Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir:
Windows Azure SQL Veritabanı'nda SQL Server 2019 (15.x) ve sonraki sürümleri
Güvenli kuşatmalarla Always Encrypted, yerinde şifrelemeyi ve daha zengin gizli sorguları etkinleştirerek Always Encrypted gizli bilgi işlem özelliklerini genişletir. Güvenli kuşatmalarla Always Encrypted, SQL Server 2019 (15.x) ve sonraki sürümlerde ve Azure SQL Veritabanı'nda kullanılabilir.
2015'te ve SQL Server 2016'da (13.x) Azure SQL Veritabanı'nda kullanıma sunulan Always Encrypted, hassas verilerin gizliliğini kötü amaçlı yazılımlardan ve yüksek ayrıcalıklı yetkisiz kullanıcılarına karşı korur: Veritabanı Yöneticileri (DTA), bilgisayar yöneticileri, bulut yöneticileri veya sunucu örneklerine, donanımlara yasal erişimi olan ancak gerçek verilerin bir kısmına veya tümüne erişimi olmaması gereken diğer kişiler.
Bu makalede açıklanan geliştirmeler olmadan, Always Encrypted, verileri istemci tarafında şifreleyerek korur ve hiçbir zaman verilerin veya ilgili şifreleme anahtarlarının Veritabanı Altyapısı içinde düz metin olarak görünmesine izin vermez. Sonuç olarak, veritabanının içindeki şifrelenmiş sütunlardaki işlevsellik ciddi ölçüde kısıtlanır. Veritabanı Altyapısı'nın şifrelenmiş verilerde gerçekleştirebileceği tek işlemler eşitlik karşılaştırmalarıdır (yalnızca belirleyici şifrelemeile kullanılabilir). Şifreleme işlemleri (ilk veri şifreleme veya anahtar döndürme) ve daha zengin sorgular (örneğin, desen eşleştirme) dahil olmak üzere diğer tüm işlemler veritabanında desteklenmez. Kullanıcıların bu işlemleri istemci tarafında gerçekleştirmek için verilerini veritabanının dışına taşıması gerekir.
Always Encrypted , sunucu tarafındaki güvenli bir alan içinde düz metin verilerinde bazı hesaplamaların yapılmasına izin vererek bu sınırlamaları giderir. Güvenli yalıtılmış alan, Veritabanı Motoru işlemi içindeki korumalı bir bellek bölgesidir. Güvenli kapanım, Veritabanı Altyapısı'nın geri kalanına ve barındırma makinesindeki diğer işlemlere opak bir kutu olarak görünür. Bir hata ayıklayıcıyla bile dışarıdan güvenli bölge içindeki verileri veya kodları görüntülemenin hiçbir yolu yoktur. Bu özellikler güvenli kapanımı, veri gizliliğinden ödün vermeden şifreleme anahtarlara ve hassas verilere düz metin olarak güvenli bir şekilde erişebilen güvenilir bir yürütme ortamı haline getirir.
Always Encrypted, aşağıdaki diyagramda gösterildiği gibi güvenli kuşatmalar kullanır:
Bir uygulama tarafından gönderilen bir Transact-SQL deyimi ayrıştırıldığında, Veritabanı Altyapısı deyiminin güvenli kapanım kullanımını gerektiren şifrelenmiş veriler üzerinde herhangi bir işlem içerip içermediğini belirler. Bu tür ifadeler için:
İstemci sürücüsü, işlemler için gereken sütun şifreleme anahtarlarını güvenli kapanıma (güvenli bir kanal üzerinden) gönderir ve yürütme için ifadesini sunar.
Deyimi işlerken, Veritabanı Altyapısı şifreli sütunlardaki şifreleme işlemlerini veya hesaplamaları güvenli kapanıma devreder. Gerekirse, güvenli bölge verilerin şifresini çözer ve düz metin üzerinde hesaplamalar gerçekleştirir.
İfade işleme sırasında, hem veriler hem de sütun şifreleme anahtarları, güvenli özel alan dışında Veritabanı Motoru'nda düz metin olarak açığa çıkarılmaz.
Desteklenen istemci sürücüleri
Always Encrypted'ı güvenli kuşatmalarla kullanmak için uygulamanın özelliği destekleyen bir istemci sürücüsü kullanması gerekir. Uygulamayı ve istemci sürücüsünü, kapanım hesaplamalarını ve kapanım kanıtlamasını etkinleştirecek şekilde yapılandırın (aşağıdaki Güvenli kapanım kanıtlama bölümüne bakın). Desteklenen istemci sürücülerinin listesi de dahil olmak üzere ayrıntılar için bkz. Always Encrypted kullanarak uygulama geliştirme.
Desteklenen enklav teknolojileri
Always Encrypted aşağıdaki kapanım teknolojilerini (veya kapanım türlerini) destekler:
- Sanallaştırma Tabanlı Güvenlik (VBS) (Sanal Güvenli Mod veya VSM kuşatmaları olarak da bilinir) - Windows hiper yöneticisine dayanan ve özel donanım gerektirmeyen yazılım tabanlı bir teknolojidir.
- Intel Software Guard Uzantıları (Intel SGX) yuvacıkları - donanım tabanına sahip güvenilir yürütme ortamı sağlayan teknoloji.
Veritabanınız için kullanılabilen kapanım türü, veritabanını barındıran SQL ürününe (Azure SQL Veritabanı vs. SQL Server) ve (Azure SQL Veritabanı söz konusu olduğunda) veritabanınızın yapılandırmasına bağlıdır.
SQL Server 2019 (15.x) ve sonraki sürümlerinde Always Encrypted, VBS kuşatmalarını destekler. (Intel SGX kuşatmaları desteklenmez.)
Azure SQL Veritabanı'nda veritabanı, veritabanının çalışmak üzere yapılandırıldığı donanıma bağlı olarak Intel SGX kapanımını veya VBS kapanımını kullanabilir:
- DC serisi donanım yapılandırmasını kullanan veritabanları Intel SGX güvenli bölgelerini kullanır ve vCore satın alma modeli ile kullanılabilir.
- vCore satın alma modeliyle DC serisi dışında bir yapılandırma kullanan veritabanları ve DTU satın alma modeli kullanan veritabanları, VBS enklavlarını kullanacak şekilde yapılandırılabilir.
Note
VBS bölgeleri şu anda tüm Azure SQL Veritabanı bölgelerinde,: Jio India Central hariç, kullanılabilir.
Her kapanım türünün sağladığı düzey koruması hakkında önemli bilgiler için Güvenlik konuları bölümüne bakın.
Güvenli yerleşke doğrulaması
Enklav doğrulaması, kötü amaçlı yöneticiler tarafından enklav kodu veya ortamıyla oynanan saldırıların tespit edilmesine yardımcı olan derinlemesine bir savunma mekanizmasıdır.
Kapanım doğrulaması, istemci uygulamasının, uygulamanın hassas verileri işlemek için kapanımı kullanmasından önce, bağlı olduğu veritabanı için güvenli enclave ile güven oluşturmasına olanak tanır. Kanıtlama iş akışı, bir enklavın orijinal bir VBS veya Intel SGX enklavı olduğunu ve içinde çalışan kodun Always Encrypted için Microsoft tarafından imzalanmış enklav kütüphanesi olduğunu doğrular. Kanıtlama sırasında hem uygulama içindeki istemci sürücüsü hem de Veritabanı Altyapısı, istemci tarafından belirtilen uç noktayı kullanarak bir dış kanıtlama hizmetiyle iletişim kurar.
Always Encrypted iki kanıtlama hizmetlerinden birini kullanabilir:
- Microsoft Azure Kanıt - bulut tabanlı bir kanıtlama çözümü.
- Windows Defender System Guard çalışma zamanı kanıtlamasını uygulayan Konak Koruyucu Hizmeti (HGS).
Uygulamanızın güvenli kuşatmalarıyla Always Encrypted'ı etkinleştirmek için, uygulamanızdaki istemci sürücüsünün yapılandırmasında bir kanıtlama protokolü ayarlamanız gerekir. Kanıtlama protokolü değeri, 1) istemci uygulamasının kanıtlama kullanıp kullanmayacağını belirler ve kullanıyorsa 2) kullanacağı kanıtlama hizmetinin türünü belirtir. Geçerli SQL ürünü ve kapsama alanı türü bileşimleri için desteklenen kanıtlama protokolleri aşağıdaki tabloda belirtilmiştir.
| Barındırma ürünü | Enklav türü | Desteklenen kanıtlama protokolleri |
|---|---|---|
| SQL Server 2019 (15.x) ve üzeri | VBS enklavları | HGS, Kanıtlama yok |
| Azure SQL Veritabanı | SGX güvenli bölgeleri (DC serisi veritabanları) | Microsoft Azure Kanıtlama |
| Azure SQL Veritabanı | VBS enklavları | Kanıtlama yok |
Dikkat edilmesi gereken birkaç önemli nokta:
- SQL Server 2019 (15.x) ve sonraki sürümlerde VBS kuşatmalarını kanıtlama HGS gerektirir. VbS kuşatmalarını kanıtlama olmadan da kullanabilirsiniz (en son istemci sürücüleri gereklidir).
- Azure SQL Veritabanı'ndaki Intel SGX enklavlarında (DC serisi veritabanlarında) doğrulama zorunludur ve Microsoft Azure Doğrulama gerektirir.
- Azure SQL Veritabanı'ndaki VBS kuşatmaları kanıtlamayı desteklemez.
Daha fazla bilgi için bkz:
- Host Guardian Hizmeti doğrulama planı.
- Azure SQL Veritabanı'nda Intel SGX yuvalarını ve doğrulamayı planlayın.
Terminoloji
Kapanım özellikli anahtarlar
Güvenli bölgelerle Always Encrypted, bölge destekli anahtarlar kavramını tanıtır.
-
Enclave özellikli sütun anahtarı - veritabanı içindeki sütun anahtar meta veri nesnesinde belirtilen özelliğe sahip bir sütun anahtarı. Sütun
masteranahtar meta veri nesnesi de meta veri özelliklerinin geçerli bir imzasını içermelidir. Daha fazla bilgi için bkz. CREATE COLUMN MASTER KEY (Transact-SQL) -
Kapanım özellikli sütun şifreleme anahtarı - kapanım özellikli sütun anahtarıyla şifrelenmiş bir sütun
masterşifreleme anahtarı. Güvenli kapanım içindeki hesaplamalar için yalnızca kapanım özellikli sütun şifreleme anahtarları kullanılabilir.
Daha fazla bilgi için bkz. Güvenli kuşatmalarla Always Encrypted anahtarlarını yönetme.
Enklav etkin sütunlar
Güvenlik alanı özellikli sütun, güvenlik alanı özellikli sütun şifreleme anahtarıyla şifrelenmiş bir veritabanı sütunudur.
Enklav özellikli sütunlar için gizli bilgi işlem kapasitesi
Güvenli kuşatmalarla Always Encrypted'ın iki temel avantajı yerinde şifreleme ve zengin gizli sorgulardır.
Yerinde şifreleme
Yerinde şifreleme, verileri veritabanının dışına taşımadan güvenli kapanım içindeki veritabanı sütunlarında şifreleme işlemlerine olanak tanır. Yerinde şifreleme, şifreleme işlemlerinin performansını ve güvenilirliğini artırır. ALTER TABLE (Transact-SQL) deyimini kullanarak yerinde şifreleme gerçekleştirebilirsiniz.
Yerinde desteklenen şifreleme işlemleri şunlardır:
- Düz metin sütununu kapanım özellikli bir sütun şifreleme anahtarıyla şifreleme.
- Şifrelenmiş bir kapanım özellikli sütunu şu şekilde yeniden şifreleme:
- Sütun şifreleme anahtarını döndürme - sütunu yeni bir kapanım özellikli sütun şifreleme anahtarıyla yeniden şifreleyin.
- Kapanım özellikli bir sütunun şifreleme türünü (örneğin, belirleyiciden rastgeleye) değiştirin.
- Enklav destekli bir sütunda depolanan verilerin şifresinin çözülmesi (sütunu düz metin sütununa çevirme).
Şifreleme işlemine dahil olan sütun şifreleme anahtarları enklav özellikli olduğu sürece hem belirleyici hem de rastgele şifreleme ile yerleşik şifrelemeye izin verilir.
Gizli sorgular
Note
SQL Server 2022 (16.x), şifrelenmiş sütunlarda JOIN, GROUP BY ve ORDER BY işlemleriyle gizli sorgular için ek destek ekler.
Gizli sorgular, güvenli ortam içinde gerçekleştirilen güvenli ortam destekli sütunlarda işlemleri içeren DML sorgularıdır.
Güvenli kuşatmalar içinde desteklenen işlemler şunlardır:
| Operasyon | Azure SQL Veritabanı | SQL Server 2022 (16.x) | SQL Server 2019 (15.x) |
|---|---|---|---|
| Karşılaştırma İşleçleri | Supported | Supported | Supported |
| ARASINDA (Transact-SQL) | Supported | Supported | Supported |
| IN (Transact-SQL) | Supported | Supported | Supported |
| GİBİ (Transact-SQL) | Supported | Supported | Supported |
| DISTINCT | Supported | Supported | Supported |
| ,'e Katılıyor | Supported | Supported | Yalnızca iç içe döngü birleşimleri desteklenir |
| SELECT - ORDER BY Yan Tümcesi (Transact-SQL) | Supported | Supported | Desteklenmiyor |
| SELECT - GROUP BY- Transact-SQL | Supported | Supported | Desteklenmiyor |
Note
Güvenli kuşatmalar içindeki yukarıdaki işlemler rastgele şifreleme gerektirir. Belirleyici şifreleme desteklenmez. Eşitlik karşılaştırması, belirleyici şifreleme kullanan sütunlar için kullanılabilir durumda kalır.
Veritabanının uyumluluk düzeyi SQL Server 2022 (160) veya üzeri olarak ayarlanmalıdır.
Azure SQL Veritabanı'nda ve SQL Server 2022'de (16.x) bir karakter dizesi sütununda (char, nchar) kuşatmalar kullanan gizli sorgular, sütunun ikili kod noktası (_BIN2) harmanlama veya UTF-8 harmanlamakullanmasını gerektirir. SQL Server 2019'da (15.x), a_BIN2 harmanlama gerekir.
Daha fazla bilgi için bkz. Güvenli kuşatmalar kullanarak Transact-SQL deyimlerini çalıştırma.
Enklav özellikli sütunlarda dizinler
Güvenli kapanım kullanarak gizli DML sorgularının daha hızlı çalışmasını sağlamak için rastgele şifreleme kullanarak enclave özellikli sütunlarda kümelenmemiş dizinler oluşturabilirsiniz.
Rastgele şifreleme kullanılarak şifrelenmiş bir sütundaki dizinin hassas verileri sızdırmadığından emin olmak için, dizin veri yapısındaki (B ağacı) anahtar değerleri şifrelenir ve düz metin değerlerine göre sıralanır. Düz metin değerine göre sıralamak, kapanım içindeki sorguları işlemek için de yararlıdır. Veritabanı Motoru'ndaki sorgu yürütücüsü, yalıtılmış alandaki hesaplamalar için şifrelenmiş bir sütunda dizin kullandığında, sütunda depolanan belirli değerleri bulmak için dizinde arama yapar. Her arama birden çok karşılaştırma içerebilir. Sorgu yürütücüsü, her karşılaştırmayı kapanıma devreder. Kapanım, sütunda depolanan bir değer ile karşılaştırılacak şifrelenmiş dizin anahtarı değerinin şifresini çözer, açık metin düzeyinde karşılaştırma yapar ve karşılaştırmanın sonucunu yürütücüye geri döndürür.
Rastgele şifreleme kullanan ve kapanım etkin olmayan sütunlarda dizin oluşturma işlemi desteklenmez.
Belirleyici şifreleme kullanan bir sütundaki dizin, sütunun kapanım etkin olup olmadığına bakılmaksızın şifre metnine (düz metin değil) göre sıralanır.
Daha fazla bilgi için bkz. Güvenli ortamlar kullanarak Always Encrypted ile sütunlarda dizin oluşturma ve kullanma. Veritabanı Altyapısı'nda dizin oluşturmanın nasıl çalıştığı hakkında genel bilgi için Açıklanan Kümelenmiş ve Kümelenmemiş Dizinlermakalesine bakın.
Veritabanı kurtarma
SQL Server örneği başarısız olursa veritabanları, veri dosyalarının tamamlanmamış işlemlerden bazı değişiklikler içerebileceği bir durumda bırakılabilir. Örnek başlatıldığında, veritabanının bütünlüğünün korunduğundan emin olmak için işlem günlüğünde bulunan tüm eksik işlemlerin geri döndürülmesini içeren veritabanı kurtarmaadlı bir işlem çalıştırır. Tamamlanmamış bir işlem dizinde herhangi bir değişiklik yaptıysa, bu değişikliklerin de geri alınması gerekir. Örneğin, dizindeki bazı anahtar değerlerinin kaldırılması veya yeniden eklenmeleri gerekebilir.
Önemli
Microsoft, Hızlandırılmış veritabanı kurtarmayı (ADR) veritabanınız için ilk dizini rastgele şifrelemeyle şifrelenmiş bir kapanım özellikli sütunda oluşturmadan önce etkinleştirmenizi güçlü bir şekilde tavsiye eder. ADR, Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği'nde varsayılan olarak etkindir. ADR, SQL Server 2019 (15.x) ve sonraki sürümlerde kullanılabilir ancak varsayılan olarak etkinleştirilmez.
Geleneksel veritabanı kurtarma sürecinde (ARIES kurtarma modelini takip eden), bir dizin değişikliğini geri almak için Veritabanı Motoru'nun, bir uygulamanın gizli alana sütun için sütun şifreleme anahtarını sağlamasını beklemesi gerekir ve bu durum uzun sürebilir. Hızlandırılmış veritabanı kurtarma (ADR), kapsam içindeki bellekte bir sütun şifreleme anahtarı kullanılamadığından ertelenmesi gereken geri alma işlemlerinin sayısını önemli ölçüde azaltır. Sonuç olarak, yeni bir işlemin engellenme olasılığını en aza indirerek veritabanı kullanılabilirliğini önemli ölçüde artırır. ADR etkinken, Veritabanı Altyapısı'nın eski veri sürümlerini temizlemeyi tamamlamak için yine de bir sütun şifreleme anahtarına ihtiyacı olabilir, ancak bunu veritabanının veya kullanıcı işlemlerinin kullanılabilirliğini etkilemeyen bir arka plan görevi olarak yapar. Hata günlüğünde eksik bir sütun şifreleme anahtarı nedeniyle temizleme işlemlerinin başarısız olduğunu belirten hata iletileri görebilirsiniz.
Güvenlikle ilgili dikkat edilmesi gerekenler
Aşağıdaki güvenlik konuları, güvenli kuşatmalarla Always Encrypted için geçerlidir.
- VBS kuşatmaları, verilerinizin VM içindeki saldırılara karşı korunmasına yardımcı olur. Ancak, ana makineden kaynaklanan ayrıcalıklı sistem hesaplarını kullanan saldırılara karşı herhangi bir koruma sağlamaz. Intel SGX kuşatmaları, verileri hem konuk işletim sisteminden hem de konak işletim sisteminden kaynaklanan saldırılara karşı korur.
- Ortamınız için kullanılabiliyorsa ve veritabanınızı barındıran makineye işletim sistemi düzeyinde yönetici erişimi olan kullanıcıların saldırılarına karşı verilerinizi koruma konusunda endişeleriniz varsa, kapanım kanıtlamasını kullanmanız önerilir. Kanıtlama kullanıyorsanız, kanıtlama hizmetinin ve yapılandırmasının güvenilir bir yönetici tarafından yönetildiğinden emin olmanız gerekir. Ayrıca, desteklenen her iki kimlik doğrulama hizmeti de farklı politikalar ve doğrulama modları sunmaktadır. Bu modlardan bazıları, güvenli bölge ve ortamın minimum düzeyde doğrulamasını gerçekleştirir ve test ile geliştirme için tasarlanmıştır. Üretim dağıtımlarınız için önerilen yapılandırmaları ve ilkeleri kullandığınızdan emin olmak için kanıtlama hizmetinize özgü yönergeleri yakından izleyin.
- Bir sütunun, kapanım özellikli bir sütun şifreleme anahtarıyla rastgele şifreleme kullanılarak şifrelenmesi, sütunda depolanan verilerin sırasının sızdırılmasına neden olabilir, örneğin sütunlar aralık karşılaştırmalarını destekler. Örneğin, çalışan maaşlarını içeren şifrelenmiş bir sütunda dizin varsa, kötü amaçlı bir DBA en yüksek şifrelenmiş maaş değerini bulmak ve en yüksek maaşa sahip bir kişiyi tanımlamak için dizini tarar (kişinin adının şifrelenmediği varsayılarak).
- Hassas verileri DTA'lar tarafından yetkisiz erişime karşı korumak için Always Encrypted kullanıyorsanız, sütun
masteranahtarlarını veya sütun şifreleme anahtarlarını DTA'larla paylaşmayın. DBA, kapanım içindeki sütun şifreleme anahtarlarının önbelleğini kullanarak anahtarlara doğrudan erişime gerek kalmadan şifrelenmiş sütunlardaki dizinleri yönetebilir.
İş sürekliliği, olağanüstü durum kurtarma ve veri geçişi ile ilgili dikkat edilmesi gerekenler
Always Encrypted'ı güvenli kuşatmalarla kullanarak bir veritabanı için yüksek kullanılabilirlik veya olağanüstü durum kurtarma çözümü yapılandırırken, tüm veritabanı çoğaltmalarının güvenli bir kapanım kullanabileceğine emin olun. Birincil replika için bir kapalı alan mevcutsa ancak ikincil replika için mevcut değilse, Always Encrypted işlevini güvenli kapalı alanlarla kullanmaya çalışan tüm ifadeler, yük devretmeden sonra başarısız olacaktır.
Güvenli bölgelerle Always Encrypted özelliğini kullanarak bir veritabanını kopyaladığınızda veya taşıdığınızda, hedef ortamın her zaman bu bölgeleri desteklediğinden emin olun. Aksi takdirde, enclavelar kullanan ifadeler kopyada ya da taşınmış veri tabanında çalışmaz.
Aklınızda bulundurmanız gereken belirli noktalar şunlardır:
SQL Server
- Always On kullanılabilirlik grubunu yapılandırırken, kullanılabilirlik grubunda veritabanı barındıran her SQL Server örneğinin güvenli kuşatmalarla Always Encrypted'ı desteklediğinden ve bir kapanım ve kanıtlamanın yapılandırıldığından emin olun.
- Güvenli enklavlarla Always Encrypted işlevini kullanan bir veritabanının yedekleme dosyasından, enklav yapılandırılmamış bir SQL Server örneğinde geri yükleme yapıldığında, geri yükleme işlemi başarılı olur ve enklava bağlı olmayan tüm işlevler kullanılabilir. Ancak, kapanım işlevini kullanan sonraki tüm deyimler başarısız olur ve rastgele şifreleme kullanan kapanım özellikli sütunlardaki dizinler geçersiz hale gelir. Bu durum, enklav yapılandırılmamış bir örnek üzerinde Her Zaman Şifreli ile güvenli enklavlar kullanarak bir veritabanı eklenirken de geçerlidir.
- Veritabanınız rastgele şifreleme kullanan kapanım özellikli sütunlarda dizinler içeriyorsa, veritabanı yedeklemesi oluşturmadan önce veritabanında hızlandırılmış veritabanı kurtarma (ADR) etkinleştirdiğinizden emin olun. ADR, veritabanını geri yükledikten hemen sonra dizinler de dahil olmak üzere veritabanının kullanılabilir olmasını sağlar. Daha fazla bilgi için bkz. Veritabanı Kurtarma.
Azure SQL Veritabanı
- Etkin coğrafi çoğaltmayı yapılandırırken, birincil veritabanı destekliyorsa ikincil veritabanının güvenli kuşatmalar desteklediğinden emin olun.
Hem SQL Server'da hem de Azure SQL Veritabanı'nda, veritabanınızı bir bacpac dosyası kullanarak geçirirken, bacpac dosyasını oluşturmadan önce rastgele şifreleme kullanarak gizli alanlar özellikli sütunlar için tüm indeksleri kaldırdığınızdan emin olmanız gerekir.
Bilinen sınırlamalar
Güvenli kuşatmalarla Always Encrypted, yerleşik şifrelemeyi ve dizinlerle daha zengin gizli sorguları destekleyerek, kapanım özellikli sütunlar için gizli bilgi işlem özellikleri bölümünde açıklandığı gibi Always Encrypted'ın bazı sınırlamalarını giderir.
Always Encrypted için Sınırlamaları'de listelenen diğer tüm sınırlamalar, güvenli veri bölgeleriyle Always Encrypted için de geçerlidir.
Aşağıdaki sınırlamalar, güvenli kuşatmalarla Always Encrypted'a özgüdür:
- Kümelenmiş dizinler, rastgele şifreleme kullanılarak kapanım özellikli sütunlarda oluşturulamaz.
- Rastgele şifrelenmiş ve kapanım özellikli sütunlar birincil anahtar olarak kullanılamaz ve yabancı anahtar veya benzersiz anahtar kısıtlamaları tarafından referans alınamaz.
- SQL Server 2019'da (15.x) (bu sınırlama Azure SQL Veritabanı veya SQL Server 2022 (16.x) için geçerli değildir) yalnızca iç içe döngü birleşimleri (varsa dizinler kullanılarak) rastgele şifreleme kullanılarak kapanım özellikli sütunlarda desteklenir. Farklı ürünler arasındaki diğer farklar hakkında bilgi için bkz. Gizli sorgular.
- Kriptografik işlemler, aynı kodlama sayfasında harmanlamayı değiştirmek ve null değer atanabilirlik dışında sütun meta verilerinde yapılan diğer değişikliklerle birleştirilemez. Örneğin, bir sütunu şifreleyemez, yeniden şifreleyemez veya şifresini çözemez ve tek bir
ALTER TABLE/ALTER COLUMNTransact-SQL deyiminde sütunun veri türünü değiştiremezsiniz. İki ayrı deyim kullanın. - Bellek içi tablolardaki sütunlar için kapanım özellikli anahtarların kullanılması desteklenmez.
- Hesaplanan sütunları tanımlayan ifadeler, rastgele şifreleme kullanarak kapanım özellikli sütunlarda hesaplama gerçekleştiremez (hesaplamalar Gizli sorgular) içinde listelenen desteklenen işlemler arasında olsa bile).
- Kaçış karakterleri, rastgele şifreleme kullanılarak kapanım özellikli sütunlarda LIKE işlecinin parametrelerinde desteklenmez.
- Aşağıdaki veri türlerinden birini kullanan (şifrelemeden sonra büyük nesnelere dönüşen) LIKE işlecine veya sorgu parametresine sahip bir karşılaştırma işlecine sahip sorgular dizinleri yoksayar ve tablo taramaları gerçekleştirir.
- n 3967'den büyükse
nchar[n]venvarchar[n]. - n 7935'ten büyükse
char[n],varchar[n],binary[n],varbinary[n].
- n 3967'den büyükse
- Kapanım özellikli sütun
masteranahtarları depolamak için desteklenen tek anahtar depoları Windows Sertifika Deposu ve Azure Key Vault'tur. - VBS kapanım özellikli bir veritabanını geri yüklerken, VBS kapanım ayarını yeniden yapılandırmak önemlidir.
İlgili içerik
- Always Encrypted ile güvenli yerleşimler belgeleri
- Azure SQL Database Always Encrypted, SIGMOD '20: 2020 ACM SIGMOD Veri Yönetimi Uluslararası Konferansı Bildirileri
- Kılavuz: Always Encrypted'ı güvenli ortamlarla kullanmaya başlama
- Always Encrypted'ı güvenli kuşatmalarla yapılandırma ve kullanma
- Güvenli kuşatmalarla Always Encrypted tanıtımları/örnekleri
- SQL Server örnekleri
- Azure gizli bilgi işlem