie unter Bereitstellen Enclave-fähiger Schlüssel.
   • Informationen zum Bereitstellen eines nicht Enclave-fähigen Schlüssels finden Sie unter Bereitstellen von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio und unter Bereitstellen von Always Encrypted-Schlüsseln mithilfe von PowerShell.
2. Ersetzen Sie einen vorhandenen Schlüssel durch den neuen Schlüssel.
   • Wenn Sie eine Rotation mit einem Spaltenverschlüsselungsschlüssel durchführen und sowohl der Quellschlüssel als auch der Zielschlüssel Enclave-fähig ist, können Sie die Rotation (bei der die Daten erneut verschlüsselt werden) direkt ausführen. Weitere Informationen hierzu finden Sie unter Konfigurieren einer direkten Spaltenverschlüsselung mithilfe von Always Encrypted mit Secure Enclaves.
   • Ausführliche Informationen zum Rotieren von Schlüsseln finden Sie unter Rotieren von Always Encrypted-Schlüsseln mithilfe von SQL Server Management Studio und Rotieren von Always Encrypted-Schlüsseln mithilfe von PowerShell.

Nächste Schritte

• Ausführen von Transact-SQL-Anweisungen mit Secure Enclaves
• Konfigurieren einer direkten Spaltenverschlüsselung mithilfe von Always Encrypted mit Secure Enclaves
• Aktivieren von Always Encrypted mit Secure Enclaves für vorhandene verschlüsselte Spalten
• Entwickeln von Anwendungen mithilfe von Always Encrypted mit Secure Enclaves

Weitere Informationen

• Verwalten von Schlüsseln für Always Encrypted mit Secure Enclaves