Självstudie: Komma igång med Always Encrypted med VBS-enklaver i Azure SQL Database

Gäller för:Azure SQL Database

I den här självstudien lär du dig hur du kommer igång med Always Encrypted med säkra enklaver i Azure SQL Database med virtualiseringsbaserade säkerhets enklaver (VBS). Den visar dig:

• Så här skapar du en miljö för testning och utvärdering av Always Encrypted med VBS-enklaver.
• Så här krypterar du data på plats och utfärdar omfattande konfidentiella frågor mot krypterade kolumner med hjälp av SQL Server Management Studio (SSMS).

Förutsättningar

• En aktiv Azure-prenumeration. Om du inte har en skapar du ett kostnadsfritt konto. Du måste vara medlem i deltagarrollen eller rollen Ägare för prenumerationen för att kunna skapa resurser.
• Valfritt, men rekommenderas för lagring av kolumnhuvudnyckeln för Always Encrypted: ett nyckelvalv i Azure Key Vault. Information om hur du skapar ett nyckelvalv finns i Snabbstart: Skapa ett nyckelvalv med Hjälp av Azure-portalen.
  • Om nyckelvalvet använder behörighetsmodellen för åtkomstprinciper kontrollerar du att du har följande nyckelbehörigheter i nyckelvalvet: get, list, create, unwrap key, wrap key, verify, sign. Se Tilldela en key vault-åtkomstprincip.
  • Om du använder azure-behörighetsmodellen för rollbaserad åtkomstkontroll (RBAC) kontrollerar du att du är medlem i Key Vault Crypto Officer-rollen för ditt nyckelvalv. Se Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.

Verktygskrav

SQL Server Management Studio (SSMS) krävs för den här självstudien. Du kan välja att använda antingen PowerShell eller Azure CLI för att aktivera VBS-enklaver.

SSMS

Ladda ned den senaste versionen av SQL Server Management Studio (SSMS).

PowerShell

Az PowerShell-modul version 9.3.0 eller senare krävs. Mer information om hur du installerar Az PowerShell-modulen finns i Installera Azure Az PowerShell-modulen. Kör följande kommando från PowerShell för att fastställa vilken version av Az PowerShell-modulen som är installerad på datorn.

Get-InstalledModule -Name Az

Azure CLI

Kontrollera att Azure CLI 2.44.0 eller senare är installerat på datorn. Mer information om hur du installerar Azure CLI finns i Installera Azure CLI. Kör az version för att hitta den installerade versionen och se om du behöver uppdatera.

az version

Steg 1: Skapa och konfigurera en server och en databas

I det här steget skapar du en ny logisk Azure SQL Database-server och en ny databas.

Gå till Snabbstart: Skapa en enkel databas – Azure SQL Database och följ anvisningarna i avsnittet Skapa en enkel databas för att skapa en ny logisk Azure SQL Database-server och en ny databas.

Viktigt!

Se till att du skapar en tom databas med namnet ContosoHR (och inte en exempeldatabas).

Steg 2: Aktivera en VBS-enklav

I det här steget aktiverar du en VBS-enklav i databasen, som krävs för Always Encrypted med säkra enklaver. Om du vill aktivera VBS-enklaver i databasen måste du ange egenskapen preferredEnclaveTypedatabase till VBS.

Portal

1. Öppna Azure-portalen och leta reda på den databas som du vill aktivera säkra enklaver för.

2. I Säkerhetsinställningarna väljer du Datakryptering.

3. Välj fliken Always Encrypted (Alltid krypterad) på menyn Datakryptering.

4. Ange Aktivera säkra enklaver till PÅ. Om den redan är inställd på PÅ fortsätter du med nästa steg.

   

5. Välj Spara för att spara din Always Encrypted-konfiguration.

SSMS

1. Öppna SSMS och anslut den logiska servern där du vill ändra databasen.
2. Högerklicka på databasen och välj Egenskaper.
3. På sidan Konfigurera SLO anger du alternativet Aktivera säkra enklaver till PÅ. Om den redan är inställd på PÅ fortsätter du med nästa steg.
4. Spara databasegenskaperna genom att välja OK .

PowerShell

1. Öppna en PowerShell-konsol och importera den nödvändiga versionen av Az PowerShell-modulen.

   Import-Module "Az" -MinimumVersion "9.3.0"
   

2. Logga in på Azure. Om det behövs växlar du till den prenumeration som du använder för den här självstudien.

   Connect-AzAccount
   $subscriptionId = "<your subscription ID>"
   $context = Set-AzContext -Subscription $subscriptionId
   

3. Aktivera en VBS-enklav i databasen.

   $resourceGroupName = "<your resource group name>"
   $serverName = "<your server name>"
   $databaseName = "ContosoHR"
   
   Set-AzSqlDatabase -ResourceGroupName $resourceGroupName -ServerName $serverName -DatabaseName $databaseName -PreferredEnclaveType VBS
   

Azure CLI

1. Öppna antingen en Windows-kommandotolk (CMD) eller PowerShell och logga in på Azure. Om det behövs växlar du till den prenumeration som du använder för den här självstudien.

   az login
   $subscriptionId = "<your subscription ID>"
   az account set --subscription $subscriptionId
   

2. Aktivera en VBS-enklav i databasen.

   $resourceGroupName = "<your resource group name>"
   $serverName = "<your server name>"
   $databaseName = "ContosoHR"
   
   az sql db update -g $resourceGroupName `
       -s $serverName `
       -n $databaseName `
       --preferred-enclave-type VBS
   

Steg 3: Fyll i databasen

I det här steget skapar du en tabell och fyller den med vissa data som du senare krypterar och frågar efter.

1. Öppna SSMS och anslut till ContosoHR-databasen på den logiska Azure SQL-servern som du skapade utan Always Encrypted aktiverat i databasanslutningen.

   1. I dialogrutan Anslut till server anger du det fullständigt kvalificerade namnet på servern (till exempel myserver135.database.windows.net) och anger administratörsanvändarnamnet och lösenordet som du angav när du skapade servern.

   2. Välj Alternativ >> och välj fliken egenskaper för Anslut ion. Välj ContosoHR-databasen (inte standarddatabasenmaster).

   3. Välj fliken Always Encrypted (Alltid krypterad ).

   4. Kontrollera att kryssrutan Aktivera Always Encrypted (kolumnkryptering) inte är markerad.

      

   5. Välj Anslut.

2. Skapa en ny tabell med namnet Anställda.

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
       [SSN] [char](11) NOT NULL,
       [FirstName] [nvarchar](50) NOT NULL,
       [LastName] [nvarchar](50) NOT NULL,
       [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   GO
   

3. Lägg till några medarbetarposter i tabellen Anställda .

   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('795-73-9838'
           , N'Catherine'
           , N'Abel'
           , $31692);
   
   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('990-00-6818'
           , N'Kim'
           , N'Abercrombie'
           , $55415);
   

Steg 4: Etablera enklaveraktiverade nycklar

I det här steget skapar du en kolumnhuvudnyckel och en kolumnkrypteringsnyckel som tillåter enklaverberäkningar.

1. Med hjälp av SSMS-instansen från föregående steg expanderar du databasen i Object Explorer och navigerar till Always Encrypted-nycklar för säkerhet>.

2. Etablera en ny huvudnyckel för enklaveraktiverad kolumn:

   1. Högerklicka på Always Encrypted Keys (Alltid krypterade nycklar ) och välj Ny kolumnhuvudnyckel....
   2. Ange ett namn på den nya kolumnhuvudnyckeln: CMK1.
   3. Kontrollera att Tillåt enklaverberäkningar har valts. (Den väljs som standard om en säker enklav är aktiverad för databasen – den bör vara aktiverad eftersom databasen använder dc-seriens maskinvarukonfiguration.)
   4. Välj antingen Azure Key Vault (rekommenderas) eller Windows Certificate Store (aktuell användare eller lokal dator).
      • Om du väljer Azure Key Vault loggar du in på Azure, väljer en Azure-prenumeration som innehåller ett nyckelvalv som du vill använda och väljer ditt nyckelvalv. Välj Generera nyckel för att skapa en ny nyckel.
      • Om du väljer Windows Certificate Store väljer du knappen Generera certifikat för att skapa ett nytt certifikat.
   5. Välj OK.

3. Skapa en ny enklavaktiverad kolumnkrypteringsnyckel:

   1. Högerklicka på Always Encrypted Keys (Alltid krypterade nycklar ) och välj Ny kolumnkrypteringsnyckel.
   2. Ange ett namn för den nya kolumnkrypteringsnyckeln: CEK1.
   3. I listrutan Kolumnhuvudnyckel väljer du den kolumnhuvudnyckel som du skapade i föregående steg.
   4. Välj OK.

Steg 5: Kryptera vissa kolumner på plats

I det här steget krypterar du data som lagras i kolumnerna SSN och Salary i enklaven på serversidan och testar sedan en SELECT-fråga på data.

1. Öppna en ny SSMS-instans och anslut till databasen med Always Encrypted aktiverat för databasanslutningen.

   1. Starta en ny instans av SSMS.

   2. I dialogrutan Anslut till server anger du det fullständigt kvalificerade namnet på servern (till exempel myserver135.database.windows.net) och anger administratörsanvändarnamnet och lösenordet som du angav när du skapade servern.

   3. Välj Alternativ >> och välj fliken egenskaper för Anslut ion. Välj ContosoHR-databasen (inte standarddatabasenmaster).

   4. Välj fliken Always Encrypted (Alltid krypterad ).

   5. Markera kryssrutan Aktivera Always Encrypted (kolumnkryptering).

   6. Välj Aktivera säkra enklaver.

   7. Ange Protokoll till Ingen. Se skärmbilden nedan.

      

   8. Välj Anslut.

   9. Om du uppmanas att aktivera parameterisering för Always Encrypted-frågor väljer du Aktivera.

2. Med samma SSMS-instans (med Always Encrypted aktiverat) öppnar du ett nytt frågefönster och krypterar kolumnerna SSN och Salary genom att köra nedanstående instruktioner.

   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [Salary] [money]
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
   

   Kommentar

   INSTRUKTIONEN ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE rensar frågeplanens cacheminne för databasen i skriptet ovan. När du har ändrat tabellen måste du rensa planerna för alla batchar och lagrade procedurer som har åtkomst till tabellen för att uppdatera krypteringsinformation för parametrar.

3. Om du vill kontrollera att kolumnerna SSN och Salary nu är krypterade öppnar du ett nytt frågefönster i SSMS-instansen utan Always Encrypted aktiverat för databasanslutningen och kör instruktionen nedan. Frågefönstret ska returnera krypterade värden i kolumnerna SSN och Salary . Om du kör samma fråga med SSMS-instansen med Always Encrypted aktiverat bör du se dekrypterade data.

   SELECT * FROM [HR].[Employees];
   

Steg 6: Kör omfattande frågor mot krypterade kolumner

Du kan köra omfattande frågor mot de krypterade kolumnerna. Viss frågebearbetning utförs i din enklaver på serversidan.

1. I SSMS-instansen med Always Encrypted aktiverat kontrollerar du att parameterisering för Always Encrypted också är aktiverad.

   1. Välj Verktyg på huvudmenyn i SSMS.
   2. Välj Alternativ....
   3. Navigera till Sql Server>Advanced för frågekörning.>
   4. Kontrollera att Aktivera parameterisering för Always Encrypted är markerat.
   5. Välj OK.

2. Öppna ett nytt frågefönster, klistra in frågan nedan och kör. Frågan ska returnera oformaterade värden och rader som uppfyller de angivna sökvillkoren.

   DECLARE @SSNPattern [char](11) = '%6818';
   DECLARE @MinSalary [money] = $1000;
   SELECT * FROM [HR].[Employees]
   WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
   

3. Försök med samma fråga igen i SSMS-instansen som inte har Always Encrypted aktiverat. Ett fel bör inträffa.

Nästa steg

När du har slutfört den här självstudien kan du gå till någon av följande självstudier:

• Självstudie: Utveckla ett .NET-program med Always Encrypted med säkra enklaver
• Självstudie: Utveckla ett .NET Framework-program med Always Encrypted med säkra enklaver
• Självstudie: Skapa och använda index för enklaveraktiverade kolumner med randomiserad kryptering

Se även

• Konfigurera och använda Always Encrypted med säkra enklaver