Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicuri

Si applica a: SQL Server 2019 (15.x) e versioni successive - Solo Windows Database SQL di Azure

Always Encrypted con enclave sicure supporta operazioni di crittografia sulle colonne di database sul posto, all'interno di un'enclave sicura nel motore di database. La crittografia sul posto elimina la necessità di spostare i dati per tali operazioni all'esterno del database, rendendo le operazioni di crittografia più veloci e affidabili.

Nota

Nonostante i vantaggi della crittografia sul posto a livello di prestazioni, le operazioni di crittografia su tabelle di grandi dimensioni possono richiedere molto tempo e utilizzare un numero significativo di risorse, influendo in modo potenzialmente negativo sulle prestazioni e sulla disponibilità delle applicazioni.

La crittografia sul posto consente anche di attivare operazioni di crittografia usando l'istruzione ALTER TABLE ALTER COLUMN (Transact-SQL), operazione impossibile senza un'enclave.

Prerequisiti

Le operazioni di crittografia supportate e i requisiti per le chiavi di crittografia di colonna, usati per le operazioni, sono:

• Crittografia di una colonna di testo non crittografato. La chiave di crittografia di colonna usata per crittografare la colonna deve essere abilitata per l'enclave.
• Nuova crittografia di una colonna crittografata usando un nuovo tipo di crittografia e/o una nuova chiave di crittografia di colonna. Sia la chiave di crittografia di colonna corrente che la nuova chiave di crittografia di colonna (se diversa da quella corrente) devono essere abilitate per l'enclave.
• Decrittografia di una colonna crittografata: la chiave di crittografia di colonna, che protegge la colonna, deve essere abilitata per l'enclave.

Per informazioni su come assicurarsi che le chiavi di crittografia della colonna siano abilitate per l'enclave, vedere Gestire le chiavi per Always Encrypted con enclave sicure.

È anche necessario assicurarsi che l'ambiente soddisfi i Prerequisiti generali per l'esecuzione di istruzioni usando enclave sicure.

Un utente o un'applicazione che attiva operazioni di crittografia deve avere le autorizzazioni per apportare modifiche allo schema nella tabella contenente le colonne interessate e per accedere alle chiavi master delle colonne coinvolte nelle operazioni e ai metadati delle chiavi pertinenti nel database.

È possibile attivare la crittografia sul posto usando uno dei metodi seguenti:

• ALTER TABLE ALTER COLUMN (Transact-SQL) da SQL Server Management Studio o dall'applicazione personalizzata. Vedere Configurare la crittografia delle colonne sul posto con Transact-SQL.
• La procedura guidata per Always Encrypted
• Il cmdlet Set-SqlColumnEncryption. Vedere Configurare la crittografia delle colonne sul posto con PowerShell.
• Un pacchetto di applicazione livello dati (DAC). Vedere Configurare la crittografia delle colonne sul posto con il pacchetto di applicazione livello dati.

Passaggi successivi

• Configurare la crittografia delle colonne sul posto con Transact-SQL
• Creare e usare indici in una colonna usando Always Encrypted con enclave sicuri
• Sviluppare applicazioni usando Always Encrypted con enclave sicuri

Vedi anche

• Risolvere i problemi comuni per Always Encrypted con enclave sicure