Girar chaves habilitadas para enclave

Aplica-se a: SQL Server 2019 (15.x) e versões posteriores – Somente Windows Banco de Dados SQL do Azure

No Always Encrypted, uma rotação de chave é um processo de substituição de uma chave mestra de coluna ou uma chave de criptografia de coluna existente por uma nova chave. Este artigo descreve casos de uso e considerações para a rotação de chaves específicas do Always Encrypted com enclaves seguros quando a chave inicial e/ou a (nova) chave de destino é uma chave habilitada para enclave. Para obter diretrizes gerais e processos para gerenciar as chaves do Always Encrypted, confira Visão geral do gerenciamento de chaves do Always Encrypted.

Talvez seja necessário girar uma chave por motivos de segurança ou conformidade. Por exemplo, se uma chave é comprometida ou se as políticas da sua organização exigem a substituição das chaves periodicamente. Além disso, o Always Encrypted com a rotação de chaves de enclaves seguros fornece uma maneira de habilitar ou desabilitar a funcionalidade do enclave seguro do servidor para as colunas criptografadas.

• Ao substituir uma chave que não está habilitada para enclave por uma chave habilitada para enclave, você desbloqueia a funcionalidade do enclave seguro para consultas em colunas que estão protegidas com a chave. Para obter mais informações, confira Habilitar o Always Encrypted com enclaves seguros para as colunas criptografadas existentes.
• Ao substituir uma chave habilitada para enclave por uma chave que não está habilitada para enclave, você desabilita a funcionalidade do enclave seguro para consultas em colunas que estão protegidas com a chave.

Se você estiver girando uma chave apenas por motivos de segurança/conformidade e não para habilitar ou desabilitar computações de enclave para as colunas, verifique se a chave de destino tem a mesma configuração em relação aos enclaves que a chave de origem. Por exemplo, se a chave de origem está habilitada para enclave, a chave de destino também deve estar habilitada para enclave.

As etapas abaixo incluem links para artigos detalhados, dependendo do cenário de rotação:

1. Provisionar uma nova chave (uma chave mestra de coluna ou uma chave de criptografia de coluna).
   • Para provisionar uma nova chave habilitada para enclave, confira Provisionar chaves habilitadas para enclave.
   • Para provisionar uma chave que não está habilitada para enclave, confira Provisionar chaves do Always Encrypted usando o SQL Server Management Studio e Provisionar chaves do Always Encrypted usando o PowerShell.
2. Substitua uma chave existente pela nova chave.
   • Se você estiver girando uma chave de criptografia de coluna e a chave de origem e a chave de destino estiverem habilitadas para enclave, execute a rotação (que envolve a nova criptografia dos dados) in-loco. Para obter mais informações, confira Configurar a criptografia de coluna in-loco usando o Always Encrypted com enclaves seguros.
   • Para obter etapas detalhadas para girar as chaves, confira Girar chaves do Always Encrypted usando o SQL Server Management Studio e Girar chaves do Always Encrypted usando o PowerShell.

Próximas etapas

• Executar instruções Transact-SQL usando os enclaves seguros
• Configurar a criptografia de coluna in-loco usando o Always Encrypted com enclaves seguros
• Habilitar o Always Encrypted com enclaves seguros para as colunas criptografadas existentes
• Desenvolver aplicativos usando o Always Encrypted com enclaves seguros

Confira também

• Gerenciar chaves para Always Encrypted com enclaves seguros