Compartilhar via


Girar chaves habilitadas para enclave

Aplica-se a: SQL Server 2019 (15.x) e versões posteriores – Somente Windows Banco de Dados SQL do Azure

No Always Encrypted, uma rotação de chave é um processo de substituição de uma chave mestra de coluna ou uma chave de criptografia de coluna existente por uma nova chave. Este artigo descreve casos de uso e considerações para a rotação de chaves específicas do Always Encrypted com enclaves seguros quando a chave inicial e/ou a (nova) chave de destino é uma chave habilitada para enclave. Para obter diretrizes gerais e processos para gerenciar as chaves do Always Encrypted, confira Visão geral do gerenciamento de chaves do Always Encrypted.

Talvez seja necessário girar uma chave por motivos de segurança ou conformidade. Por exemplo, se uma chave é comprometida ou se as políticas da sua organização exigem a substituição das chaves periodicamente. Além disso, o Always Encrypted com a rotação de chaves de enclaves seguros fornece uma maneira de habilitar ou desabilitar a funcionalidade do enclave seguro do servidor para as colunas criptografadas.

  • Ao substituir uma chave que não está habilitada para enclave por uma chave habilitada para enclave, você desbloqueia a funcionalidade do enclave seguro para consultas em colunas que estão protegidas com a chave. Para obter mais informações, confira Habilitar o Always Encrypted com enclaves seguros para as colunas criptografadas existentes.
  • Ao substituir uma chave habilitada para enclave por uma chave que não está habilitada para enclave, você desabilita a funcionalidade do enclave seguro para consultas em colunas que estão protegidas com a chave.

Se você estiver girando uma chave apenas por motivos de segurança/conformidade e não para habilitar ou desabilitar computações de enclave para as colunas, verifique se a chave de destino tem a mesma configuração em relação aos enclaves que a chave de origem. Por exemplo, se a chave de origem está habilitada para enclave, a chave de destino também deve estar habilitada para enclave.

As etapas abaixo incluem links para artigos detalhados, dependendo do cenário de rotação:

  1. Provisionar uma nova chave (uma chave mestra de coluna ou uma chave de criptografia de coluna).
  2. Substitua uma chave existente pela nova chave.

Próximas etapas

Confira também