チュートリアル: Intel SGX エンクレーブが設定された Always Encrypted を Azure SQL Database で使い始める

適用対象:Azure SQL Database

このチュートリアルでは、セキュリティで保護されたエンクレーブが設定された Always Encrypted の使用を Azure SQL Database で開始する方法について説明します。 Intel Software Guard Extensions (Intel SGX) エンクレーブを使います。 次のことを示します。

• Intel SGX エンクレーブが設定された Always Encrypted をテストおよび評価するための環境を作成する方法。
• SQL Server Management Studio (SSMS) を使用して、データのインプレース暗号化を行い、暗号化された列に対して高度な機密クエリを実行する方法。

前提条件

• 有効な Azure サブスクリプション アカウントがない場合は、無料アカウントを作成してください。 リソースを作成して構成証明ポリシーを構成できるようにするには、サブスクリプションの共同作成者ロールまたは所有者ロールのメンバーである必要があります。
• 省略可能。ただし、Always Encrypted: Azure Key Vault のキー コンテナーの列マスター キーを格納する場合に推奨されます。 キー コンテナーを作成する方法については、「クイックスタート: Azure portal を使用してキー コンテナーを作成する」を参照してください。
  • キー コンテナーでアクセス ポリシーのアクセス許可モデルを使用する場合は、キー コンテナーに次のキーアクセス許可があることを確認します: get、list、create、unwrap key、wrap key、verify、sign。 詳細については、キー コンテナーへのアクセス ポリシーの割り当てに関するページを参照してください。
  • Azure ロールベースのアクセス制御 (RBAC) アクセス許可モデルを使用している場合は、キー コンテナーの Key Vault Crypto Officer ロールのメンバーであることを確認してください。 「Azure のロールベースのアクセス制御を使用して Key Vault のキー、証明書、シークレットへのアクセス権を付与する」を参照してください。
• 最新バージョンの SQL Server Management Studio

PowerShell の要件

注

このセクションに記載されている前提条件は、このチュートリアルの一部の手順に PowerShell を使用する場合にのみ適用されます。 代わりに Azure portal の使用を予定している場合は、このセクションを省略できます。

Az PowerShell モジュール バージョン 9.3.0 以降が必要です。 Az PowerShell モジュールのインストール方法の詳細については、「Azure Az PowerShell モジュールのインストール」を参照してください。 お使いのマシンにインストールされている Az PowerShell モジュールのバージョンを確認するには、PowerShell から次のコマンドを実行します。

Get-InstalledModule -Name Az

手順 1: サーバーと DC シリーズ データベースを作成、構成する

この手順では、セキュア エンクレーブによる Always Encrypted に必要な DC シリーズのハードウェアを使用して、新しい Azure SQL Database 論理サーバーと新しいデータベースを作成します。 詳細については、DC シリーズに関するセクションをご覧ください。

ポータル

1. [Select SQL deployment option](SQL デプロイ オプションの選択) ページを参照します。

2. まだ Azure portal にサインインしていない場合は、求められたらサインインします。

3. [SQL データベース] で、 [リソースの種類] を [単一データベース] に設定し、 [作成] を選択します。

4. [SQL データベースの作成] フォームの [基本] タブにある [プロジェクトの詳細] で、目的の Azure [サブスクリプション] を選択します。

5. [リソース グループ] の [新規作成] を選択し、リソース グループの名前を入力し、 [OK] を選択します。

6. [データベース名] に、「ContosoHR」と入力します。

7. [サーバー] で、 [新規作成] を選択し、 [新しいサーバー] フォームに次の値を入力します。

   • [サーバー名] : 「mysqlserver」と入力し、一意にするためにいくつかの文字を追加します。 サーバー名は、サブスクリプション内で一意ではなく、Azure のすべてのサーバーに対してグローバルに一意である必要があるため、正確なサーバー名をここに示すことはできません。 mysqlserver135 のように入力してから、利用可能かどうかをポータルで確認できます。
   • [場所] :ドロップダウン リストから場所を選択します。

     重要

     DCシリーズのハードウェアとMicrosoft Azure Attestationの両方をサポートする場所(Azure リージョン)を選択する必要があります。 DC シリーズをサポートするリージョンの一覧については、DC シリーズの提供リージョンに関する記述を参照してください。 Microsoft Azure Attestation が提供されるリージョンは、こちらでご覧いただけます。

   • [認証方法]: [SQL 認証を使用] を選びます。
   • [サーバー管理者ログイン] : 管理者のログイン名を入力します (例: azureuser)。
   • パスワード:要件を満たすパスワードを入力し、 [パスワードの確認入力] フィールドにもう一度入力します。
   • [OK] を選択します。

8. [SQL エラスティック プールを使用しますか?] を [いいえ] に設定したままにします。

9. [コンピューティングとストレージ] で、[データベースの構成] を選択し、[構成の変更] を選択します。

   

10. [DC シリーズ] ハードウェア構成を選択し、 [OK] を選択します。

11. [適用] を選択します。

12. [基本] タブに戻り、 [コンピューティングとストレージ] が [General Purpose] 、 [DC、2 仮想コア、32 GB ストレージ] に設定されていることを確認します。

13. [バックアップ ストレージの冗長性] には [Locally-redundant backup storage] (ローカル冗長バックアップ ストレージ) を選びます。

14. ページの下部にある [Next: Networking](次へ: ネットワーク) を選択します。

    

15. [ネットワーク] タブの [接続方法] で、 [パブリック エンドポイント] を選択します。

16. [ファイアウォール規則] で、 [現在のクライアント IP アドレスを追加する] を [はい] に設定します。 [Azure サービスおよびリソースにこのサーバー グループへのアクセスを許可する] を [いいえ] に設定したままにします。

17. [接続ポリシー] の [接続ポリシー] は [Default - Uses Redirect policy for all client connections originating inside of Azure and Proxy for all client connections originating outside Azure] (既定 - Azure 内部で発生したすべてのクライアント接続にリダイレクト ポリシーを使用し、Azure 外部で発生したすべてのクライアント接続にプロキシを使用します) のままにします

18. [Encrypted connections] (暗号化された接続) の [Minimum TLS version] (最小 TLS バージョン) を [TLS 1.2] に設定したままにします。

19. ページ下部にある [確認と作成] を選択します。

    

20. [確認と作成] ページで、確認後、 [作成] を選択します。

PowerShell

1. PowerShell コンソールを開き、必要なバージョンの Az PowerShell モジュールをインポートします。

   Import-Module "Az" -MinimumVersion "9.3.0"
   

2. Azure にサインインします。 必要に応じて、このチュートリアルに使用するサブスクリプションに切り替えます。

   Connect-AzAccount
   $subscriptionId = "<your subscription ID>"
   $context = Set-AzContext -Subscription $subscriptionId
   

3. 新しいリソース グループを作成する。

   重要

   リソースグループは、DCシリーズのハードウェアとMicrosoft Azure Attestationの両方をサポートするリージョン(場所)に作成する必要があります。 DC シリーズをサポートするリージョンの一覧については、DC シリーズの提供リージョンに関する記述を参照してください。 Microsoft Azure Attestation が提供されるリージョンは、こちらでご覧いただけます。

   $resourceGroupName = "<your new resource group name>"
   $location = "<Azure region supporting DC-series and Microsoft Azure Attestation>"
   New-AzResourceGroup -Name $resourceGroupName -Location $location
   

4. Azure SQL 論理サーバーを作成します。 プロンプトが表示されたら、サーバー管理者名とパスワードを入力します。 管理者の名前とパスワードを忘れないようにしてください。後でサーバーに接続するときに必要になります。

   $serverName = "<your server name>" 
   New-AzSqlServer -ServerName $serverName -ResourceGroupName $resourceGroupName -Location $location -SqlAdministratorCredentials (Get-Credential)
   

5. 指定された IP 範囲からのアクセスを許可するサーバー ファイアウォール規則を作成します。

   $startIp = "<start of IP range>"
   $endIp = "<end of IP range>"
   $serverFirewallRule = New-AzSqlServerFirewallRule -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -FirewallRuleName "AllowedIPs" -StartIpAddress $startIp -EndIpAddress $endIp
   

6. DC シリーズ データベースを作成します。

   $databaseName = "ContosoHR"
   $edition = "GeneralPurpose"
   $vCore = 2
   $generation = "DC"
   New-AzSqlDatabase -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -DatabaseName $databaseName `
    -Edition $edition `
    -Vcore $vCore `
    -ComputeGeneration $generation
   

手順 2:構成証明プロバイダーを構成する

この手順では、Microsoft Azure Attestation で構成証明プロバイダーを作成して構成します。 これは、データベースが使用するセキュア エンクレーブの構成証明を行うために必要となります。

ポータル

1. [構成証明プロバイダーの作成] ページに移動します。

2. [Create attestation provider](構成証明プロバイダーの作成) ページで、次の情報を入力します。

   • [サブスクリプション] : Azure SQL 論理サーバーを作成したのと同じサブスクリプションを選択します。
   • [リソース グループ] : Azure SQL 論理サーバーで作成したのと同じリソース グループを選択します。
   • [名前] : 「myattestprovider」と入力し、一意にするためにいくつか文字を追加します。 名前はグローバルに一意である必要があるため、正確な構成証明プロバイダー名を指定して使用することはできません。 そのため、myattestprovider12345 のように入力して、それが利用可能かどうかをポータルで確認できます。
   • [場所]: Azure SQL 論理サーバーと同じ場所を選択します。
   • [ポリシー署名者証明書ファイル]: 署名されていないポリシーを構成する場合は、このフィールドは空のままにします。

3. 必要な情報を入力したら、 [確認と作成] を選択します。

   

4. [作成] を選択します。

5. 構成証明プロバイダーが作成されたら、[リソースに移動] を選択します。

6. 構成証明プロバイダーの [概要] タブで、Attest URI プロパティの値をクリップボードにコピーし、ファイルに保存します。 これは構成証明の URL です。後の手順で必要になります。

7. 下部のペインまたはウィンドウの左側のリソース メニューで [ポリシー] を選択します。

8. [構成証明の種類] を [SGX-IntelSDK] に設定します。

9. 上部のメニューにある [構成] を選択します。

   

10. [ポリシーの形式] を [テキスト] に 設定します。 [ポリシー オプション] は [ポリシーの入力] に設定されたままにします。

11. [ ポリシー] テキスト フィールドで、既定のポリシーを次のポリシーに置き換えます。 詳細については、「構成証明プロバイダーの作成と構成」を参照してください。

    version= 1.0;
    authorizationrules 
    {
           [ type=="x-ms-sgx-is-debuggable", value==false ]
            && [ type=="x-ms-sgx-product-id", value==4639 ]
            && [ type=="x-ms-sgx-svn", value>= 2 ]
            && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
        => permit();
    };
    

12. [保存] を選択します。

    

13. 上部のメニューにある [Refresh](最新の情報に更新) をクリックして、構成済みのポリシーを表示します

PowerShell

1. 次の構成証明ポリシーをコピーし、テキスト ファイル (txt) にポリシーを保存します。 詳細については、「構成証明プロバイダーの作成と構成」を参照してください。

   version= 1.0;
   authorizationrules 
   {
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
   };
   
   

2. 構成証明プロバイダーを作成します。

   $attestationProviderName = "<your attestation provider name>" 
   New-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName -Location $location
   

3. 構成証明プロバイダーの構成証明の共同作成者ロールを自分に割り当てて、構成証明ポリシーを構成する権限があることを確認します。

   New-AzRoleAssignment -SignInName $context.Account.Id `
    -RoleDefinitionName "Attestation Contributor" `
    -ResourceName $attestationProviderName `
    -ResourceType "Microsoft.Attestation/attestationProviders" `
    -ResourceGroupName $resourceGroupName
   

4. 構成証明ポリシーを構成します。

   $policyFile = "<the pathname of the file from step 1 in this section>"
   $teeType = "SgxEnclave"
   $policyFormat = "Text"
   $policy=Get-Content -path $policyFile -Raw
   Set-AzAttestationPolicy -Name $attestationProviderName `
    -ResourceGroupName $resourceGroupName `
    -Tee $teeType `
    -Policy $policy `
    -PolicyFormat  $policyFormat
   

5. 構成証明 URL (構成証明プロバイダーの構成証明 URI) を取得します。

   $attestationUrl = (Get-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName).AttestUri
   Write-Host "Your attestation URL is: $attestationUrl"
   

   構成証明 URL は次のようになります: https://myattestprovider12345.eus.attest.azure.net。

手順 3: データベースを設定する

この手順では、テーブルを作成し、後で暗号化してクエリを実行するデータを設定します。

1. SSMS を開き、データベース接続で Always Encrypted を有効にせずに、作成した Azure SQL 論理サーバーの ContosoHR データベースに接続します。

   1. [サーバーに接続] ダイアログで、サーバーの完全修飾名 (例: myserver135.database.windows.net) を指定し、サーバーの作成時に指定した管理者のユーザー名とパスワードを入力します。

   2. [オプション >>] を選択し、[接続プロパティ] タブを選択します。(既定の データベースではなく) 必ず master データベースを選択します。

   3. [Always Encrypted] タブを選択します。

   4. [Always Encrypted を有効にする (列の暗号化)] チェック ボックスがオンになっていないことを確認します。

      

   5. [接続] を選択します。

2. Employeesという名前の新しいテーブルを作成します。

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
       [SSN] [char](11) NOT NULL,
       [FirstName] [nvarchar](50) NOT NULL,
       [LastName] [nvarchar](50) NOT NULL,
       [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   GO
   

3. Employees テーブルにいくつかの従業員レコードを追加します。

   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('795-73-9838'
           , N'Catherine'
           , N'Abel'
           , $31692);
   
   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('990-00-6818'
           , N'Kim'
           , N'Abercrombie'
           , $55415);
   

手順 4:エンクレーブ対応キーをプロビジョニングする

この手順では、エンクレーブ計算を可能にする列マスター キーと列暗号化キーを作成します。

1. 前の手順の SSMS インスタンスを使用し、オブジェクト エクスプローラーでデータベースを展開して、 [セキュリティ]>[Always Encrypted キー] に移動します。

2. エンクレーブ対応の列マスター キーをプロビジョニングします。

   1. [Always Encrypted キー] を右クリックし、 [新しい列マスター キー...] を選択します。
   2. 新しい列マスター キーの名前を入力します: CMK1。
   3. [エンクレーブ計算を許可する] が選択されていることを確認します。 (セキュリティで保護されたエンクレーブがデータベースに対して有効になっている場合は、既定でこれが選択されます。データベースでは DC シリーズ ハードウェア構成が使用されるため、有効にする必要があります)。
   4. [Azure Key Vault] (推奨) または [Windows 証明書ストア] ([現在のユーザー] または [ローカル マシン]) を選択します。
      • Azure Key Vault を選択した場合は、Azure にサインインし、使用するキー コンテナーを含む Azure サブスクリプションを選択し、キー コンテナーを選択します。 [キーの生成] を選択して、新しいキーを作成します。
      • Windows 証明書ストアを選択した場合は、[証明書の生成] ボタンを選択して新しい証明書を作成します。
   5. [OK] を選択します。

3. 新しいエンクレーブ対応の列暗号化キーを作成します。

   1. [Always Encrypted キー] を右クリックし、 [新しい列の暗号化キー] を選択します。
   2. 新しい列暗号化キーの名前を入力します: CEK1。
   3. [ 列マスター キー ] ドロップダウン リストで、前の手順で作成した列マスター キーを選択します。
   4. [OK] を選択します。

手順 5:一部の列のインプレース暗号化を行う

この手順では、サーバー側エンクレーブ内の SSN 列と Salary 列に格納されているデータを暗号化し、データに対する SELECT クエリをテストします。

1. 新しい SSMS インスタンスを開き、データベース接続で Always Encrypted を有効にしてデータベースに接続します。

   1. SSMS の新しいインスタンスを開始します。

   2. [ サーバーへの接続 ] ダイアログで、サーバーの完全修飾名 ( <server name>.database.windows.net など) を指定し、サーバーの作成時に指定した管理者ユーザー名とパスワードを入力します。

   3. [オプション >>] を選択し、[接続プロパティ] タブを選択します。(既定の データベースではなく) 必ず master データベースを選択します。

   4. [Always Encrypted] タブを選択します。

   5. [Always Encrypted を有効にする (列の暗号化)] チェック ボックスをオンにします。

   6. [Enable secure enclaves] (セキュリティで保護されたエンクレーブを有効にする) を選択します。 (この手順は SSMS 19 以降に適用されます。)

   7. [プロトコル] を [Microsoft Azure Attestation] に設定します。 (この手順は SSMS 19 以降に適用されます。)

   8. 「手順 2: 構成証明プロバイダーを構成する」の手順に従って取得したエンクレーブ構成証明 URL を指定します。

      

   9. [接続] を選択します。

   10. Always Encrypted クエリのパラメーター化を有効にするよう求められたら、 [有効] を選択します。

2. 同じ SSMS インスタンス (Always Encrypted が有効) を使用して、新しいクエリ ウィンドウを開き、次の T-SQL ステートメントを実行して SSN 列と Salary 列を暗号化します。

   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [Salary] [money]
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
   

   注

   上記のスクリプトでデータベースのクエリ プラン キャッシュをクリアするには、 ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE ステートメントに注目してください。 テーブルを変更したら、テーブルにアクセスするすべてのバッチおよびストアド プロシージャのプランをクリアして、パラメーター暗号化情報を更新する必要があります。

3. SSN列とSalary列が暗号化されたことを確認するには、データベース接続に対して Always Encrypted が有効になっていない SSMS インスタンスで新しいクエリ ウィンドウを開き、次のステートメントを実行します。 クエリ ウィンドウは、 SSN 列と Salary 列で暗号化された値を返す必要があります。 Always Encrypted が有効な SSMS インスタンスを使用して同じクエリを実行した場合は、復号化されたデータが表示されます。

   SELECT * FROM [HR].[Employees];
   

手順 6:暗号化された列に対して高度なクエリを実行する

暗号化された列に対して高度なクエリを実行できます。 いくつかのクエリ処理は、サーバー側エンクレーブ内で実行されます。

1. Always Encrypted が有効になっている SSMS インスタンスで、Always Encrypted のパラメーター化も有効になっていることを確認します。

   1. SSMS のメイン メニューから [ツール] を選択します。
   2. [オプション...] を選択します。
   3. [クエリ実行]>[SQL Server]>[詳細] の順に移動します。
   4. [Always Encrypted のパラメーター化を有効にする] がオンであることを確認します。
   5. [OK] を選択します。

2. 新しいクエリ ウィンドウを開き、次のクエリを貼り付けて実行します。 クエリでは、指定した検索条件を満たすプレーンテキスト値と行が返されます。

   DECLARE @SSNPattern [char](11) = '%6818';
   DECLARE @MinSalary [money] = $1000;
   SELECT * FROM [HR].[Employees]
   WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
   

3. Always Encrypted が有効になっていない SSMS インスタンスで同じクエリをもう一度試します。 エラーが発生します。

チュートリアル

このチュートリアルを完了すると、次のいずれかのチュートリアルに進むことができます。

• チュートリアル:セキュリティで保護されたエンクレーブが設定された Always Encrypted を使用する .NET アプリケーションの開発」をご覧ください。
• チュートリアル:セキュリティで保護されたエンクレーブが設定された Always Encrypted を使用する .NET Framework アプリケーションの開発
• チュートリアル:ランダム化された暗号化を使用してエンクレーブ対応の列でインデックスを作成して使用する

関連コンテンツ

• セキュリティで保護されたエンクレーブが設定された Always Encrypted を構成して使用する