Always Encrypted dengan enklave aman

Berlaku untuk: SQL Server 2019 (15.x) dan yang lebih baru - Hanya Windows Azure SQL Database

Always Encrypted dengan enklave aman memperluas kemampuan komputasi rahasia dari Always Encrypted dengan memungkinkan enkripsi di tempat dan kueri rahasia yang lebih mendalam. "Always Encrypted" menggunakan enklave aman tersedia di SQL Server 2019 (15.x) dan yang lebih baru, serta di Azure SQL Database.

Diperkenalkan di Azure SQL Database pada tahun 2015 dan di SQL Server 2016 (13.x), Always Encrypted melindungi kerahasiaan data sensitif dari malware dan pengguna yang tidak sah dengan hak istimewa tinggi: Administrator Database (DBA), admin komputer, admin cloud, atau siapa pun yang memiliki akses sah ke instans server, perangkat keras, dll., tetapi tidak boleh memiliki akses ke beberapa atau semua data aktual.

Tanpa peningkatan yang dibahas dalam artikel ini, Always Encrypted melindungi data dengan mengenkripsinya di sisi klien dan tidak pernah mengizinkan data atau kunci kriptografi yang sesuai muncul di teks biasa di dalam Mesin Database. Akibatnya, fungsionalitas pada kolom terenkripsi di dalam database sangat dibatasi. Satu-satunya operasi yang dapat dilakukan Mesin Database pada data terenkripsi adalah perbandingan kesetaraan (hanya tersedia dengan enkripsi deterministik). Semua operasi lain, termasuk operasi kriptografi (enkripsi data awal atau rotasi kunci) dan kueri yang lebih kaya (misalnya, pencocokan pola) tidak didukung di dalam database. Pengguna perlu memindahkan data mereka di luar database untuk melakukan operasi ini di sisi klien.

Always Encrypted dengan menggunakan enklave aman mengatasi batasan ini dengan memungkinkan beberapa komputasi pada data dalam bentuk teks biasa di dalam enklave aman di sisi server. Enklave aman adalah wilayah memori yang dilindungi dalam proses Mesin Database. Enklave aman muncul sebagai kotak buram bagi sisa Mesin Database dan proses lain pada komputer hosting. Tidak ada cara untuk melihat data atau kode apa pun di dalam enklave dari luar, bahkan dengan debugger. Properti ini menjadikan enklave aman sebagai lingkungan eksekusi tepercaya yang dapat mengakses kunci kriptografi dengan aman dan data sensitif dalam teks biasa, tanpa mengorbankan kerahasiaan data.

Always Encrypted menggunakan enklave aman seperti yang diilustrasikan dalam diagram berikut:

Diagram aliran Data untuk Always Encrypted.

Saat mengurai pernyataan Transact-SQL yang dikirimkan oleh aplikasi, Mesin Database menentukan apakah pernyataan berisi operasi apa pun pada data terenkripsi yang memerlukan penggunaan enklave aman. Untuk pernyataan tersebut:

Driver klien mengirimkan kunci enkripsi kolom yang diperlukan untuk operasi ke enklave aman (melalui saluran aman) dan menyerahkan perintah untuk dieksekusi.
Saat memproses pernyataan, Mesin Database mendelegasikan operasi kriptografi atau komputasi pada kolom terenkripsi ke enklave aman. Jika diperlukan, enklave mendekripsi data dan melakukan komputasi pada teks biasa.

Selama pemrosesan pernyataan, baik data maupun kunci enkripsi kolom tidak diekspos dalam teks terbuka di Mesin Database di luar enklave aman.

Driver klien yang didukung

Untuk menggunakan Always Encrypted dengan enklave aman, aplikasi harus menggunakan driver klien yang mendukung fitur tersebut. Konfigurasikan aplikasi dan driver klien untuk mengaktifkan komputasi enklave dan pembuktian enklave (lihat bagian Pembuktian enklave aman di bawah). Untuk detailnya, termasuk daftar driver klien yang didukung, lihat Mengembangkan aplikasi menggunakan Always Encrypted.

Teknologi enklave yang didukung

Always Encrypted mendukung teknologi enklave berikut (atau jenis enklave):

Enklave Keamanan berbasis virtualisasi (VBS) (juga dikenal sebagai Mode Aman Virtual, atau enklave VSM) - teknologi berbasis perangkat lunak yang bergantung pada hypervisor Windows dan tidak memerlukan perangkat keras khusus.
Intel Software Guard Extensions (Intel SGX) enclaves - teknologi lingkungan eksekusi tepercaya berbasis perangkat keras.

Jenis enklave yang tersedia untuk database Anda bergantung pada produk SQL yang menghostingnya (Azure SQL Database vs. SQL Server) dan (dalam kasus Azure SQL Database) konfigurasi database Anda.

Mulai dari SQL Server 2019 (15.x) dan versi yang lebih baru, Always Encrypted mendukung enklave VBS. (Enklaf Intel SGX tidak didukung.)
Di Azure SQL Database, database dapat menggunakan enklave Intel SGX atau enklave VBS, tergantung pada perangkat keras yang dikonfigurasi database untuk dijalankan:
- Basis data yang menggunakan konfigurasi perangkat keras DC-series (tersedia dengan model pembelian vCore) menggunakan enklave Intel SGX.
- Database yang menggunakan konfigurasi selain seri DC dengan model pembelian vCore dan database yang menggunakan model pembelian DTU dapat dikonfigurasi untuk menggunakan enklave VBS.
Catatan

Enklave VBS saat ini tersedia di semua wilayah Azure SQL Database kecuali: Jio India Tengah.

Lihat bagian Pertimbangan keamanan untuk informasi penting tentang perlindungan tingkat yang disediakan setiap jenis enklave.

Pembuktian enklave terpercaya

Pengesahan Enklave adalah mekanisme pertahanan mendalam yang dapat membantu mendeteksi serangan yang melibatkan pengubahan kode enklave atau lingkungannya oleh administrator berbahaya.

Pengesahan Enklave memungkinkan aplikasi klien untuk membangun kepercayaan dengan enklave aman terkait database yang terhubung, sebelum aplikasi menggunakan enklave tersebut untuk memproses data sensitif. Alur kerja pengesahan memverifikasi bahwa enklave adalah enklave VBS atau Intel SGX asli, dan bahwa kode yang berjalan di dalamnya adalah pustaka enklave yang ditandatangani Microsoft yang asli untuk Always Encrypted. Selama pengesahan, driver klien dalam aplikasi dan Mesin Database berkomunikasi dengan layanan pengesahan eksternal menggunakan titik akhir yang ditentukan klien.

Always Encrypted dapat menggunakan salah satu dari dua layanan pengesahan:

Microsoft Azure Attestation - solusi pengesahan berbasis cloud.
Host Guardian Service (HGS) yang menerapkan pengesahan runtime Windows Defender System Guard.

Untuk mengaktifkan Always Encrypted dengan enklave aman untuk aplikasi Anda, Anda perlu mengatur protokol pengesahan dalam konfigurasi driver klien di aplikasi Anda. Nilai protokol pengesahan menentukan apakah 1) aplikasi klien akan menggunakan pengesahan, dan, jika demikian, 2) itu menentukan jenis layanan pengesahan yang akan digunakannya. Tabel di bawah ini menangkap protokol pengesahan yang didukung untuk kombinasi produk SQL dan jenis enklave yang valid:

Produk Hosting	Jenis Enklave	Protokol pengesahan yang didukung
SQL Server 2019 (15.x) dan yang lebih baru	Enklave VBS	HGS, Tidak ada pengesahan
Database Azure SQL	Enklave SGX (database seri DC)	Microsoft Azure Attestation
Azure SQL Database	Enklave VBS	Tidak ada pengesahan

Beberapa poin penting yang perlu diperhatikan:

Mengotentikasi enklave VBS di SQL Server 2019 (15.x) dan versi setelahnya memerlukan HGS. Anda juga dapat menggunakan enklave VBS tanpa pengesahan (driver klien terbaru diperlukan).
Dengan enklave Intel SGX (dalam database seri DC) di Azure SQL Database, proses attestasi bersifat wajib dan memerlukan Microsoft Azure Attestation.
Enklave VBS di Azure SQL Database tidak mendukung pengesahan.

Untuk informasi selengkapnya, lihat:

Terminologi

Kunci berkemampuan Enklave

Always Encrypted dengan enklave aman memperkenalkan konsep kunci yang diaktifkan dengan enklave.

Master kunci kolom yang diaktifkan oleh Enclave - kunci kolom master yang memiliki properti ENCLAVE_COMPUTATIONS yang ditentukan dalam objek metadata kunci kolom master di dalam database. Objek metadata kunci kolom master juga harus berisi tanda tangan properti metadata yang valid. Untuk informasi selengkapnya, lihat CREATE COLUMN MASTER KEY (Transact-SQL)
Kunci enkripsi kolom dengan dukungan Enklave - kunci enkripsi kolom yang dienkripsi dengan kunci kolom master yang diaktifkan enklave. Hanya kunci enkripsi kolom yang mendukung enklave yang dapat digunakan untuk komputasi di dalam enklave aman.

Untuk informasi selengkapnya, lihat Mengelola kunci untuk Always Encrypted dengan enklave yang aman.

Kolom dengan Dukungan Enklave

Kolom yang mendukung enklave adalah kolom database yang dienkripsi dengan kunci enkripsi kolom enklave.

Kemampuan komputasi rahasia untuk kolom yang diaktifkan enklave

Dua manfaat utama Always Encrypted dengan enklave aman adalah enkripsi di tempat dan kueri rahasia yang kaya.

Enkripsi di tempat

Enkripsi di tempat memungkinkan operasi kriptografi pada kolom database di dalam enklave aman, tanpa memindahkan data di luar database. Enkripsi di tempat meningkatkan performa dan keandalan operasi kriptografi. Anda dapat melakukan enkripsi di tempat menggunakan pernyataan ALTER TABLE (Transact-SQL ).

Operasi kriptografi yang didukung di tempat adalah:

Mengenkripsi kolom teks sederhana dengan kunci enkripsi kolom yang sudah diaktifkan enklavenya.
Mengenkripsi ulang kolom yang diaktifkan enklave terenkripsi menjadi:
- Putar kunci enkripsi kolom - enkripsi ulang kolom dengan kunci enkripsi kolom baru yang diaktifkan enklave.
- Ubah jenis enkripsi kolom yang diaktifkan enklave, misalnya, dari deterministik menjadi acak.
Mendekripsi data yang disimpan dalam kolom berkemampuan enklave (mengonversi kolom menjadi kolom teks biasa).

Enkripsi di tempat diizinkan dengan enkripsi deterministik dan acak, selama kunci enkripsi kolom yang terlibat dalam operasi kriptografi diaktifkan enklave.

Kueri rahasia

Catatan

SQL Server 2022 (16.x) menambahkan dukungan tambahan untuk kueri rahasia dengan operasi JOIN, GROUP BY, dan ORDER BY pada kolom terenkripsi.

Kueri rahasia adalah kueri DML yang melibatkan operasi pada kolom yang mendukung enklave yang dilakukan di dalam enklave aman.

Operasi yang didukung di dalam enklave aman adalah:

Operasi	Azure SQL Database	SQL Server 2022 (16.x)	SQL Server 2019 (15.x)
Operator perbandingan	Didukung	Didukung	Didukung
ANTARA (T-SQL)	Didukung	Didukung	Didukung
IN (Transact-SQL)	Didukung	Didukung	Didukung
LIKE (Transact-SQL)	Didukung	Didukung	Didukung
DISTINCT	Didukung	Didukung	Didukung
Gabung	Didukung	Didukung	Hanya gabungan perulangan berlapis yang didukung
SELECT - ORDER BY Clause (Transact-SQL)	Didukung	Didukung	Tidak didukung
PILIH - KELOMPOK BERDASARKAN - Transact-SQL	Didukung	Didukung	Tidak didukung

Catatan

Operasi di atas di dalam enklave aman memerlukan enkripsi acak. Enkripsi deterministik tidak didukung. Perbandingan kesetaraan tetap menjadi operasi yang tersedia untuk kolom menggunakan enkripsi deterministik.

Tingkat kompatibilitas database harus diatur ke SQL Server 2022 (160) atau yang lebih tinggi.

Di Azure SQL Database dan di SQL Server 2022 (16.x), kueri rahasia menggunakan enklave pada kolom string karakter (char, nchar) mengharuskan kolom menggunakan kolase titik kode biner (_BIN2) atau kolase UTF-8. Di SQL Server 2019 (15.x), pengurutan a_BIN2 diperlukan.

Untuk informasi selengkapnya, lihat Menjalankan pernyataan Transact-SQL menggunakan enklave aman.

Indeks pada kolom yang mendukung enklave

Anda dapat membuat indeks non-kluster pada kolom berkemampuan enklave dengan menggunakan enkripsi acak untuk mempercepat kueri DML rahasia yang berjalan di enklave yang aman.

Untuk memastikan indeks pada kolom yang dienkripsi menggunakan enkripsi acak tidak membocorkan data sensitif, nilai kunci dalam struktur data indeks (pohon B) dienkripsi dan diurutkan berdasarkan nilai teks biasanya. Mengurutkan menurut nilai teks biasa juga berguna untuk memproses kueri di dalam enklave. Saat pelaksana kueri di Mesin Database menggunakan indeks pada kolom terenkripsi untuk komputasi di dalam enklave, ia mencari indeks untuk mencari nilai tertentu yang disimpan dalam kolom. Setiap pencarian mungkin melibatkan beberapa perbandingan. Pelaksana kueri mendelegasikan setiap perbandingan kepada enklave, yang mendekripsi nilai yang disimpan dalam kolom beserta nilai kunci indeks terenkripsi untuk dibandingkan. Enklave melakukan perbandingan pada teks biasa dan mengembalikan hasil perbandingan kepada pelaksana.

Membuat indeks pada kolom yang menggunakan enkripsi acak dan tidak diaktifkan enklave tetap tidak didukung.

Indeks pada kolom yang menggunakan enkripsi deterministik diurutkan berdasarkan ciphertext (bukan teks biasa), terlepas dari apakah kolom diaktifkan enklave atau tidak.

Untuk informasi selengkapnya, lihat Membuat dan menggunakan indeks pada kolom menggunakan Always Encrypted dengan enklave yang aman. Untuk informasi umum tentang cara kerja pengindeksan di Mesin Database, lihat artikel, Indeks Terkluster dan Tidak Terkluster dijelaskan.

Pemulihan basis data

Jika instans SQL Server gagal, databasenya mungkin dibiarkan dalam keadaan di mana file data mungkin berisi beberapa modifikasi dari transaksi yang tidak lengkap. Ketika instans dimulai, instans menjalankan proses yang disebut pemulihan database, yang melibatkan rollback setiap transaksi yang tidak lengkap yang ditemukan di log transaksi untuk memastikan integritas database dipertahankan. Jika transaksi yang tidak lengkap membuat perubahan pada indeks, perubahan tersebut juga perlu dibatalkan. Misalnya, beberapa nilai kunci dalam indeks mungkin perlu dihapus atau diinserksi ulang.

Penting

Microsoft sangat menyarankan untuk mengaktifkan pemulihan database terakselerasi (ADR) untuk database Anda, sebelum membuat indeks pertama pada kolom berkemampuan enklave yang dienkripsi dengan enkripsi acak. ADR diaktifkan secara default di Azure SQL Database dan Azure SQL Managed Instance. ADR tersedia tetapi tidak diaktifkan secara default di SQL Server 2019 (15.x) dan yang lebih baru.

Dengan proses pemulihan database tradisional (yang mengikuti model pemulihan ARIES), untuk membatalkan perubahan pada indeks, Mesin Basis Data harus menunggu hingga aplikasi menyediakan kunci enkripsi kolom untuk kolom ke dalam enklave, yang bisa memakan waktu lama. Pemulihan database yang dipercepat (ADR) mengurangi jumlah operasi pembatalan yang harus ditangguhkan secara dramatis karena kunci enkripsi kolom tidak tersedia di cache dalam enklave. Akibatnya, itu secara substansial meningkatkan ketersediaan database dengan meminimalkan peluang bagi transaksi baru untuk diblokir. Dengan ADR diaktifkan, Mesin Database mungkin masih memerlukan kunci enkripsi kolom untuk menyelesaikan pembersihan versi data lama tetapi melakukan itu sebagai tugas latar belakang yang tidak memengaruhi ketersediaan database atau transaksi pengguna. Anda mungkin melihat pesan kesalahan dalam log kesalahan, menunjukkan operasi pembersihan yang gagal karena kunci enkripsi kolom yang hilang.

Pertimbangan keamanan

Pertimbangan keamanan berikut berlaku untuk Always Encrypted dengan enklave aman.

Enklave VBS membantu melindungi data Anda dari serangan di dalam VM. Namun, mereka tidak memberikan perlindungan apa pun dari serangan menggunakan akun sistem istimewa yang berasal dari host. Enklave Intel SGX melindungi data dari serangan yang berasal dari OS tamu dan OS host.
Menggunakan pengesahan enklave disarankan jika tersedia untuk lingkungan Anda dan jika Anda khawatir melindungi data Anda dari serangan oleh pengguna dengan akses admin tingkat OS ke mesin yang menghosting database Anda. Jika Anda menggunakan pengesahan, Anda perlu memastikan layanan pengesahan dan konfigurasinya dikelola oleh administrator tepercaya. Selain itu, kedua layanan pengesahan yang didukung menawarkan kebijakan dan mode pengesahan yang berbeda, beberapa di antaranya melakukan verifikasi minimal enklave dan lingkungannya, dan dirancang untuk pengujian dan pengembangan. Ikuti dengan cermat panduan khusus untuk layanan pengesahan Anda untuk memastikan Anda menggunakan konfigurasi dan kebijakan yang direkomendasikan untuk penyebaran produksi Anda.
Mengenkripsi kolom menggunakan enkripsi acak dengan kunci enkripsi kolom yang diaktifkan enklave dapat mengakibatkan kebocoran urutan data yang disimpan dalam kolom, karena kolom tersebut mendukung perbandingan rentang. Misalnya, jika kolom terenkripsi, yang berisi gaji karyawan, memiliki indeks, DBA berbahaya dapat memindai indeks untuk menemukan nilai gaji terenkripsi maksimum dan mengidentifikasi seseorang dengan gaji maksimum (dengan asumsi nama orang tersebut tidak dienkripsi).
Jika Anda menggunakan Always Encrypted untuk melindungi data sensitif dari akses yang tidak sah oleh DBA, jangan bagikan kunci kolom master atau kunci enkripsi kolom dengan DBA. DBA dapat mengelola indeks pada kolom terenkripsi tanpa memiliki akses langsung ke kunci dengan menggunakan cache kunci enkripsi kolom di dalam enklave.

Pertimbangan untuk kelangsungan bisnis, pemulihan bencana, dan migrasi data

Saat mengonfigurasi ketersediaan tinggi atau solusi pemulihan bencana untuk database menggunakan Always Encrypted dengan enklave aman, pastikan bahwa semua replika database dapat menggunakan enklave yang aman. Jika enklave tersedia untuk replika utama, tetapi tidak untuk replika sekunder, pernyataan apa pun yang mencoba menggunakan fungsionalitas Always Encrypted dengan enklave aman akan gagal setelah failover.

Saat Anda menyalin atau memigrasikan database menggunakan Always Encrypted dengan enklave aman, pastikan lingkungan target selalu mendukung enklave. Jika tidak, pernyataan yang menggunakan enklave tidak akan berfungsi pada salinan atau database yang dimigrasikan.

Berikut adalah pertimbangan spesifik yang harus Anda ingat:

SQL Server
- Saat mengonfigurasi grup ketersediaan Always On, pastikan bahwa setiap instans SQL Server yang menghosting database dalam grup ketersediaan mendukung Always Encrypted dengan enklave aman, dan memiliki enklave serta pengesahan yang dikonfigurasi.
- Saat memulihkan dari file cadangan database yang menggunakan fungsionalitas Always Encrypted dengan enklave aman pada instans SQL Server yang tidak memiliki enklave yang dikonfigurasi, operasi pemulihan akan berhasil dan semua fungsionalitas yang tidak bergantung pada enklave akan tersedia. Namun, pernyataan berikutnya yang menggunakan fungsionalitas enklave akan gagal, dan indeks pada kolom berkemampuan enklave menggunakan enkripsi acak akan menjadi tidak valid. Hal yang sama berlaku saat melampirkan database menggunakan Always Encrypted dengan enklave aman pada instans yang tidak memiliki enklave yang dikonfigurasi.
- Jika database Anda berisi indeks pada kolom yang diaktifkan enklave menggunakan enkripsi acak, pastikan untuk mengaktifkan pemulihan database terakselerasi (ADR) dalam database sebelum membuat cadangan database. ADR akan memastikan database, termasuk indeks, tersedia segera setelah Anda memulihkan database. Untuk informasi selengkapnya, lihat Pemulihan Database.
Azure SQL Database
- Saat mengonfigurasi geo-replikasi aktif, pastikan bahwa jika database utama mendukung enklave aman, maka database sekunder juga mendukungnya.

Di SQL Server dan Azure SQL Database, saat Anda memigrasikan database menggunakan file bacpac, Anda perlu memastikan Anda menghapus semua indeks untuk kolom yang diaktifkan enklave menggunakan enkripsi acak sebelum membuat file bacpac.

Pembatasan yang diketahui

Always Encrypted dengan enklave aman membahas beberapa batasan Always Encrypted dengan mendukung enkripsi langsung dan kueri rahasia yang lebih canggih dengan indeks, seperti yang dijelaskan dalam kemampuan komputasi rahasia untuk kolom yang diaktifkan enklave.

Batasan lain yang tercantum dalam Batasan untuk Always Encrypted juga berlaku untuk Always Encrypted dengan enklave aman.

Batasan berikut ini khusus untuk fitur Always Encrypted dengan enklave aman:

Indeks berkluster tidak dapat dibuat pada kolom berkemampuan enklave menggunakan enkripsi acak.
Kolom yang diaktifkan oleh enklave dengan enkripsi acak tidak dapat menjadi kolom kunci utama dan tidak dapat direferensikan oleh batasan kunci asing atau batasan kunci unik.
Di SQL Server 2019 (15.x) (batasan ini tidak berlaku untuk Azure SQL Database atau SQL Server 2022 (16.x)) hanya gabungan perulangan berlapis (menggunakan indeks, jika tersedia) didukung pada kolom yang diaktifkan enklave menggunakan enkripsi acak. Untuk informasi tentang perbedaan lain di antara berbagai produk, lihat Kueri Rahasia.
Operasi kriptografi secara langsung tidak dapat dikombinasikan dengan perubahan metadata kolom lainnya, kecuali mengubah pengurutan dalam halaman kode yang sama serta mempertahankan sifat nullability yang sama. Misalnya, Anda tidak dapat mengenkripsi, mengenkripsi ulang, atau mendekripsi kolom DAN mengubah jenis data kolom dalam satu ALTER TABLE/ALTER COLUMN pernyataan Transact-SQL. Gunakan dua pernyataan terpisah.
Menggunakan kunci yang diaktifkan enklave untuk kolom dalam tabel dalam memori tidak didukung.
Ekspresi yang menentukan kolom terhitung tidak dapat melakukan perhitungan apa pun pada kolom yang dienklavekan menggunakan enkripsi acak (bahkan jika perhitungan termasuk di antara operasi yang didukung yang tercantum dalam kueri rahasia).
Karakter Escape tidak didukung dalam parameter operator LIKE pada kolom yang diaktifkan enklave menggunakan enkripsi acak.
Kueri dengan operator LIKE atau operator perbandingan yang memiliki parameter kueri menggunakan salah satu jenis data berikut (yang menjadi objek besar setelah enkripsi) mengabaikan indeks dan melakukan pemindaian tabel.
- nchar[n] dan nvarchar[n], jika n lebih besar dari 3967.
- char[n], , varchar[n]binary[n], varbinary[n], jika n lebih besar dari 7935.
Satu-satunya penyimpanan kunci yang didukung untuk menyimpan kunci kolom master yang diaktifkan oleh enklave adalah Windows Certificate Store dan Azure Key Vault.
Saat Anda memulihkan database berkemampuan enklave VBS, penting untuk mengonfigurasi ulang pengaturan enklave VBS lagi.

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-03-28