Självstudie: Komma igång med Always Encrypted med Intel SGX-enklaver i Azure SQL Database

2025-06-11

I den här självstudien lär du dig hur du kommer igång med Always Encrypted med säkra enklaver i Azure SQL Database. Du använder Intel Software Guard-tillägg (Intel SGX) enclaves. Den visar dig:

Så här skapar du en miljö för testning och utvärdering av Always Encrypted med Intel SGX-enklaver.
Så här krypterar du data på plats och utfärdar omfattande konfidentiella frågor mot krypterade kolumner med hjälp av SQL Server Management Studio (SSMS).

Förutsättningar

En aktiv Azure-prenumeration. Om du inte har ett, skapa ett gratis konto. Du måste vara medlem i deltagarrollen eller rollen Ägare för prenumerationen för att kunna skapa resurser och konfigurera en attesteringsprincip.
Valfritt, men rekommenderas för lagring av kolumnhuvudnyckeln för Always Encrypted: ett nyckelvalv i Azure Key Vault. Information om hur du skapar ett nyckelvalv finns i Snabbstart: Skapa ett nyckelvalv med azure-portalen.
- Om nyckelvalvet använder behörighetsmodellen för åtkomstprinciper kontrollerar du att du har följande nyckelbehörigheter i nyckelvalvet: get, list, create, unwrap key, wrap key, verify, sign. Mer information finns i Tilldela en åtkomstprincip för Key Vault.
- Om du använder behörighetsmodellen för rollbaserad åtkomstkontroll (RBAC) i Azure kontrollerar du att du är medlem i Key Vault Crypto Officer roll för ditt nyckelvalv. Se Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.
Den senaste versionen av SQL Server Management Studio (SSMS).

PowerShell-krav

Anmärkning

Kraven som anges i det här avsnittet gäller endast om du väljer att använda PowerShell för några av stegen i den här självstudien. Om du planerar att använda Azure-portalen i stället kan du hoppa över det här avsnittet.

Az PowerShell-modul version 9.3.0 eller senare krävs. Mer information om hur du installerar Az PowerShell-modulen finns i Installera Azure Az PowerShell-modulen. Kör följande kommando från PowerShell för att fastställa vilken version av Az PowerShell-modulen som är installerad på datorn.

Get-InstalledModule -Name Az

Steg 1: Skapa och konfigurera en server och en databas i DC-serien

I det här steget skapar du en ny logisk Azure SQL Database-server och en ny databas med DC-seriens maskinvara, vilket krävs för Always Encrypted med säkra enklaver. Mer information finns i DC-serien.

Portal
PowerShell

Bläddra till sidan Välj SQL-distributionsalternativ .
Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.
Under SQL-databaserlåter du resurstyp vara inställd på Enkel databasoch väljer Skapa.
På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformationoch väljer önskad Azure -prenumeration.
För Resursgruppväljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.
För Databasnamn anger du ContosoHR.
För Serverväljer du Skapa nyoch fyller i formuläret Ny server med följande värden:
- Servernamn: Ange mysqlserveroch lägg till några tecken för unikhet. Vi kan inte ange ett exakt servernamn att använda eftersom servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Så ange något som mysqlserver135, och portalen meddelar dig om det är tillgängligt eller inte.
- Plats: Välj en plats i listrutan.
  
  Viktigt!
  
  Du måste välja en plats (en Azure-region) som stöder både DC-seriens maskinvara och Microsoft Azure Attestation. En lista över regioner som stöder DC-serien finns i TILLGÄNGLIGHET för DC-serien. Här är den regionala tillgängligheten för Microsoft Azure-attestering.
- Autentiseringsmetod: Välj Använd SQL-autentisering
- Inloggning för serveradministratör: Ange ett administratörsinloggningsnamn, till exempel azureuser.
- Lösenord: Ange ett lösenord som uppfyller kraven och ange det igen i fältet Bekräfta lösenord.
- Välj OK.
Skippa Vill du använda elastisk SQL-pool inställd på Nej.
Under Beräkning + lagring väljer du Konfigurera databas och sedan Ändra konfiguration.
Välj maskinvarukonfigurationen i DC-serien och välj sedan OK.
Välj Använd.
På fliken Grundläggande kontrollerar du att Compute + Storage är inställt på Generell användning, DC, 2 virtuella kärnor, 32 GB lagring.
För Redundans för säkerhetskopieringslagring väljer du Lokalt redundant lagring av säkerhetskopior.
Välj Nästa: Nätverk längst ned på sidan.
På fliken Nätverk väljer du offentlig slutpunktför Anslutningsmetod.
För brandväggsregleranger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt att Azure-tjänster och resurser får åtkomst till den här servern anges till Nej.
För Anslutningsprincip lämnar du Anslutningsprincipen till Standard – Använder omdirigeringsprincip för alla klientanslutningar som kommer från Azure och Proxy för alla klientanslutningar som kommer från utanför Azure
För Krypterade anslutningar lämnar du Lägsta TLS-version till TLS 1.2.
Välj Granska och skapa längst ned på sidan.
På sidan Granska + skapa, efter granskning, väljer du Skapa.

Öppna en PowerShell-konsol och importera den nödvändiga versionen av Az PowerShell-modulen.
```
Import-Module "Az" -MinimumVersion "9.3.0"
```

Logga in på Azure. Om det behövs, växla till prenumerationen du använder för den här guiden.

Connect-AzAccount
$subscriptionId = "<your subscription ID>"
$context = Set-AzContext -Subscription $subscriptionId

Skapa en ny resursgrupp.

Viktigt!

Du måste skapa resursgruppen i en region (plats) som stöder både DC-seriens maskinvara och Microsoft Azure Attestation. En lista över regioner som stöder DC-serien finns i TILLGÄNGLIGHET för DC-serien. Här är den regionala tillgängligheten för Microsoft Azure-attestering.
```
$resourceGroupName = "<your new resource group name>"
$location = "<Azure region supporting DC-series and Microsoft Azure Attestation>"
New-AzResourceGroup -Name $resourceGroupName -Location $location
```
Skapa en logisk Azure SQL-server. När du uppmanas till det anger du serveradministratörens namn och ett lösenord. Se till att du kommer ihåg administratörsnamnet och lösenordet – du behöver dem senare för att ansluta till servern.
```
$serverName = "<your server name>" 
New-AzSqlServer -ServerName $serverName -ResourceGroupName $resourceGroupName -Location $location -SqlAdministratorCredentials (Get-Credential)
```

Skapa en brandväggsregel för servern som tillåter åtkomst från det angivna IP-intervallet.

$startIp = "<start of IP range>"
$endIp = "<end of IP range>"
$serverFirewallRule = New-AzSqlServerFirewallRule -ResourceGroupName $resourceGroupName `
 -ServerName $serverName `
 -FirewallRuleName "AllowedIPs" -StartIpAddress $startIp -EndIpAddress $endIp

Skapa en DC-seriedatabas.

$databaseName = "ContosoHR"
$edition = "GeneralPurpose"
$vCore = 2
$generation = "DC"
New-AzSqlDatabase -ResourceGroupName $resourceGroupName `
 -ServerName $serverName `
 -DatabaseName $databaseName `
 -Edition $edition `
 -Vcore $vCore `
 -ComputeGeneration $generation

Steg 2: Konfigurera en attesteringsleverantör

I det här steget skapar och konfigurerar du en attesteringsprovider i Microsoft Azure Attestation. Detta krävs för att intyga den säkra enklaven som databasen använder.

Portal
PowerShell

Bläddra till sidan Skapa attesteringsleverantör.
På sidan Skapa attesteringsprovider anger du följande indata:
- Prenumeration: Välj samma prenumeration som du skapade den logiska Azure SQL-servern i.
- Resursgrupp: Välj samma resursgrupp som du skapade den logiska Azure SQL-servern i.
- Namn: Ange myattestprovider och lägg till några tecken för unikhet. Vi kan inte ange ett exakt attesteringsprovidernamn att använda eftersom namn måste vara globalt unika. Så ange något som myattestprovider12345, och portalen meddelar dig om det är tillgängligt eller inte.
- Plats: Välj samma plats som din logiska Azure SQL-server.
- Policy-signeringscertifikatfil: Lämna det här fältet tomt eftersom du konfigurerar en osignerad policy.
När du har angett den information som krävs väljer du Granska + skapa.
Välj Skapa.
När attesteringsprovidern har skapats väljer du Gå till resurs.
På fliken Översikt för attesteringsleverantören kopierar du värdet av egenskapen Attest URI till Urklipp och sparar det i en fil. Det här är attesterings-URL:en. Du behöver i senare steg.
Välj Princip på resursmenyn till vänster i fönstret eller i det nedre fönstret.
Ange Attesteringstyp till SGX-IntelSDK.
Välj Konfigurera på den övre menyn.
Ange Policyformat till Text. Låt Principalternativ vara inställda på Ange princip.

I fältet Principtext ersätter du standardprincipen med följande princip. Mer information finns i Skapa och konfigurera en attesteringsprovider.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

Välj Spara.
Välj Uppdatera på den övre menyn för att visa den konfigurerade principen.

Kopiera följande attesteringsprincip och spara principen i en textfil (txt). Mer information finns i Skapa och konfigurera en attesteringsprovider.

version= 1.0;
authorizationrules 
{
    [ type=="x-ms-sgx-is-debuggable", value==false ]
     && [ type=="x-ms-sgx-product-id", value==4639 ]
     && [ type=="x-ms-sgx-svn", value>= 2 ]
     && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
 => permit();
};

Skapa en attesteringsleverantör.

$attestationProviderName = "<your attestation provider name>" 
New-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName -Location $location

Tilldela dig själv rollen Attestationsbidragare för attesteringsleverantören för att säkerställa att du har behörighet att konfigurera en attesteringspolicy.

New-AzRoleAssignment -SignInName $context.Account.Id `
 -RoleDefinitionName "Attestation Contributor" `
 -ResourceName $attestationProviderName `
 -ResourceType "Microsoft.Attestation/attestationProviders" `
 -ResourceGroupName $resourceGroupName

Konfigurera din attesteringsprincip.

$policyFile = "<the pathname of the file from step 1 in this section>"
$teeType = "SgxEnclave"
$policyFormat = "Text"
$policy=Get-Content -path $policyFile -Raw
Set-AzAttestationPolicy -Name $attestationProviderName `
 -ResourceGroupName $resourceGroupName `
 -Tee $teeType `
 -Policy $policy `
 -PolicyFormat  $policyFormat

Hämta attesterings-URL:en (attest-URI:n för din attesteringsprovider).

$attestationUrl = (Get-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName).AttestUri
Write-Host "Your attestation URL is: $attestationUrl"

Attesterings-URL:en bör se ut så här: https://myattestprovider12345.eus.attest.azure.net.

Steg 3: Fyll i databasen

I det här steget skapar du en tabell och fyller den med vissa data som du senare krypterar och frågar efter.

Öppna SSMS och anslut till ContosoHR-databasen på den logiska Azure SQL-servern som du skapade utan Always Encrypted aktiverat i databasanslutningen.
1. I dialogrutan Anslut till server anger du det fullständigt kvalificerade namnet på servern (till exempel myserver135.database.windows.net) och anger administratörsanvändarnamnet och lösenordet som du angav när du skapade servern.
2. Välj Alternativ >> och välj fliken Anslutningsegenskaper. Se till att välja ContosoHR- databas (inte standarddatabasen master).
3. Välj fliken Always Encrypted.
4. Kontrollera att kryssrutan Aktivera Always Encrypted (kolumnkryptering) inte är markerad .
5. Välj Anslut.

Skapa en ny tabell med namnet Employees.

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
    [SSN] [char](11) NOT NULL,
    [FirstName] [nvarchar](50) NOT NULL,
    [LastName] [nvarchar](50) NOT NULL,
    [Salary] [money] NOT NULL
) ON [PRIMARY];
GO

Lägg till några poster om medarbetare i tabellen Employees.

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692);

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415);

Steg 4: Etablera enklaveraktiverade nycklar

I det här steget skapar du en kolumnhuvudnyckel och en kolumnkrypteringsnyckel som tillåter enklaverberäkningar.

Med hjälp av SSMS-instansen från föregående steg i Object Explorerexpanderar du databasen och navigerar till Security>Always Encrypted Keys.
Etablera en ny huvudnyckel för enklaveraktiverad kolumn:
1. Högerklicka på Always Encrypted Keys och välj Ny kolumnhuvudnyckel....
2. Ange ett namn för den nya kolumnhuvudnyckeln: CMK1.
3. Kontrollera Tillåt enklaverberäkningar har valts. (Den väljs som standard om en säker enklav är aktiverad för databasen. Den bör vara aktiverad eftersom databasen använder maskinvarukonfigurationen i DC-serien.)
4. Välj antingen Azure Key Vault (rekommenderas) eller Windows Certificate Store (aktuell användare eller lokal dator).
  - Om du väljer Azure Key Vault loggar du in på Azure, väljer en Azure-prenumeration som innehåller ett nyckelvalv som du vill använda och väljer ditt nyckelvalv. Välj Generera nyckel för att skapa en ny nyckel.
  - Om du väljer Windows Certificate Store väljer du knappen Generera certifikat för att skapa ett nytt certifikat.
5. Välj OK.
Skapa en ny enklavaktiverad kolumnkrypteringsnyckel:
1. Högerklicka på Always Encrypted Keys och välj ny kolumnkrypteringsnyckel.
2. Ange ett namn för den nya kolumnkrypteringsnyckeln: CEK1.
3. I listrutan Kolumnhuvudnyckel väljer du den kolumnhuvudnyckel som du skapade i föregående steg.
4. Välj OK.

Steg 5: Kryptera vissa kolumner på plats

I det här steget krypterar du data som lagras i kolumnerna SSN och Salary i enklaven på serversidan och testar sedan en SELECT-fråga på data.

Öppna en ny SSMS-instans och anslut till databasen med Always Encrypted aktiverat för databasanslutningen.
1. Starta en ny instans av SSMS.
2. I dialogrutan Anslut till server anger du det fullständigt kvalificerade namnet på servern (till exempel <server name>.database.windows.net), och anger administratörsanvändarnamnet och lösenordet som du angav när du skapade servern.
3. Välj Alternativ >> och välj fliken Anslutningsegenskaper. Se till att välja ContosoHR- databas (inte standarddatabasen master).
4. Välj fliken Always Encrypted.
5. Markera kryssrutan Aktivera Always Encrypted (kolumnkryptering).
6. Välj Aktivera säkra enklaver. (Det här steget gäller för SSMS 19 eller senare.)
7. Ange Protokoll till Microsoft Azure Attestation. (Det här steget gäller för SSMS 19 eller senare.)
8. Ange din URL för enklav-intygande som du har erhållit genom att följa stegen i Steg 2: Konfigurera en attesteringstjänst.
9. Välj Anslut.
10. Om du uppmanas att aktivera parameterisering för Always Encrypted-frågor väljer du Aktivera.
Med samma SSMS-instans (med Always Encrypted aktiverat) öppnar du ett nytt frågefönster och krypterar kolumnerna SSN och Salary genom att köra följande T-SQL-instruktioner:
```
ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
```
Anmärkning

Observera instruktionen ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE för att rensa frågeplanens cacheminne för databasen i skriptet ovan. När du har ändrat tabellen måste du rensa planerna för alla batchar och lagrade procedurer som har åtkomst till tabellen för att uppdatera krypteringsinformation för parametrar.
Kontrollera att kolumnerna SSN och Salary nu är krypterade genom att öppna ett nytt frågefönster i SSMS-instansen utan Always Encrypted aktiverat för databasanslutningen och köra följande instruktion. Frågefönstret ska returnera krypterade värden i kolumnerna SSN och Salary . Om du kör samma fråga med SSMS-instansen med Always Encrypted aktiverat bör du se dekrypterade data.
```
SELECT * FROM [HR].[Employees];
```

Steg 6: Kör omfattande frågor mot krypterade kolumner

Du kan köra omfattande frågor mot de krypterade kolumnerna. En del frågebearbetning utförs i din säkra miljö i serversidan.

I SSMS-instansen med Always Encrypted aktiverat kontrollerar du att parameterisering för Always Encrypted också är aktiverad.
1. Välj Verktyg på huvudmenyn i SSMS.
2. Välj alternativ....
3. Gå till Frågekörning>SQL Server>Avancerad.
4. Kontrollera att Aktivera parameterisering för Always Encrypted är markerat.
5. Välj OK.

Öppna ett nytt frågefönster, klistra in följande fråga och kör. Frågan ska returnera oformaterade värden och rader som uppfyller de angivna sökvillkoren.

DECLARE @SSNPattern [char](11) = '%6818';
DECLARE @MinSalary [money] = $1000;
SELECT * FROM [HR].[Employees]
WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;

Försök med samma fråga igen i SSMS-instansen som inte har Always Encrypted aktiverat. Ett fel kan inträffa.

Handledningar

När du har slutfört den här självstudien kan du fortsätta med någon av följande självstudier:

Konfigurera och använda Always Encrypted med säkra enklaver