Aktivera Always Encrypted med säkra enklaver för befintliga krypterade kolumner

Gäller för: SQL Server 2019 (15.x) och senare versioner i Windows Azure SQL Database

Den här artikeln beskriver hur du låser upp funktionerna i Always Encrypted med säkra enklaver och aktiverar enklaverberäkningar för befintliga krypterade kolumner.

Om du har befintliga kolumner krypterade med nycklar som inte är enklaveraktiverade kan du göra kolumnerna krypterade med enklaveraktiverade nycklar. Genom att göra så kan du använda säker enklav i frågor om dina kolumner.

Du kan aktivera enklaverberäkningar för befintliga krypterade kolumner på några olika sätt, beroende på:

• Omfattning/kornighet: Vill du aktivera enklaverfunktionen för en delmängd av kolumner eller för alla kolumner som skyddas med en viss kolumnhuvudnyckel?
• Datastorlek: Vilken är storleken på de tabeller som innehåller de kolumner som du vill göra enklaver aktiverade?
• Vill du också ändra krypteringstypen för dina kolumner? Kom ihåg att endast randomiserad kryptering stöder omfattande beräkningar (mönstermatchning, jämförelseoperatorer). Om kolumnen krypteras med deterministisk kryptering måste du även kryptera den igen med randomiserad kryptering för att låsa upp omfattande beräkningar.

I följande avsnitt beskrivs de tre metoderna för att aktivera enklaver för befintliga kolumner.

Metod 1: Rotera kolumnhuvudnyckeln för att ersätta den med en enklavaktiverad kolumnhuvudnyckel

Om du ersätter en befintlig kolumnhuvudnyckel (som inte är enklavaktiverad) med en ny kolumnhuvudnyckel som är enklavaktiverad blir alla kolumnkrypteringsnycklar (associerade med kolumnhuvudnyckeln) även enklaveraktiverade.

• Fördelar

  • Innebär inte omkryptering av data, så det är vanligtvis den snabbaste metoden. Det är en rekommenderad metod för kolumner som innehåller stora mängder data, som redan är aktiverade för omfattande beräkningar och använder deterministisk kryptering.
  • Kan aktivera enklaverfunktionen för flera kolumner i stor skala. Om du ersätter kolumnhuvudnyckeln med den enklavaktiverade kolumnhuvudnyckeln blir alla kolumnkrypteringsnycklar och alla krypterade kolumner associerade med den ursprungliga kolumnhuvudnyckeln, enklavaktiverad.

• Nackdelar:

  • Stöder inte ändring av krypteringstypen från deterministisk till randomiserad. Även om det låser upp kryptering på plats för kolumner som krypterats med deterministisk kryptering, möjliggör det inte omfattande beräkningar. Du måste kryptera om kolumnerna med hjälp av randomiserad kryptering.
  • Tillåter inte att du selektivt konverterar vissa av kolumnerna som är associerade med en viss kolumnhuvudnyckel.
  • Introducerar viktiga hanteringskostnader. Du måste skapa en ny kolumnhuvudnyckel och göra den tillgänglig för program som kör frågor mot de berörda kolumnerna.

Information om hur du roterar en kolumnhuvudnyckel finns i Rotera enklaveraktiverade nycklar.

Metod 2: Rotera kolumnhuvudnyckeln och omkryptera kolumner med randomiserad kryptering på plats

Den här metoden innebär att köra metod 1 som det första steget och sedan kryptera kolumnerna igen. Kolumnerna börjar med deterministisk kryptering och krypteras sedan om med randomiserad kryptering för att låsa upp omfattande frågor.

• Fördelar

  • Krypterar om data på plats. Det är en rekommenderad metod om du behöver aktivera omfattande frågor för krypterade kolumner som för närvarande använder deterministisk kryptering och innehåller stora mängder data. Steg 1 (kolumnhuvudnyckelrotation) låser upp kryptering på plats för kolumner med deterministisk kryptering, och steg 2 (omkryptering av kolumner) kan utföras på plats.
  • Kan aktivera enklaverfunktionen för flera kolumner i stor skala.

• Nackdelar:

  • Tillåter inte att du selektivt konverterar vissa av kolumnerna som är associerade med en viss kolumnhuvudnyckel.
  • Den introducerar viktiga hanteringskostnader. Du måste skapa en ny kolumnhuvudnyckel och göra den tillgänglig för program som kör frågor mot de berörda kolumnerna.

Information om hur du roterar en kolumnhuvudnyckel och krypterar om en kolumn på plats för att rotera en kolumnkrypteringsnyckel finns i Rotera enklaveraktiverade nycklar.

Metod 3: Kryptera om en vald kolumn med en enklavaktiverad kolumnkrypteringsnyckel på klientsidan

Den här metoden innebär att omkryptera en kolumn med en enklavaktiverad kolumnkrypteringsnyckel, aktivera omfattande frågor med randomiserad kryptering. Eftersom den aktuella kolumnkrypteringsnyckeln inte är enklavaktiverad kan du inte kryptera kolumnen på plats igen. Använd guiden Always Encrypted eller cmdleten Set-SqlColumnEncryption för att kryptera om databasens kolumn.

• Fördelar:

  • Gör att du selektivt kan aktivera enklaverfunktionen (kryptering på plats och omfattande frågor, om du omkrypterar kolumnen med randomiserad kryptering) för en kolumn eller en liten delmängd kolumner.
  • Det kan aktivera omfattande beräkningar för kolumner i ett steg.

• Nackdelar:

  • Om du vill kryptera om data flyttar verktyget dem från databasen, vilket kan ta lång tid och är utsatt för nätverksfel.
  • Den introducerar viktiga hanteringskostnader. Du måste skapa en ny kolumnhuvudnyckel och göra den tillgänglig för program som kör frågor mot de berörda kolumnerna.

Mer information om hur du roterar en kolumnkryptering via ett verktyg på klientsidan finns i Rotera always encrypted-nycklar med SQL Server Management Studio och Rotera always encrypted-nycklar med PowerShell.

Nästa steg

• Kör Transact-SQL-instruktioner med hjälp av säkra enklaver
• Utveckla program med Always Encrypted med säkra enklaver