Abilitare Always Encrypted con enclave sicuri in database SQL di Azure

Si applica a:database SQL di Azure

In database SQL di Azure, Always Encrypted con enclave sicuri può usare enclave Intel Software Guard Extensions (Intel SGX) o enclave di sicurezza basata su virtualizzazione. Per altre informazioni, vedere Pianificare enclave sicuri in database SQL di Azure.

Enclave Intel SGX

Affinché Intel SGX sia disponibile, il database deve usare il modello vCore e l'hardware della serie DC.

La configurazione dell'hardware della serie DC per abilitare le enclave Intel SGX è responsabilità dell'amministratore database SQL di Azure. Per altre informazioni, vedere Ruoli e responsabilità durante la configurazione di enclave e attestazioni intel SGX.

Nota

Intel SGX non è disponibile nelle configurazioni hardware diverse dalla serie DC. Ad esempio, Intel SGX non è disponibile per l'hardware della serie standard (Gen5) e non è disponibile per i database che usano il modello DTU.

Importante

Prima di configurare l'hardware della serie DC per il database, controllare la disponibilità a livello di area della serie DC e assicurarsi di comprendere le limitazioni delle prestazioni. Per altre informazioni, vedere DC-series.

Per istruzioni dettagliate su come configurare un database nuovo o esistente per l'uso di una configurazione hardware specifica, vedere Configurazione hardware.

Passaggi successivi

• Configurare attestazione di Azure per il server di database SQL di Azure

Enclave VBS

Per impostazione predefinita, viene creato un nuovo database senza enclave VBS. Per abilitare un enclave VBS nel database o nel pool elastico, è necessario impostare la proprietà di database preferredEnclaveTypesu VBS, che attiva l'enclave VBS per il database o il pool elastico. È possibile impostare preferredEnclaveType quando si crea un nuovo database o un pool elastico o aggiornando un database o un pool elastico esistente. Qualsiasi database aggiunto a un pool elastico erediterà la proprietà dell'enclave, ad esempio lo SLO del database. Di conseguenza, se si aggiunge un database senza enclave VBS abilitati a un pool elastico con abilitata la sicurezza basata su vbs, questo nuovo database diventa parte del pool elastico e le enclave VBS verranno abilitate in questo database. L'aggiunta di un database con enclave VBS abilitati a un pool elastico senza enclave VBS non è supportata.

È possibile impostare la proprietà preferredEnclaveType usando il portale di Azure, SQL Server Management Studio, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Abilitazione di enclave VBS tramite portale di Azure

Creare un nuovo database o un pool elastico con un enclave VBS

1. Aprire il portale di Azure e individuare l'istanza logica di SQL Server per cui si vuole creare un database o un pool elastico con un enclave VBS.

2. Selezionare Crea database o il pulsante Nuovo pool elastico.

3. Nella scheda Sicurezza individuare la sezione Always Encrypted .

4. Impostare Abilita enclave sicuri su ON. Verrà creato un database con un enclave VBS abilitato.

   

Abilitare un enclave VBS per un database o un pool elastico esistente

1. Aprire il portale di Azure e individuare il database o il pool elastico per cui si vogliono abilitare enclave sicuri.

2. Per un database esistente:

   1. In Impostazioni di sicurezza selezionare Crittografia dati.

   2. Nel menu Crittografia dati selezionare la scheda Always Encrypted.

   3. Impostare Abilita enclave sicuri su ON.

      

   4. Selezionare Salva per salvare la configurazione di Always Encrypted.

3. Per un pool elastico esistente:

   1. In Impostazioni selezionare Configurazione.

   2. Nel menu Configurazione selezionare la scheda Always Encrypted.

   3. Impostare Abilita enclave sicuri su ON.

      

   4. Selezionare Salva per salvare la configurazione di Always Encrypted.

Abilitazione di enclave VBS con SQL Server Management Studio

Scaricare la versione più recente di SQL Server Management Studio (SSMS).

Creare un nuovo database con un enclave VBS

1. Aprire SSMS e connettersi al server logico in cui si vuole creare il database.
2. Fare clic con il pulsante destro del mouse sulla cartella Database e scegliere Nuovo database...
3. Nella pagina Configura SLO impostare l'opzione Abilita enclave sicuri su ON. Verrà creato un database con un enclave VBS abilitato.

Abilitare un enclave VBS per un database esistente

1. Aprire SSMS e connettersi al server logico in cui si vuole modificare il database.
2. Fare clic con il pulsante destro del mouse sul database e scegliere Proprietà.
3. Nella pagina Configura SLO impostare l'opzione Abilita enclave sicuri su ON.
4. Selezionare OK per salvare le proprietà del database.

Abilitazione di enclave VBS con Azure PowerShell

Creare un nuovo database o un pool elastico con un enclave VBS

Creare un nuovo database con un enclave VBS con il cmdlet New-AzSqlDatabase . Nell'esempio seguente viene creato un database serverless con un enclave VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Creare un nuovo pool elastico con un enclave VBS con il cmdlet New-AzSqlElasticPool . Nell'esempio seguente viene creato un pool elastico con un enclave VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Abilitare un enclave VBS per un database o un pool elastico esistente

Per abilitare un enclave VBS per un database esistente, usare il cmdlet Set-AzSqlDatabase . Ecco un esempio:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Per abilitare un enclave VBS per un pool elastico esistente, usare il cmdlet Set-AzSqlElasticPool . Ecco un esempio:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Abilitazione di enclave VBS tramite l'interfaccia della riga di comando di Azure

Creare un nuovo database o un pool elastico con un enclave VBS

Creare un nuovo database con un enclave VBS con il cmdlet az sql db create . Nell'esempio seguente viene creato un database serverless con un enclave VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Creare un nuovo pool elastico con un enclave VBS con il cmdlet az sql elastic-pool create . Nell'esempio seguente viene creato un database serverless con un enclave VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Abilitare un enclave VBS per un database o un pool elastico esistente

Per abilitare un enclave VBS per un database esistente, usare il cmdlet az sql db update . Ecco un esempio:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Per abilitare un enclave VBS per un pool elastico esistente, usare il cmdlet az sql elastic-pool update . Ecco un esempio:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Vedi anche

• Introduzione all'uso di Always Encrypted con enclave sicuri