Tutorial: Introdução ao uso de Always Encrypted com enclaves seguros no SQL Server

  • Artigo

Aplica-se a: SQL Server 2019 (15.x) e versões posteriores – Somente Windows

Este tutorial ensina você a começar a usar o Always Encrypted com enclaves seguros no SQL Server. Ela mostrará a você:

  • Como criar um ambiente básico para testar e avaliar o Always Encrypted com enclaves seguros sem atestado configurado para enclaves.
  • Como criptografar dados in-loco e emitir consultas confidenciais avançadas em colunas criptografadas usando o SSMS (SQL Server Management Studio).

Se você quiser aprender a configurar o Always Encrypted com enclaves seguros usando o Serviço Guardião de Host para atestado de enclave, consulte Tutorial: Introdução ao uso do Always Encrypted com enclaves seguros no SQL Server com atestado usando HGS

Pré-requisitos

O computador que hospeda sua instância do SQL Server (conhecido como computador SQL Server) precisa atender aos seguintes requisitos:

  • SQL Server 2019 (15.x) ou posterior.
  • Windows 10 ou posteriores, Windows Server 2019 ou posteriores.
  • Suporte de CPU para tecnologias de virtualização:
    • Intel VT-x com Tabelas de Página Estendida.
    • AMD-V com Indexação de Virtualização Rápida.
    • Se você estiver executando o SQL Server em uma VM:
      • No Azure, use um tamanho de VM de Geração 2 (recomendado) ou use um tamanho de VM de Geração 1 com virtualização aninhada habilitada. Verifique a documentação de tamanhos de VM individuais para determinar quais tamanhos de VM de Geração 1 dão suporte à virtualização aninhada.
      • No Hyper-V 2016 ou posterior (fora do Azure), verifique se a sua VM é de Geração 2 (recomendado) ou se é uma VM de Geração 1 com virtualização aninhada habilitada. Para saber mais informações, confira Devo criar uma máquina virtual de geração 1 ou 2 no Hyper-V? e Configurar virtualização aninhada.
      • No VMware vSphere 6.7 ou posterior, habilite o suporte à Segurança Baseada em Virtualização para a VM, conforme descrito na documentação da VMware.
      • Outros hipervisores e nuvens públicas podem dar suporte a recursos de virtualização aninhados que também permitem Always Encrypted com enclaves de VBS. Verifique a documentação da solução de virtualização para obter instruções sobre compatibilidade e configuração.
  • A versão mais recente do SSMS (SQL Server Management Studio). Como alternativa, é possível instalar o SSMS em outro computador.

Aviso

Em ambientes de produção, executar o SSMS ou outras ferramentas de gerenciamento de chaves no computador do SQL Server pode reduzir os benefícios de segurança do uso de Always Encrypted. Em geral, é recomendável executar essas ferramentas em um computador diferente. Para obter mais informações, consulte Considerações de Segurança para o Gerenciamento de Chaves.

Etapa 1: Verifique se a segurança baseada em virtualização (VBS) está habilitada

  1. Entre no computador SQL Server como administrador, abra um console elevado do Windows PowerShell e execute msinfo32.exe. Verifique se o VBS está em execução. Se o VBS estiver em execução, ignore as etapas restantes nesta seção e vá para a próxima seção.

    Screenshot of the System Information virtualization-based security details.

  2. Habilite o VBS executando o seguinte cmdlet em uma sessão do PowerShell.

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1

  3. Se o computador do SQL Server for uma máquina virtual, um computador físico que não dê suporte à Inicialização Segura da UEFI ou um computador físico não equipado com IOMMU, será preciso remover o requisito de SBV dos recursos de segurança da plataforma. Remova o requisito de inicialização segura e IOMMU executando o seguinte comando em seu computador SQL Server em um console do PowerShell com privilégios elevados:

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name RequirePlatformSecurityFeatures -Value 0

  4. Reinicie o computador SQL Server novamente para que o VBS fique online.

    Restart-Computer

  5. Repita a etapa 1 para verificar se o VBS está em execução.

Etapa 2: habilitar o Always Encrypted com enclaves seguros no SQL Server

Nesta etapa, você habilitará a funcionalidade de Always Encrypted usando enclaves na sua instância do SQL Server.

  1. Usando o SSMS, conecte-se à instância do SQL Server como sysadmin sem Always Encrypted habilitado para a conexão de banco de dados.

    1. Inicie o SSMS.

    2. Na caixa de diálogo Conectar ao servidor, especifique o nome do servidor, selecione um método de autenticação e especifique suas credenciais.

    3. Selecione Opções >> e escolha a guia Always Encrypted.

    4. Verifique se a caixa de seleção Habilitar o Always Encrypted (criptografia de coluna)não está selecionada.

      Screenshot of the SSMS connection option for Always Encrypted disabled.

    5. Selecione Conectar.

  2. Abra uma nova janela de consulta e execute a instrução abaixo para definir o tipo de enclave seguro para VBS (Segurança Baseada em Virtualização).

    EXEC sys.sp_configure 'column encryption enclave type', 1;
RECONFIGURE;

  3. Reinicie a instância do SQL Server para que as alterações anteriores entrem em vigor. Para reiniciar a instância no SSMS, clique nela com o botão direito do mouse no Pesquisador de Objetos e selecionando Reiniciar. Após a instância ser reiniciada, conecte-se a ela novamente.

  4. Confirme que o enclave seguro está carregado executando a consulta a seguir:

    SELECT [name], [value], [value_in_use] FROM sys.configurations
WHERE [name] = 'column encryption enclave type';

    A consulta deve retornar o resultado a seguir:

    name value value_in_use
    column encryption enclave type 1 1

Etapa 3: criar banco de dados de exemplo

Nesta etapa, você criará um banco de dados com alguns dados de exemplo, os quais você criptografará mais tarde.

  1. Usando a instância do SSMS da etapa anterior, execute a instrução abaixo em uma janela de consulta para criar um novo banco de dados denominado ContosoHR.

    CREATE DATABASE [ContosoHR];

  2. Crie uma nova tabela denominada Funcionários.

    USE [ContosoHR];
GO

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
    [SSN] [char](11) NOT NULL,
    [FirstName] [nvarchar](50) NOT NULL,
    [LastName] [nvarchar](50) NOT NULL,
    [Salary] [money] NOT NULL
) ON [PRIMARY];

  3. Adicione alguns registros de funcionários à tabela Funcionários.

    USE [ContosoHR];
GO

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692);

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415);

Etapa 4: Provisionar chaves habilitadas para enclave

Nesta etapa, você criará uma chave mestra de coluna e uma chave de criptografia de coluna que permitem computações de enclave.

  1. Usando a instância de SSMS da etapa anterior, no Pesquisador de Objetos, expanda o banco de dados e navegue até Segurança>Chaves Always Encrypted.

  2. Provisione uma nova chave mestra da coluna habilitada para enclave:

    1. Clique com o botão direito do mouse em Chaves Always Encrypted e selecione Nova chave mestra da coluna... .

    2. Selecione o nome da sua chave mestra da coluna: CMK1.

    3. Certifique-se de selecionar Repositório de certificados do Windows (usuário atual ou computador local) ou Azure Key Vault.

    4. Selecione Permitir computações de enclave.

    5. Se tiver selecionado o Azure Key Vault, entre no Azure e selecione seu cofre de chaves. Para obter mais informações sobre como criar um cofre de chaves para Always Encrypted, veja Gerenciar cofres de chaves do portal do Azure.

    6. Selecione o certificado ou a chave Valor da Chave do Azure se ele já existir ou clique no botão Gerar Certificado para criar um.

    7. Selecione OK.

      Screenshot of the allow enclave computations selection in SSMS when creating a new column master key.

  3. Crie uma nova chave de criptografia de coluna habilitada para enclave:

    1. Clique com o botão direito do mouse em Chaves Always Encrypted e selecione Nova chave de criptografia da coluna.
    2. Insira um nome para a nova chave de criptografia da coluna: CEK1.
    3. No menu suspenso Chave mestra da coluna, selecione a chave mestra da coluna criada nas etapas anteriores.
    4. Selecione OK.

Etapa 5: Criptografar algumas colunas em vigor

Nesta etapa, você criptografará os dados armazenados nas colunas SSN e Salário dentro do enclave do lado do servidor e testará uma consulta SELECT nos dados.

  1. Abra uma nova instância do SSMS e conecte-se à instância do SQL Server com Always Encrypted habilitado para a conexão de banco de dados.

    1. Inicie uma nova instância do SSMS.

    2. Na caixa de diálogo Conectar ao servidor, especifique o nome do servidor, selecione um método de autenticação e especifique suas credenciais.

    3. Selecione Opções >> e escolha a guia Always Encrypted.

    4. Marque a caixa de seleção Habilitar Always Encrypted (criptografia de coluna).

    5. Selecione Habilitar enclaves seguros.

    6. Defina Protocolo como Nenhum.

      Screenshot of the connect to server Always Encrypted tab without attestation using SSMS.

    7. Selecione Conectar.

    8. Se precisar habilitar a parametrização para consultas do Always Encrypted, selecione Habilitar.

  2. Usando a mesma SSMS da instância (com Always Encrypted habilitado), abra uma nova janela de consulta e criptografe as colunas SSN e Salário executando as consultas abaixo.

    USE [ContosoHR];
GO

ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;

    Observação

    Observe a instrução ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE para limpar o cache do plano de consulta para o banco de dados no script acima. Depois que você tiver alterado a tabela, será necessário limpar os planos para todos os lotes e procedimentos armazenados que acessam a tabela, para atualizar as informações de criptografia de parâmetros.

  3. Para verificar se agora as colunas SSN e Salário estão criptografadas, abra uma nova janela de consulta na instância do SSMS sem Always Encrypted habilitado para a conexão de banco de dados e execute a instrução abaixo. A janela de consulta deve retornar valores criptografados nas colunas SSN e Salário. Se você executar a mesma consulta usando a instância do SSMS com o Always Encrypted habilitado, você deve ver os dados descriptografados.

    SELECT * FROM [HR].[Employees];

Etapa 6: Executar consultas avançadas em colunas criptografadas

Agora você pode executar consultas avançadas nas colunas criptografadas. Algum processamento de consulta será executado dentro de seu enclave do lado do servidor.

  1. Na instância do SSMS com Always Encrypted habilitado, verifique se a parametrização de Always Encrypted também está habilitada.

    1. Selecione Ferramentas no menu principal do SSMS.
    2. Selecione Opções... .
    3. Navegue para Execução da Consulta>SQL Server>Avançado.
    4. A opção Habilitar Parametrização do Always Encrypted precisa estar marcada.
    5. Selecione OK.

  2. Abra uma nova janela de consulta, cole e execute a consulta abaixo. A consulta deve retornar valores de texto sem formatação e linhas que atendem a critérios de pesquisa especificados.

    DECLARE @SSNPattern [char](11) = '%6818';
DECLARE @MinSalary [money] = $1000;
SELECT * FROM [HR].[Employees]
WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;

  3. Tente fazer a mesma consulta novamente na instância do SSMS que não tem o Always Encrypted habilitado e observe a falha que ocorre.

Próximas etapas

Depois de concluir este tutorial, você pode ir para um dos seguintes tutoriais:

Consulte também