Включение Always Encrypted с безопасными анклавами в База данных SQL Azure

Применимо к: База данных SQL Azure

В База данных SQL Azure анклавы Always Encrypted с безопасными анклавами могут использовать анклавы Intel Software Guard (Intel SGX) или анклавы безопасности на основе виртуализации (VBS). Дополнительные сведения см. в разделе "Планирование безопасных анклавах" в База данных SQL Azure.

Анклавы Intel SGX

Чтобы использовать в базе данных Intel SGX, для нее должны быть настроены модель с виртуальными ядрами и оборудование серии DC.

Настройку оборудования серии DC для поддержки анклавов Intel SGX следует выполнять администратору Базы данных Azure SQL. Дополнительные сведения см. в разделе "Роли и обязанности" при настройке анклавов Intel SGX и аттестации.

Примечание.

Технология Intel SGX не поддерживается для других конфигураций оборудования, кроме серии DC. Например, Intel SGX недоступен для оборудования стандартной серии (5-го поколения), и он недоступен для баз данных с помощью модели DTU.

Внимание

Прежде чем настраивать оборудование серии DC для базы данных, проверьте доступность серии DC в своем регионе и изучите ограничения производительности для этого оборудования. Подробные сведения см. в разделе о серии DC.

Подробные инструкции по настройке новой или существующей базы данных для использования определенной конфигурации оборудования см. в разделе "Конфигурация оборудования".

Дополнительные сведения см. в статье "Настройка Аттестация Azure для сервера базы данных SQL Azure".

Анклавы VBS

По умолчанию создается новая база данных без анклавов VBS. Чтобы включить анклав VBS в базе данных или эластичном пуле, необходимо задать для свойства базы данныхEnclaveType значение VBS, которое активирует анклав VBS для базы данных или эластичного пула. Вы можете задать предпочтительный параметрEnclaveType при создании новой базы данных или эластичного пула или обновлении существующей базы данных или эластичного пула. Любая база данных, добавляемая в эластичном пуле, наследует свойство анклава от него, например SLO базы данных. Таким образом, если вы добавите базу данных без анклава VBS, включенную в эластичном пуле с поддержкой VBS, эта новая база данных станет частью эластичного пула и анклава VBS будет включена в этой базе данных. Добавление базы данных с анклавами VBS в эластичном пуле без анклавов VBS не поддерживается.

Вы можете задать предпочтительное свойствоEnclaveType с помощью портал Azure, SQL Server Management Studio, Azure PowerShell или Azure CLI.

Включение анклава VBS с помощью портал Azure

Создание базы данных или эластичного пула с анклавом VBS

1. Откройте портал Azure и найдите логический SQL Server, для которого требуется создать базу данных или эластичные пулы с анклавами VBS.

2. Нажмите кнопку "Создать базу данных " или "Создать эластичное пул ".

3. На вкладке "Безопасность" найдите раздел Always Encrypted .

4. Установите для включения безопасных анклавах значение ON. Будет создана база данных с включенным анклавом VBS.

   

Включение анклава VBS для существующей базы данных или эластичного пула

1. Откройте портал Azure и найдите базу данных или эластичные пулы, для которых необходимо включить безопасные анклава.

2. Для существующей базы данных:

   1. В параметрах безопасности выберите "Шифрование данных".

   2. В меню "Шифрование данных" выберите вкладку Always Encrypted.

   3. Установите для включения безопасных анклавах значение ON.

      

   4. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию Always Encrypted.

3. Для существующего эластичного пула:

   1. В разделе "Параметры" выберите "Конфигурация".

   2. В меню "Конфигурация" выберите вкладку Always Encrypted.

   3. Установите для включения безопасных анклавах значение ON.

      

   4. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию Always Encrypted.

Включение анклавов VBS с помощью SQL Server Management Studio

Скачайте последнюю версию SQL Server Management Studio (SSMS).

Создание базы данных с анклавом VBS

1. Откройте SSMS и подключитесь к логическому серверу, где необходимо создать базу данных.
2. Щелкните правой кнопкой мыши папку "Базы данных " и выберите "Создать базу данных".
3. На странице "Настройка SLO" задайте параметр Enable Secure Enclaves to ON. Будет создана база данных с включенным анклавом VBS.

Включение анклава VBS для существующей базы данных

1. Откройте SSMS и подключитесь к логическому серверу, где необходимо изменить базу данных.
2. Щелкните базу данных правой кнопкой мыши и выберите пункт "Свойства".
3. На странице "Настройка SLO" задайте параметр Enable Secure Enclaves to ON.
4. Нажмите кнопку "ОК ", чтобы сохранить свойства базы данных.

Включение анклавов VBS с помощью Azure PowerShell

Создание базы данных или эластичного пула с анклавом VBS

Создайте базу данных с анклавом VBS с помощью командлета New-AzSqlDatabase . В следующем примере создается бессерверная база данных с анклавом VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Создайте новый эластичные пулы с анклавами VBS с помощью командлета New-AzSqlElasticPool . В следующем примере создается эластичные пулы с анклавом VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Включение анклава VBS для существующей базы данных или эластичного пула

Чтобы включить анклав VBS для существующей базы данных, используйте командлет Set-AzSqlDatabase . Приведем пример:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Чтобы включить анклав VBS для существующего эластичного пула, используйте командлет Set-AzSqlElasticPool . Приведем пример:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Включение анклавов VBS с помощью Azure CLI

Создание базы данных или эластичного пула с анклавом VBS

Создайте базу данных с анклавом VBS с помощью командлета az sql db create . В следующем примере создается бессерверная база данных с анклавом VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Создайте новый эластичные пулы с анклавом VBS с помощью командлета az sql elastic-pool create . В следующем примере создается бессерверная база данных с анклавом VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Включение анклава VBS для существующей базы данных или эластичного пула

Чтобы включить анклав VBS для существующей базы данных, используйте командлет az sql db update . Приведем пример:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Чтобы включить анклав VBS для существующего эластичного пула, используйте командлет az sql elastic-pool update . Приведем пример:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

См. также

• Начало работы с Always Encrypted с безопасными анклавами