Tutorial: Mulai menggunakan Always Encrypted dengan enklave Intel SGX di Azure SQL Database

Artikel
03/30/2023

Tutorial ini mengajarkan Anda cara memulai dengan Always Encrypted dengan enclave aman di Azure SQL Database. Anda akan menggunakan enklave Intel Software Guard Extensions (Intel SGX). Ini akan menunjukkan kepada Anda:

Cara membuat lingkungan untuk menguji dan mengevaluasi Always Encrypted dengan enklave Intel SGX.
Cara mengenkripsi data di tempat dan mengeluarkan kueri rahasia yang kaya terhadap kolom terenkripsi menggunakan SQL Server Management Studio (SSMS).

Prasyarat

Langganan Azure aktif. Jika Anda tidak memilikinya, buat akun gratis. Anda harus menjadi anggota peran Kontributor atau peran Pemilik agar langganan dapat membuat sumber daya dan mengonfigurasi kebijakan pengesahan.
Opsional, tetapi disarankan untuk menyimpan kunci master kolom Anda untuk Always Encrypted: brankas kunci di Azure Key Vault. Untuk informasi tentang cara membuat brankas kunci, lihat Mulai Cepat: Membuat brankas kunci menggunakan portal Azure.
- Jika brankas kunci Anda menggunakan model izin kebijakan akses, pastikan Anda memiliki izin kunci berikut di brankas kunci: get, , list, createunwrap key, wrap key, verify, sign. Untuk informasi selengkapnya, lihat Menetapkan kebijakan akses Key Vault.
- Jika Anda menggunakan model izin kontrol akses berbasis peran Azure (RBAC), pastikan Anda adalah anggota peran Petugas Kripto Key Vault untuk brankas kunci Anda. Lihat Menyediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure.
Versi terbaru SQL Server Management Studio (SSMS).

Persyaratan PowerShell

Catatan

Prasyarat yang tercantum di bagian ini hanya berlaku jika Anda memilih untuk menggunakan PowerShell untuk beberapa langkah dalam tutorial ini. Jika Anda berencana untuk menggunakan portal Azure sebagai gantinya, Anda dapat melewati bagian ini.

Modul Az PowerShell versi 9.3.0 atau yang lebih baru diperlukan. Untuk detail tentang cara menginstal modul Az PowerShell, lihat Menginstal modul Azure Az PowerShell. Untuk menentukan versi modul Az PowerShell yang diinstal pada komputer Anda, jalankan perintah berikut dari PowerShell.

Get-InstalledModule -Name Az

Langkah 1: Membuat dan mengonfigurasi server dan database seri DC

Dalam langkah ini, Anda akan membuat server logis Azure SQL Database baru dan database baru menggunakan perangkat keras seri DC, yang diperlukan untuk Always Encrypted dengan enklave aman. Untuk informasi selengkapnya, lihat Seri DC.

Portal
PowerShell

Buka halaman Memilih opsi penyebaran SQL.
Jika Anda belum masuk ke portal Azure, masuk saat diminta.
Di bawah database SQL, biarkan Jenis sumber daya diatur ke Database tunggal dan pilih Buat.
Pada tab Dasar formulir Buat Database SQL, di bawah Detail proyek, pilih Langganan Azure yang diinginkan.
Untuk Grup sumber daya, pilih Buat baru, masukkan nama untuk grup sumber daya, lalu pilih OK.
Untuk Nama database, masukkan ContosoHR.
Untuk Server, pilih Buat baru,dan isi formulir Server baru dengan nilai berikut ini:
- Nama server: Masukkan mysqlserver, dan tambahkan beberapa karakter untuk keunikan. Kami tidak dapat memberikan nama server yang tepat untuk digunakan karena nama server harus unik secara global untuk semua server di Azure, tidak hanya unik dalam langganan. Jadi masukkan sesuatu seperti mysqlserver135, dan portal memberi tahu Anda apakah tersedia atau tidak.
- Lokasi: Pilih lokasi dari daftar turun bawah.
  
  Penting
  
  Anda harus memilih lokasi (wilayah Azure) yang mendukung perangkat keras seri DC dan Microsoft Azure Attestation. Untuk daftar wilayah yang mendukung seri DC, lihat ketersediaan seri DC. Di sini adalah ketersediaan regional Microsoft Azure Attestation.
- Metode autentikasi: Pilih Gunakan Autentikasi SQL
- Masuk admin server: Masukkan nama untuk masuk admin, misalnya: azureuser.
- Kata sandi: Masukkan kata sandi yang memenuhi persyaratan dan masukkan lagi di bidang Konfirmasi kata sandi.
- Pilih OK.
Biarkan Ingin menggunakan kumpulan elastis SQL diatur ke Tidak.
Di bawah Komputasi + penyimpanan, pilih Konfigurasikan database, dan pilih Ubah konfigurasi.
Pilih konfigurais perangkat keras seri DC, lalu pilih OK.
Pilih Terapkan.
Kembali pada tab Dasar, verifikasi Komputasi + penyimpanan diatur ke Tujuan Umum, DC, 2 vCores, penyimpanan 32 GB.
Untuk Redundansi penyimpanan Cadangan, pilih Penyimpanan cadangan redundan lokal.
Pilih Berikutnya: Jaringan di bagian bawah halaman.
Pada tab Jaringan, untuk metode Konektivitas, pilih Titik akhir publik.
Untuk aturan Firewall, atur Tambahkan alamat IP klien saat ini ke Ya. Biarkan Izinkan layanan dan sumber daya Azure untuk mengakses server ini diatur ke Tidak.
Untuk Kebijakan koneksi, biarkan Kebijakan koneksi ke Default - Menggunakan Kebijakan pengalihan untuk semua koneksi klien yang berasal dari dalam Azure dan Proksi untuk semua koneksi klien yang berasal dari luar Azure
Untuk Koneksi terenkripsi, biarkan Versi TLS Minimum ke TLS 1.2.
Pilih Tinjau + buat di bagian bawah halaman.
Pada halaman Tinjau + buat, setelah mengulas, pilih Buat.

Buka konsol PowerShell dan impor versi modul Az PowerShell yang diperlukan.
```
Import-Module "Az" -MinimumVersion "9.3.0"
```

Masuk ke Azure. Jika diperlukan, beralihlah ke langganan yang Anda gunakan untuk tutorial ini.

Connect-AzAccount
$subscriptionId = "<your subscription ID>"
$context = Set-AzContext -Subscription $subscriptionId

Membuat grup sumber daya baru.

Penting

Anda perlu membuat grup sumber daya di wilayah (lokasi) yang mendukung perangkat keras seri DC dan Microsoft Azure Attestation. Untuk daftar wilayah yang mendukung seri DC, lihat ketersediaan seri DC. Di sini adalah ketersediaan regional Microsoft Azure Attestation.
```
$resourceGroupName = "<your new resource group name>"
$location = "<Azure region supporting DC-series and Microsoft Azure Attestation>"
New-AzResourceGroup -Name $resourceGroupName -Location $location
```
Membuat server logis Azure SQL. Ketika diminta, masukkan nama administrator server dan kata sandi. Pastikan Anda mengingat nama admin dan kata sandi - Anda akan membutuhkannya nanti untuk menyambungkan ke server.
```
$serverName = "<your server name>" 
New-AzSqlServer -ServerName $serverName -ResourceGroupName $resourceGroupName -Location $location -SqlAdministratorCredentials (Get-Credential)
```

Buat aturan firewall server yang memungkinkan akses dari rentang IP yang ditentukan.

$startIp = "<start of IP range>"
$endIp = "<end of IP range>"
$serverFirewallRule = New-AzSqlServerFirewallRule -ResourceGroupName $resourceGroupName `
 -ServerName $serverName `
 -FirewallRuleName "AllowedIPs" -StartIpAddress $startIp -EndIpAddress $endIp

Membuat database seri DC.

$databaseName = "ContosoHR"
$edition = "GeneralPurpose"
$vCore = 2
$generation = "DC"
New-AzSqlDatabase -ResourceGroupName $resourceGroupName `
 -ServerName $serverName `
 -DatabaseName $databaseName `
 -Edition $edition `
 -Vcore $vCore `
 -ComputeGeneration $generation

Langkah 2: Mengonfigurasikan penyedia pengesahan

Dalam langkah ini, Anda akan membuat dan mengonfigurasikan penyedia pengesahan di Microsoft Azure Attestation. Ini diperlukan untuk membuktikan enclave aman yang digunakan database Anda.

Portal
PowerShell

Telusuri halaman Buat penyedia pengesahan.
Di halaman Buat penyedia pengesahan, berikan input berikut:
- Langganan: Pilih langganan yang sama dengan tempat Anda membuat server logika Azure SQL.
- Grup Sumber Daya: Pilih grup sumber daya yang sama dengan tempat Anda membuat server logika Azure SQL.
- Nama: Masukkan myattestprovider, dan tambahkan beberapa karakter untuk keunikan. Kami tidak dapat memberikan nama penyedia pengesahan yang tepat untuk digunakan karena nama harus unik secara global. Jadi masukkan sesuatu seperti myattestprovider12345, dan portal memberi tahu Anda apakah tersedia atau tidak.
- Lokasi: Pilih lokasi yang sama dengan server logis Azure SQL Anda.
- File sertifikat penanda tangan kebijakan: Biarkan bidang ini kosong, karena Anda akan mengonfigurasi kebijakan yang tidak ditandatangani.
Setelah Anda memberikan input yang diperlukan, pilih Tinjau + buat.
Pilih Buat.
Setelah penyedia pengesahan dibuat, pilih Buka sumber daya.
Di tab Gambaran Umum untuk penyedia pengesahan, salin nilai properti Attest URI ke clipboard dan simpan dalam file. Ini adalah URL pengesahan, yang anda perlukan di langkah selanjutnya.
Pilih Kebijakan pada menu sumber daya di sisi kiri jendela atau di panel bawah.
Atur Jenis Pengesahan ke SGX-IntelSDK.
Pilih Konfigurasikan pada menu atas.
Atur Format Kebijakan ke Teks. Biarkan Opsi kebijakan diatur ke Masukkan kebijakan.
Di bidang Teks kebijakan, ganti kebijakan default dengan kebijakan di bawah. Untuk informasi tentang kebijakan di bawah ini, lihat Membuat dan mengonfigurasikan penyedia pengesahan.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

Pilih Simpan.
Pilih Refresh pada menu atas untuk melihat kebijakan yang dikonfigurasi.

Salin kebijakan pengesahan di bawah ini dan simpan kebijakan dalam file teks (txt). Untuk informasi tentang kebijakan di bawah ini, lihat Membuat dan mengonfigurasikan penyedia pengesahan.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

Buat penyedia pengesahan.

$attestationProviderName = "<your attestation provider name>" 
New-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName -Location $location

Tetapkan diri Anda ke peran Kontributor Attestation untuk penyedia pengesahan, untuk memastikan Anda memiliki izin untuk mengonfigurasi kebijakan pengesahan.

New-AzRoleAssignment -SignInName $context.Account.Id `
 -RoleDefinitionName "Attestation Contributor" `
 -ResourceName $attestationProviderName `
 -ResourceType "Microsoft.Attestation/attestationProviders" `
 -ResourceGroupName $resourceGroupName

Konfigurasikan kebijakan pengesahan Anda.

$policyFile = "<the pathname of the file from step 1 in this section>"
$teeType = "SgxEnclave"
$policyFormat = "Text"
$policy=Get-Content -path $policyFile -Raw
Set-AzAttestationPolicy -Name $attestationProviderName `
 -ResourceGroupName $resourceGroupName `
 -Tee $teeType `
 -Policy $policy `
 -PolicyFormat  $policyFormat

Ambil URL pengesahan (Attest URI dari penyedia pengesahan Anda).

$attestationUrl = (Get-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName).AttestUri
Write-Host "Your attestation URL is: $attestationUrl"

URL pengesahan harus terlihat seperti ini: https://myattestprovider12345.eus.attest.azure.net

Langkah 3: Mengisi database Anda

Dalam langkah ini, Anda akan membuat tabel dan mengisinya dengan beberapa data yang nantinya akan Anda enkripsi dan kueri.

Buka SSMS dan sambungkan ke database ContosoHR di server logika Azure SQL yang Anda buat tanpa Always Encrypted diaktifkan dalam koneksi database.
1. Dalam dialog Sambungkan ke Server, tentukan nama server Anda yang sepenuhnya memenuhi syarat (misalnya, myserver135.database.windows.net), dan masukkan nama pengguna administrator serta kata sandi yang Anda tentukan saat membuat server.
2. Pilih Opsi >> dan pilih tab Properti Koneksi. Pastikan untuk memilih database ContosoHR (bukan default, master database).
3. Pilih tab Always Encrypted.
4. Pastikan kotak centang Aktifkan Always Encrypted (enkripsi kolom) tidak dipilih.
5. Pilih Sambungkan.

Buat tabel baru, bernama Karyawan.

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
    [SSN] [char](11) NOT NULL,
    [FirstName] [nvarchar](50) NOT NULL,
    [LastName] [nvarchar](50) NOT NULL,
    [Salary] [money] NOT NULL
) ON [PRIMARY];
GO

Menambahkan beberapa catatan karyawan ke tabel Karyawan.

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692);

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415);

Langkah 4: Menyediakan kunci berkemampuan enklave

Dalam langkah ini, Anda akan membuat kunci master kolom dan kunci enkripsi kolom yang memungkinkan komputasi enklave.

Menggunakan instans SSMS dari langkah sebelumnya, di Object Explorer, perluas database Anda dan navigasi ke Keamanan>Kunci Always Encrypted.
Sediakan kunci master kolom baru yang berkemampuan enklave:
1. Klik kanan Kunci Always Encrypted dan pilih Kunci Master Kolom Baru....
2. Masukkan nama untuk kunci master kolom baru: CMK1.
3. Verifikasi Perbolehkan komputasi enklave dipilih. (Ini dipilih secara default jika enklave aman diaktifkan untuk database. Ini harus diaktifkan karena database Anda menggunakan konfigurasi perangkat keras seri DC.)
4. Pilih Azure Key Vault (disarankan) atau Penyimpanan Sertifikat Windows (Pengguna Saat Ini atau Komputer Lokal).
  - Jika Anda memilih Azure Key Vault, masuk ke Azure, pilih langganan Azure yang berisi brankas kunci yang ingin Anda gunakan, dan pilih brankas kunci Anda. Pilih Buat Kunci untuk membuat kunci baru.
  - Jika Anda memilih Penyimpanan Sertifikat Windows, pilih tombol Buat Sertifikat untuk membuat sertifikat baru.
5. Pilih OK.
Buat kunci enkripsi kolom berkemampuan enklave baru:
1. Klik kanan Kunci Always Encrypted dan pilih Kunci Enkripsi Kolom Baru.
2. Masukkan nama untuk kunci enkripsi kolom baru: CEK1.
3. Di menu turun-bawah Kunci master kolom, pilih kunci master kolom yang Anda buat di langkah sebelumnya.
4. Pilih OK.

Langkah 5: Mengenkripsi beberapa kolom di tempat

Dalam langkah ini, Anda akan mengenkripsi data yang disimpan di kolom SSN dan Gaji di dalam enklave sisi server, lalu menguji kueri SELECT pada data.

Buka SSMS instans baru dan sambungkan ke database Anda dengan Always Encrypted diaktifkan untuk koneksi database.
1. Mulai SSMS instans baru.
2. Dalam dialog Sambungkan ke Server, tentukan nama server Anda yang sepenuhnya memenuhi syarat (misalnya, myserver135.database.windows.net), dan masukkan nama pengguna administrator serta kata sandi yang Anda tentukan saat membuat server.
3. Pilih Opsi >> dan pilih tab Properti Koneksi. Pastikan untuk memilih database ContosoHR (bukan default, master database).
4. Pilih tab Always Encrypted.
5. Pilih kotak centang Aktifkan Always Encrypted (enkripsi kolom).
6. Pilih Aktifkan enklave aman. (Langkah ini berlaku untuk SSMS 19 atau yang lebih baru.)
7. Atur Protokol ke Microsoft Azure Attestation. (Langkah ini berlaku untuk SSMS 19 atau yang lebih baru.)
8. Tentukan URL pengesahan enklave yang telah Anda peroleh dengan mengikuti langkah di Langkah 2: Mengonfigurasikan penyedia pengesahan. Lihat tangkapan layar di bawah ini.
9. Pilih Sambungkan.
10. Jika Anda diminta untuk mengaktifkan Parameterisasi untuk kueri Always Encrypted, pilih Aktifkan.

Menggunakan instans SSMS yang sama (dengan Always Encrypted diaktifkan), buka jendela kueri baru dan enkripsi kolom SSN dan Gaji dengan menjalankan pernyataan di bawah ini.

ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;

Catatan

Perhatikan pernyataan ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE untuk menghapus cache rencana kueri untuk database dalam skrip di atas. Setelah Anda mengubah tabel, Anda perlu menghapus rencana untuk semua batch dan prosedur tersimpan yang mengakses tabel untuk menyegarkan informasi enkripsi parameter.

Untuk memverifikasi kolom SSN dan Gaji yang saat ini dienkripsi, buka jendela kueri baru di instans SSMS tanpa Always Encrypted diaktifkan untuk koneksi database dan jalankan pernyataan di bawah ini. Jendela kueri harus mengembalikan nilai terenkripsi di kolom SSN dan Gaji. Jika Anda menjalankan kueri yang sama menggunakan instans SSMS dengan Always Encrypted diaktifkan, Anda akan melihat data didekripsi.
```
SELECT * FROM [HR].[Employees];
```

Langkah 6: Jalankan kueri yang kaya terhadap kolom terenkripsi

Anda dapat menjalankan kueri yang kaya terhadap kolom terenkripsi. Beberapa pemrosesan kueri akan dilakukan di dalam enklave sisi server Anda.

Dalam instans SSMS dengan Always Encrypted diaktifkan, pastikan Parameterisasi untuk Always Encrypted juga diaktifkan.
1. Pilih Alat dari menu utama SSMS.
2. Pilih Opsi....
3. Navigasi ke Kueri Eksekusi>SQL Server>Tingkat Lanjut.
4. Pastikan bahwa Aktifkan Parameterisasi untuk Always Encrypted dicentang.
5. Pilih OK.
Buka jendela kueri baru, tempelkan di kueri di bawah ini, dan jalankan. Kueri harus mengembalikan nilai teksbersih dan baris yang memenuhi kriteria pencarian yang ditentukan.
```
DECLARE @SSNPattern [char](11) = '%6818';
DECLARE @MinSalary [money] = $1000;
SELECT * FROM [HR].[Employees]
WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
```
Coba lagi kueri yang sama dalam instans SSMS yang tidak memiliki Always Encrypted diaktifkan. Kegagalan bisa terjadi.

Langkah berikutnya

Setelah menyelesaikan tutorial ini, Anda dapat membuka salah satu tutorial berikut:

Lihat juga

Mengonfigurasi dan menggunakan Always Encrypted dengan enklave aman

Bagikan melalui