Abilitare Always Encrypted con enclavi sicure nel database SQL di Azure

Si applica a: Database SQL di Azure

Nel database SQL di Azure, Always Encrypted con enclavi sicure può usare enclavi Intel Software Guard Extensions (Intel SGX) o enclavi di sicurezza basata su virtualizzazione (VBS). Per altre informazioni, vedere Pianificare enclavi sicure nel database SQL di Azure.

Enclave Intel SGX

Affinché Intel SGX sia disponibile, il database deve usare il modello vCore e l’hardware della serie DC.

La configurazione dell’hardware della serie DC per abilitare le enclavi Intel SGX è responsabilità dell’amministratore del database SQL di Azure. Per altre informazioni, vedere Ruoli e responsabilità durante la configurazione di enclave e attestazioni Intel SGX.

Nota

Intel SGX non è disponibile nelle configurazioni hardware diverse dalla serie DC. Ad esempio, non è disponibile per l’hardware della serie standard (Gen5) né per i database che usano il modello DTU.

Importante

Prima di configurare l’hardware della serie DC per il database, è bene controllare la disponibilità geografica della serie DC e assicurarsi di comprendere le limitazioni delle prestazioni. Per altre informazioni, consultare Serie DC.

Per istruzioni dettagliate su come configurare un database nuovo o esistente per l’uso di una configurazione hardware specifica, consultare Configurazione hardware.

Per ulteriori informazioni, vedere Configurare l’attestazione di Azure per il server di database SQL di Azure.

Enclave VBS

Per impostazione predefinita, viene creato un nuovo database senza enclave VBS. Per abilitare una enclave VBS nel database o nel pool elastico, è necessario impostare la proprietà di database preferredEnclaveType su VBS, che attiva l’enclave VBS per il database o il pool elastico. È possibile impostare preferredEnclaveType quando si crea un nuovo database o un pool elastico oppure aggiornando un database o un pool elastico esistenti. Qualsiasi database aggiunto a un pool elastico eredita la proprietà dell’enclave, ad esempio l’SLO del database. Di conseguenza, se si aggiunge un database senza enclave VBS abilitate a un pool elastico con VBS abilitata, il nuovo database diventa parte del pool elastico e le enclavi VBS vengono abilitate nel database. L’aggiunta di un database con enclave VBS abilitate a un pool elastico senza enclave VBS non è supportata.

È possibile impostare la proprietà preferredEnclaveType usando il portale di Azure, SQL Server Management Studio, Azure PowerShell o l’interfaccia della riga di comando di Azure.

Abilitazione di enclave VBS tramite portale di Azure

Creare un nuovo database o pool elastico con enclave VBS

1. Aprire il portale di Azure e individuare l’istanza logica di SQL Server per cui si vuole creare un database o un pool elastico con enclave VBS.

2. Selezionare Crea database o il pulsante Nuovo pool elastico.

3. Nella scheda Sicurezza individuare la sezione Always Encrypted.

4. Impostare Abilita enclavi sicure su ON. Verrà creato un database con una enclave VBS abilitata.

   

Abilitare una enclave VBS per un database o un pool elastico esistenti

1. Aprire il portale di Azure e individuare il database o il pool elastico per cui si vogliono abilitare enclavi sicure.

2. Da un database esistente:

   1. Nelle impostazioni di Sicurezza selezionare Crittografia dei dati.

   2. Nel menu Crittografia dei dati selezionare la scheda Always Encrypted.

   3. Impostare Abilita enclavi sicure su ON.

      

   4. Selezionare Salva per salvare la configurazione di Always Encrypted.

3. Per un pool elastico esistente:

   1. In Impostazioni selezionare Configurazione.

   2. Nel menu Configurazione selezionare la scheda Always Encrypted.

   3. Impostare Abilita enclavi sicure su ON.

      

   4. Selezionare Salva per salvare la configurazione di Always Encrypted.

Abilitazione di enclave VBS con SQL Server Management Studio

Scaricare l’ultima versione di SQL Server Management Studio (SSMS).

Creare un nuovo database con una enclave VBS

1. Aprire SSMS e connettersi al server logico in cui si vuole creare il database.
2. Fare clic con il pulsante destro del mouse sulla cartella Database , quindi scegliere Nuovo database…
3. Nella pagina Configura SLO impostare l’opzione Abilita enclavi sicure su ON. Verrà creato un database con una enclave VBS abilitata.

Abilitare una enclave VBS per un database esistente

1. Aprire SSMS e connettersi al server logico in cui si vuole modificare il database.
2. Fare clic con il pulsante destro del mouse sul database e selezionare Proprietà.
3. Nella pagina Configura SLO impostare l’opzione Abilita enclavi sicure su ON.
4. Selezionare OK per salvare le proprietà del database.

Abilitazione di enclave VBS con Azure PowerShell

Creare un nuovo database o pool elastico con enclave VBS

Creare un nuovo database con una enclave VBS con il cmdlet New-AzSqlDatabase. Nell’esempio seguente viene creato un database serverless con una enclave VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Creare un nuovo pool elastico con una enclave VBS con il cmdlet New-AzSqlElasticPool. Nell’esempio seguente viene creato un pool elastico con una enclave VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Abilitare una enclave VBS per un database o un pool elastico esistenti

Per abilitare una enclave VBS per un database esistente, usare il cmdlet Set-AzSqlDatabase. Ecco un esempio:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Per abilitare una enclave VBS per un pool elastico esistente, usare il cmdlet Set-AzSqlElasticPool. Ecco un esempio:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Abilitazione di enclave VBS tramite l’interfaccia della riga di comando di Azure

Creare un nuovo database o pool elastico con enclave VBS

Creare un nuovo database con una enclave VBS con il cmdlet az sql db create. Nell’esempio seguente viene creato un database serverless con una enclave VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Creare un nuovo pool elastico con una enclave VBS con il cmdlet az sql elastic-pool create. Nell’esempio seguente viene creato un database serverless con una enclave VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Abilitare una enclave VBS per un database o un pool elastico esistenti

Per abilitare una enclave VBS per un database esistente, usare il cmdlet az sql db update. Ecco un esempio:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Per abilitare una enclave VBS per un pool elastico esistente, usare il cmdlet az sql elastic-pool update. Ecco un esempio:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Vedi anche

• Introduzione a Always Encrypted con enclave sicure