Oszloptitkosítás konfigurálása az Always Encrypted varázslóval

A következőkre vonatkozik:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Az Always Encrypted varázsló egy hatékony eszköz, amellyel beállíthatja a kívánt Always Encrypted konfigurációt a kiválasztott adatbázisoszlopokhoz. Az aktuális konfigurációtól és a kívánt célkonfigurációtól függően a varázsló titkosíthat egy oszlopot, visszafejtheti (eltávolíthatja a titkosítást), vagy újra titkosíthatja (például új oszloptitkosítási kulccsal vagy az oszlophoz konfigurált, az aktuális típustól eltérő titkosítási típussal). A varázsló egyetlen futtatása során több oszlop is konfigurálható.

A varázsló lehetővé teszi az oszlopok titkosítását meglévő oszloptitkosítási kulcsokkal, vagy választhatja új oszloptitkosítási kulcs vagy mind új oszloptitkosítási kulcs, mind pedig új oszlopmesterkulcs létrehozását.

Ha az adatbázis biztonságos enklávéval van konfigurálva, titkosítási műveleteket futtathat helyben anélkül, hogy adatokat helyezne ki az adatbázisból. A varázsló eltávolítja az összes függőséget, amely blokkolja a titkosítandó oszlop sémamódosítását. Az adatbázismotor enklávéjának használatával minden oszlophoz helyszíni titkosítást ad ki. Ha a titkosítás befejeződött, a varázsló újra létrehozza a függőségeket. A biztonságos enklávékkal rendelkező Always Encryptedről további információt az Always Encrypted biztonságos enklávékkal című témakörben talál.

Ha az adatbázis nincs biztonságos enklávéval konfigurálva, a varázsló lehetővé teszi a biztonságos enklávé engedélyezését. Ha úgy dönt, hogy nem engedélyezi a biztonságos enklávét, vagy nem* enklávé-kompatibilis kulcsokat használ, a varázsló úgy működik, hogy adatokat helyez ki az adatbázisból, és titkosítási műveleteket hajt végre az SQL Server Management Studio (SSMS) folyamatán belül. A varázsló létrehoz egy új táblát (vagy táblákat) az adatbázisban a kívánt titkosítási konfigurációval, betölti az eredeti táblák összes adatát, végrehajtja a kért titkosítási műveleteket, feltölti az adatokat az új táblába,majd felcseréli az eredeti táblázato(ka)t az új tábla(ok)ra.

Jótanács

A biztonságos enklávékkal elérhető Always Encrypted helyszíni titkosítás használata, ha elérhető a környezetben, jelentősen csökkentheti a titkosítási műveletek idejét és növelheti azok megbízhatóságát.

Megjegyzés:

A titkosítási műveletek futtatása hosszú időt vehet igénybe. Ez idő alatt az adatbázis nem érhető el tranzakciók írásához. A PowerShell egy ajánlott eszköz a nagyobb táblák titkosítási műveleteihez. Lásd: Oszloptitkosítás konfigurálása Always Encrypted használatával a PowerShell-lel , vagy oszloptitkosítás konfigurálása helyben a PowerShell-lel.

• Az Always Encrypted varázslóval való konfigurálását és ügyfélalkalmazásban való használatát bemutató teljes körű útmutatóért tekintse meg az alábbi Azure SQL Database-oktatóanyagokat:

  • Védjük a bizalmas adatokat az Azure SQL Database-ben az Always Encrypted használatával és az oszlop főkulcsokkal, a Windows tanúsítványtárolóban tárolva
  • Bizalmas adatok védelme az Azure SQL Database-ben az Always Encrypted és a oszlopmester kulcsok használatával az Azure Key Vaultban

• Az Always Encrypted kulcsokkal kapcsolatos információkért tekintse meg az Always Encrypted kulcskezelésének áttekintését.

• Az Always Encrypted által támogatott titkosítási típusokkal kapcsolatos információkért lásd: Determinisztikus vagy randomizált titkosítás kiválasztása.

Engedélyek

A titkosítási műveletek varázslóval való végrehajtásához rendelkeznie kell a VIEW ANY COLUMN MASTER KEY DEFINITION és VIEW ANY COLUMN ENCRYPTION KEY DEFINITION engedélyekkel. Az oszlop főkulcsának létrehozásához, eléréséhez és használatához kulcstároló-engedélyekre is szüksége van. A kulcstároló engedélyekkel kapcsolatos részletes információkért látogasson el az Always Encrypted oszlop-főkulcsainak létrehozására és tárolására , vagy keressen egy, a kulcstárolóhoz kapcsolódó szakaszt.

Az Always Encrypted varázsló megnyitása

A varázsló három különböző szinten indítható el:

• Adatbázis szintjén – ha több különböző táblában található oszlopot szeretne titkosítani.
• Táblaszinten – ha több, ugyanabban a táblában található oszlopot szeretne titkosítani.
• Oszlopszinten – ha egy adott oszlopot szeretne titkosítani.

1. Csatlakozzon az SQL Serverhez az SQL Server Management Studio Object Explorer összetevőjével.

2. Titkosítás:

   1. Több oszlop található egy adatbázis különböző táblájában, kattintson a jobb gombbal az adatbázisra, mutasson a Feladatok pontra, majd válassza az Oszlopok titkosítása lehetőséget.
   2. Több oszlop található ugyanabban a táblában, lépjen a táblára, kattintson rá a jobb gombbal, majd válassza az Oszlopok titkosítása lehetőséget.
   3. Egy egyéni oszlop, keresse meg az oszlopot, kattintson rá a jobb gombbal, majd válassza az Oszlopok titkosítása lehetőséget.

Oszlopkijelölés oldal

Ezen a lapon kiválaszthatja azokat az oszlopokat, amelyeket titkosítani, újratitkosítani vagy visszafejtenni szeretne, és megadhatja a kijelölt oszlopok céltitkosítási konfigurációját.

Egyszerű szöveges (nem titkosított) oszlop titkosításához válasszon egy titkosítási típust (determinisztikus vagy randomizált) és egy titkosítási kulcsot az oszlophoz.

Egy titkosítási típus módosításához vagy egy már titkosított oszlop oszloptitkosítási kulcsának elforgatásához (módosításához) válassza ki a kívánt titkosítási típust és a kulcsot.

Ha azt szeretné, hogy a varázsló egy vagy több oszlopot új oszloptitkosítási kulccsal titkosítsa vagy újratitkosítsa, válasszon egy (Új) tartalmazó kulcsot a nevében. A varázsló létrehozza a kulcsot.

Az aktuálisan titkosított oszlopok visszafejtéséhez válassza az Egyszerű szöveg lehetőséget a titkosítási típushoz.

Megjegyzés:

Ha helyszíni titkosítást szeretne használni, és meglévő kulcsokat használ, győződjön meg arról, hogy enklávé-kompatibilis kulcsokat választ – megjegyzésekkel ( enklávé-kompatibilis).

Megjegyzés:

A varázsló nem támogatja a memóriabeli és időbeli táblák titkosítási műveleteit. Üres ideiglenes vagy memórián belüli táblákat hozhat létre a Transact-SQL használatával, és adatait beszúrhatja az alkalmazás segítségével.

Főkulcs konfigurációs lapja

Ha az előző oldal bármely oszlopához automatikusan létrehozott oszloptitkosítási kulcsot választott, ezen a lapon ki kell választania egy meglévő oszlop-főkulcsot, vagy konfigurálnia kell egy új oszloptitkosítási kulcsot, amely titkosítja az oszloptitkosítási kulcsot.

Új oszlop főkulcsának konfigurálásakor választhat egy meglévő kulcsot a Windows Tanúsítványtárolóban vagy az Azure Key Vaultban, és beállíthatja, hogy a varázsló csak egy metaadat-objektumot hozzon létre az adatbázisban lévő kulcshoz, vagy létrehozhatja a kulcsot és a kulcsot leíró metaadat-objektumot is az adatbázisban.

A helyben történő titkosítás használatához győződjön meg arról, hogy az Új oszlop főkulcsának 'Enklávészámítás engedélyezése' opciót választja. A jelölőnégyzet bejelölése csak akkor engedélyezett, ha az adatbázis biztonságos enklávéval van konfigurálva.

Az oszlop főkulcsainak a Windows Tanúsítványtárolóban, az Azure Key Vaultban vagy más kulcstárolókban való létrehozásáról és tárolásáról további információt az Always Encrypted oszlop-főkulcsainak létrehozása és tárolása , illetve az Always Encrypted kulcsainak biztonságos enklávékkal történő kezelése című témakörben talál.

Jótanács

A varázslóval csak a Windows Tanúsítványtárban és az Azure Key Vaultban tallózhat és hozhat létre kulcsokat. Emellett automatikusan létrehozza az új kulcsok nevét és a kulcsokat leíró adatbázis-metaadat-objektumok nevét is. Ha nagyobb mértékben szeretné szabályozni a kulcsok kiépítését (és az oszlop főkulcsát tartalmazó kulcstároló további lehetőségeit), először az Új oszlop főkulcsa és az Új oszloptitkosítási kulcs párbeszédpanelen hozhatja létre a kulcsokat, majd futtassa a varázslót, és válassza ki a létrehozott kulcsokat. Lásd Oszlop főkulcsainak biztosítása az Új oszlop főkulcs párbeszédpaneljével vagy enklávé-kompatibilis kulcsok biztosítása és oszloptitkosítási kulcsok biztosítása az Új oszloptitkosítási kulcs párbeszédpanellel.

In-Place Titkosítási beállítások lap

Ha biztonságos enklávét konfigurált az adatbázisban, és enklávé-kompatibilis kulcsokat használ, ezen a lapon megadhatja a helyszíni titkosításhoz szükséges enklávé-igazolási paramétereket. Ha nem szeretne helyszíni titkosítást használni, törölje a jelölést a Megfelelő oszlopok helyszíni titkosítása lehetőségről, hogy az ügyféloldali titkosítást alkalmazhassa. Javasoljuk, hogy hagyja engedélyezve ezt a jelölőnégyzetet, hogy a varázsló helyben titkosítást használhasson.

További információ az enklávéigazolásról: Az Always Encrypted igazolásának konfigurálása az Azure-igazolással

Titkosítás utáni

Tisztítsa meg a gyorstárat minden olyan köteg és tárolt eljárás esetében, amely a táblához hozzáfér, így frissülhet a paraméterek titkosítási információja.

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;

Megjegyzés:

Ha nem távolítja el az érintett lekérdezés tervét a gyorsítótárból, a lekérdezés titkosítás utáni első végrehajtása sikertelen lehet.

Körültekintően használja a ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE vagy DBCC FREEPROCCACHE opciót a tervgyorsítótár törléséhez, mivel ez ideiglenes lekérdezési teljesítménycsökkenést eredményezhet. A gyorsítótár törlésének negatív hatásának minimalizálása érdekében szelektíven eltávolíthatja csak az érintett lekérdezések terveit.

Hívja meg sp_refresh_parameter_encryption , hogy frissítse az egyes modulok (tárolt eljárás, függvény, nézet, eseményindító) paramétereinek metaadatait, amelyek a sys.parametersben vannak tárolva, és az oszlopok titkosításával érvénytelenné válhattak.

Kapcsolódó tartalom

• Oszlopok lekérdezése az Always Encrypted használatával az SQL Server Management Studio-ban
• Transact-SQL utasítások futtatása biztonságos enklávék használatával
• Alkalmazások fejlesztése az Always Encrypted használatával
• oktatóanyag: .NET-alkalmazás fejlesztése az Always Encrypted használatával biztonságos enklávékkal
• Mindig titkosítva
• Mindig titkosított, biztonságos enklávékkal
• Az Always Encrypted kulcskezelésének áttekintése
• Always Encrypted konfigurálása az SQL Server Management Studióval
• Az Always Encrypted funkció konfigurálása és használata biztonságos enklávékkal
• Mindig titkosított kulcsok létrehozása PowerShell használatával
• Enklávé-kompatibilis kulcsok ellátása
• Oszloptitkosítás konfigurálása az Always Encrypted és a PowerShell használatával
• Oszloptitkosítás konfigurálása helyszínen a PowerShell-lel
• Oszloptitkosítás konfigurálása az Always Encrypted használatával DAC-csomaggal
• Oszloptitkosítás konfigurálása közvetlenül a DAC csomaggal
• A Transact-SQL használatával történő oszloptitkosítás helybeni konfigurálása