Utveckla program med Always Encrypted med säkra enklaver

Gäller för: SQL Server 2019 (15.x) och senare versioner i Windows Azure SQL Database

Always Encrypted med säkra enklaver utökar Always Encrypted för att möjliggöra rikare funktionalitet för programfrågor om krypterade känsliga databaskolumner. Den använder säkra enklavertekniker så att frågeexekutor i databasmotorn kan delegera beräkningar på krypterade kolumner till en säker enklav i databasmotorprocessen.

Förutsättningar

Din miljö måste uppfylla följande krav för att stödja Always Encrypted med säkra enklaver.

• SQL Server-instansen eller databasservern i Azure SQL Database måste vara korrekt konfigurerad för att stödja enklaver och attestering, om tillämpligt/nödvändigt. Mer information finns i Konfigurera den säkra enklaven och attesteringen.
• Se till att din applikation:

  • Använder en klientdrivrutinsversion som stöder Always Encrypted med säkra enklaver.

  • Aktiverar Always Encrypted när du ansluter till databasen.

  • Ange ett attesteringsprotokoll som avgör om klientdrivrutinen måste verifiera enklaven innan enklavförfrågningar skickas, och i så fall vilken attesteringsservice den ska använda. De senaste drivrutinsversionerna stöder följande attesteringsprotokoll:

    • Microsoft Azure Attestation – framtvingar attestering med hjälp av Microsoft Azure Attestation.
    • Tjänsten Värdskydd – framtvingar attestering med hjälp av Tjänsten Värdskydd.
    • Ingen – tillåter användning av enklaver utan attestering.

    Tabellen nedan anger attesteringsprotokoll som är giltiga för vissa SQL-produkter och enklaver:

    Produkt	Enklavteknik	Attesteringsprotokoll som stöds
    SQL Server 2019 (15.x) och senare	VBS-enklaver	Värdskyddstjänst, ingen
    Azure SQL Database	SGX-enklaver (i DC-seriens databaser)	Microsoft Azure Attestation (ett tjänst för verifiering av tillförlitlighet inom cloud computing)
    Azure SQL Database	VBS-enklaver	None

  • Anger en attesterings-URL som är giltig för din miljö, om du använder attestering.

    • Om du använder SQL Server och Host Guardian Service (HGS) kan du läsa Fastställa och dela HGS-attesterings-URL:en.
    • När du använder Azure SQL Database med Intel SGX-enklaver och Microsoft Azure Attestation, kan du se Fastställ attesteringsadress för din verifieringspolicy.

Klientdrivrutiner för Always Encrypted med säkra enklaver

För att utveckla program med Always Encrypted med säkra enklaver behöver du en SQL-klientdrivrutinsversion som stöder säkra enklaver. Klientdrivrutinen spelar följande viktiga roll:

• Innan du skickar en fråga som använder en säker enklav till SQL Server eller Azure SQL Database för körning initierar drivrutinen enklavattestering (om den är konfigurerad) för att verifiera att den säkra enklaven är tillförlitlig och kan användas på ett säkert sätt för att bearbeta känsliga data. Mer information om attestering finns i Säker enklavattestering.
• Klientdrivrutinen upprättar en säker session med enklaven genom att förhandla om en delad hemlighet.
• Drivrutinen använder den delade hemligheten för att kryptera kolumnkrypteringsnycklarna som enklaven behöver för att bearbeta frågan och skickar nycklarna till SQL Server, som vidarebefordrar dem till den säkra enklaven som dekrypterar nycklarna.
• Slutligen skickar förarprogrammet frågan för exekvering, vilket utlöser beräkningar i den säkra enklaven.

Följande klientdrivrutiner stöder Always Encrypted med säkra enklaver:

• Microsoft .NET Data Provider för SQL Server i .NET Framework 4.6 eller senare och .NET Core 2.1 eller senare. Om du vill använda VBS-enklaver utan attestering krävs version 4.1 eller senare, vilket är kompatibelt med .NET Framework 4.6.1 eller senare och .NET Core 3.1.

  • Mer information finns i Använda Always Encrypted med Microsoft .NET Data Provider för SQL Server.
  • En stegvis självstudiekurs finns i Självstudie: Utveckla ett .NET-program med Always Encrypted med säkra enklaver.
  • Se även Exempel som visar användning av Azure Key Vault-providern och Always Encrypted med säkra enklaver.

• Microsoft ODBC-drivrutin för SQL Server, version 17.4 eller senare. Om du vill använda VBS-enklaver utan attestering krävs version 18.1 eller senare.

  • Mer information finns i Använda Always Encrypted med ODBC-drivrutinen.
  • Information om hur du aktiverar enklaverberäkningar för en databasanslutning med ODBC finns i avsnittet Aktivera Always Encrypted med säkra enklaver .

• Microsoft JDBC-drivrutin för SQL Server, version 8.2 eller senare. Om du vill använda VBS-enklaver utan attestering krävs version 12.2 eller senare.

  • Mer information finns i Använda Always Encrypted med säkra enklaver med JDBC-drivrutinen

• .NET Framework Data Provider för SQL Server i .NET Framework 4.7.2 eller senare.

  • Mer information finns i Använda Always Encrypted med .NET Framework Data Provider för SQL Server.
  • En stegvis självstudie finns i Självstudie: Utveckla ett .NET Framework-program med Always Encrypted med säkra enklaver

  Anmärkning

  Användning av .NET Framework-dataprovidern för SQL Server (System.Data.SqlClient) rekommenderas inte för ny utveckling. Mer information finns i System.Data.SqlClient.

Se även

• Felsöka vanliga problem med Always Encrypted och säkerhetsenklaver