Azure SQL Database 보안 enclave에 Always Encrypted 활성화

적용 대상:Azure SQL Database

Azure SQL Database에서 보안 enclave의 Always Encrypted에는 Intel SGX(Intel Software Guard Extensions) enclave 또는 VBS(Virtualization-based Security)를 사용할 수 있습니다. 자세한 내용은 Azure SQL Database의 보안 Enclave 플랜을 참조하세요.

Intel SGX enclave

Intel SGX를 사용할 수 있으려면 데이터베이스가 vCore 모델 및 DC 시리즈 하드웨어를 사용해야 합니다.

Intel SGX enclave를 사용하도록 DC 시리즈 하드웨어를 구성하는 것은 Azure SQL Database 관리자의 책임입니다. Intel SGX enclave 및 증명 구성할 때 필요한 역할 및 책임을 참조하세요.

참고 항목

Intel SGX는 DC 시리즈 이외의 하드웨어 구성에서는 사용할 수 없습니다. 예를 들어 Intel SGX는 표준 시리즈(Gen5) 하드웨어에 사용할 수 없으며 DTU 모델을 사용하는 데이터베이스에 사용할 수 없습니다.

중요

데이터베이스에 대한 DC 시리즈 하드웨어를 구성하기 전에 DC 시리즈의 지역별 가용성을 확인하고 성능 제한 사항을 이해하고 있는지 확인합니다. 자세한 내용은 DC 시리즈를 참조하세요.

특정 하드웨어 구성을 사용하도록 신규 또는 기존 데이터베이스를 구성하는 방법에 대한 자세한 지침은 하드웨어 구성을 참조하세요.

다음 단계

• Azure SQL 데이터베이스 서버에 대한 Azure Attestation 구성

VBS enclave

기본적으로 새 데이터베이스는 VBS enclave 없이 만들어집니다. 데이터베이스 또는 탄력적 풀에서 VBS enclave를 사용하도록 설정하려면 preferredEnclaveType데이터베이스 속성을 VBS로 설정해야 합니다. 이 속성은 데이터베이스 또는 탄력적 풀에 대한 VBS enclave를 활성화합니다. preferredEnclaveType은 새 데이터베이스 또는 탄력적 풀을 만들 때 설정할 수 있으며, 기존 데이터베이스 또는 탄력적 풀을 업데이트하여 설정할 수도 있습니다. 탄력적 풀에 추가하는 모든 데이터베이스는 SLO 데이터베이스와 같이 enclave 속성을 상속합니다. 따라서 VBS enclave가 활성화되지 않은 데이터베이스를 VBS가 활성화된 탄력적 풀에 추가하는 경우, 이 새 데이터베이스는 탄력적 풀의 일부가 되며 이 데이터베이스에서 VBS enclave가 활성화됩니다. VBS enclave가 활성화되지 않은 탄력적 풀에는 VBS enclave가 활성화된 데이터베이스를 추가할 수 없습니다.

Azure Portal, SQL Server Management Studio, Azure PowerShell 또는 Azure CLI를 사용하여 preferredEnclaveType 속성을 설정할 수 있습니다.

Azure Portal을 사용하여 VBS Enclave 활성화하기

VBS Enclave를 사용하여 새 데이터베이스 또는 탄력적 풀 만들기

1. Azure portal을 열고 VBS enclave가 포함된 데이터베이스 또는 탄력적 풀을 만들 논리 SQL Server를 검색합니다.

2. 데이터베이스 만들기 또는 새 탄력적 풀 버튼을 선택합니다.

3. 보안 탭에서 Always Encrypted 섹션을 찾습니다.

4. 보안 enclave를 ON으로 설정합니다. 이렇게 하면 VBS enclave가 활성화된 데이터베이스가 생성합니다.

   

기존 데이터베이스 또는 탄력적 풀에 대해 VBS enclave 사용

1. Azure Portal을 열고 보안 enclave를 활성화할 데이터베이스 또는 탄력적 풀을 찾습니다.

2. 기존 데이터베이스:

   1. 보안 설정에서 데이터 암호화를 선택합니다.

   2. 데이터 암호화 메뉴에서 Always Encrypted 탭을 선택합니다.

   3. 보안 enclave를 ON으로 설정합니다.

      

   4. 저장을 선택하여 Always Encrypted 구성을 저장합니다.

3. 기존 탄력적 풀:

   1. 설정에서 구성을 선택합니다.

   2. 구성 메뉴에서 Always Encrypted 탭을 선택합니다.

   3. 보안 enclave를 ON으로 설정합니다.

      

   4. 저장을 선택하여 Always Encrypted 구성을 저장합니다.

SQL Server Management Studio를 사용하여 VBS Enclave 사용하기

최신 버전의 SQL Server Management Studio(SSMS)를 다운로드하세요.

VBS enclave를 사용하여 새 데이터베이스 만들기

1. SSMS를 열고 데이터베이스를 만들 논리 서버에 연결합니다.
2. 데이터베이스를 마우스 오른쪽 단추로 클릭하고 새 데이터베이스를 선택합니다.
3. SLO 구성 페이지에서 보안 Enclave 활성화 옵션을 ON으로 설정합니다. 이렇게 하면 VBS enclave가 활성화된 데이터베이스가 생성합니다.

기존 데이터베이스 VBS Enclave 활성화

1. SSMS를 열고 데이터베이스를 수정하려는 논리 서버에 연결합니다.
2. 데이터베이스를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
3. SLO 구성 페이지에서 보안 enclave 활성화 옵션을 ON으로 설정합니다.
4. 확인을 선택하여 데이터베이스 속성을 저장합니다.

Azure PowerShell을 사용하여 VBS enclave 활성화하기

VBS Enclave를 사용하여 새 데이터베이스 또는 탄력적 풀 만들기

New-AzSqlDatabase cmdlet을 사용하여 VBS enclave가 포함된 데이터베이스를 만듭니다. 다음 명령은 VBS enclave가 활성화된 서버리스 데이터베이스를 만듭니다.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

New-AzSqlDatabase cmdlet을 사용하여 VBS enclave가 포함된 데이터베이스를 만듭니다. 다음 예제에서는 VBS enclave를 사용하여 탄력적 풀을 만듭니다.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

기존 데이터베이스 또는 탄력적 풀에 대해 VBS enclave 사용

기존 데이터베이스에 VBS enclave를 활성화하려면 Set-AzSqlDatabase cmdlet을 사용하세요. 예를 들면 다음과 같습니다.

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

기존 탄력적 풀에 VBS enclave를 활성화하려면 Set-AzSqlElasticPoo cmdlet을 사용하세요. 예를 들면 다음과 같습니다.

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Azure CLI 을 사용하여 VBS Enclave 활성화하기

VBS Enclave를 사용하여 새 데이터베이스 또는 탄력적 풀 만들기

az sql db create cmdlet을 사용하여 VBS enclave가 활성화된 새 데이터베이스를 만듭니다. 다음 명령은 VBS enclave가 활성화된 서버리스 데이터베이스를 만듭니다.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

az sql elastic-pool create cmdlet을 사용하여 VBS enclave가 활성화된 새 탄력적 풀을 만듭니다. 다음 명령은 VBS enclave가 활성화된 서버리스 데이터베이스를 만듭니다.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

기존 데이터베이스 또는 탄력적 풀에 대해 VBS enclave 사용

기존 데이터베이스에 VBS enclave를 활성화하려면 az sql db update cmdlet을 사용하세요. 예를 들면 다음과 같습니다.

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

기존 탄력적 풀에 VBS enclave를 활성화하려면 az sql elastic-pool update cmdlet을 사용하세요. 예를 들면 다음과 같습니다.

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

참고 항목

• 보안 Enclave로 Always Encrypted 사용