Always Encrypted with secure enclaves

2025-04-14

Şunlar için geçerlidir: SQL Server 2019 (15.x) ve üzeri - Yalnızca Windows Azure SQL Veritabanı

Güvenli kuşatmalarla Always Encrypted, yerinde şifrelemeyi ve daha zengin gizli sorguları etkinleştirerek Always Encrypted gizli bilgi işlem özelliklerini genişletir. Güvenli kuşatmalarla Always Encrypted, SQL Server 2019 (15.x) ve sonraki sürümlerde ve Azure SQL Veritabanı'nda kullanılabilir.

2015'te ve SQL Server 2016'da (13.x) Azure SQL Veritabanı'nda kullanıma sunulan Always Encrypted, hassas verilerin gizliliğini kötü amaçlı yazılımlardan ve yüksek ayrıcalıklı yetkisiz kullanıcılarına karşı korur: Veritabanı Yöneticileri (DTA), bilgisayar yöneticileri, bulut yöneticileri veya sunucu örneklerine, donanımlara yasal erişimi olan ancak gerçek verilerin bir kısmına veya tümüne erişimi olmaması gereken diğer kişiler.

Bu makalede açıklanan geliştirmeler olmadan, Always Encrypted, verileri istemci tarafında şifreleyerek korur ve hiçbir zaman verilerin veya ilgili şifreleme anahtarlarının Veritabanı Altyapısı içinde düz metin olarak görünmesine izin vermez. Sonuç olarak, veritabanının içindeki şifrelenmiş sütunlardaki işlevsellik ciddi ölçüde kısıtlanır. Veritabanı Altyapısı'nın şifrelenmiş verilerde gerçekleştirebileceği tek işlemler eşitlik karşılaştırmalarıdır (yalnızca belirleyici şifrelemeile kullanılabilir). Şifreleme işlemleri (ilk veri şifreleme veya anahtar döndürme) ve daha zengin sorgular (örneğin, desen eşleştirme) dahil olmak üzere diğer tüm işlemler veritabanında desteklenmez. Kullanıcıların bu işlemleri istemci tarafında gerçekleştirmek için verilerini veritabanının dışına taşıması gerekir.

Always Encrypted , sunucu tarafındaki güvenli bir alan içinde düz metin verilerinde bazı hesaplamaların yapılmasına izin vererek bu sınırlamaları giderir. Güvenli yalıtılmış alan, Veritabanı Motoru işlemi içindeki korumalı bir bellek bölgesidir. The secure enclave appears as an opaque box to the rest of the Database Engine and other processes on the hosting machine. Bir hata ayıklayıcıyla bile dışarıdan güvenli bölge içindeki verileri veya kodları görüntülemenin hiçbir yolu yoktur. These properties make the secure enclave a trusted execution environment that can safely access cryptographic keys and sensitive data in plaintext, without compromising data confidentiality.

Always Encrypted, aşağıdaki diyagramda gösterildiği gibi güvenli kuşatmalar kullanır:

Always Encrypted için Veri akışının diyagramı.

Bir uygulama tarafından gönderilen bir Transact-SQL deyimi ayrıştırıldığında, Veritabanı Altyapısı deyiminin güvenli kapanım kullanımını gerektiren şifrelenmiş veriler üzerinde herhangi bir işlem içerip içermediğini belirler. Bu tür ifadeler için:

The client driver sends the column encryption keys required for the operations to the secure enclave (over a secure channel), and submits the statement for execution.
Deyimi işlerken, Veritabanı Altyapısı şifreli sütunlardaki şifreleme işlemlerini veya hesaplamaları güvenli kapanıma devreder. Gerekirse, güvenli bölge verilerin şifresini çözer ve düz metin üzerinde hesaplamalar gerçekleştirir.

İfade işleme sırasında, hem veriler hem de sütun şifreleme anahtarları, güvenli özel alan dışında Veritabanı Motoru'nda düz metin olarak açığa çıkarılmaz.

Supported client drivers

Always Encrypted'ı güvenli kuşatmalarla kullanmak için uygulamanın özelliği destekleyen bir istemci sürücüsü kullanması gerekir. Uygulamayı ve istemci sürücüsünü, kapanım hesaplamalarını ve kapanım kanıtlamasını etkinleştirecek şekilde yapılandırın (aşağıdaki Güvenli kapanım kanıtlama bölümüne bakın). Desteklenen istemci sürücülerinin listesi de dahil olmak üzere ayrıntılar için bkz. Always Encrypted kullanarak uygulama geliştirme.

Supported enclave technologies

Always Encrypted aşağıdaki kapanım teknolojilerini (veya kapanım türlerini) destekler:

Sanallaştırma Tabanlı Güvenlik (VBS) (Sanal Güvenli Mod veya VSM kuşatmaları olarak da bilinir) - Windows hiper yöneticisine dayanan ve özel donanım gerektirmeyen yazılım tabanlı bir teknolojidir.
Intel Software Guard Extensions (Intel SGX) enclaves - a hardware-based trusted execution environment technology.

Veritabanınız için kullanılabilen kapanım türü, veritabanını barındıran SQL ürününe (Azure SQL Veritabanı vs. SQL Server) ve (Azure SQL Veritabanı söz konusu olduğunda) veritabanınızın yapılandırmasına bağlıdır.

SQL Server 2019 (15.x) ve sonraki sürümlerinde Always Encrypted, VBS kuşatmalarını destekler. (Intel SGX enclaves aren't supported.)
Azure SQL Veritabanı'nda veritabanı, veritabanının çalışmak üzere yapılandırıldığı donanıma bağlı olarak Intel SGX kapanımını veya VBS kapanımını kullanabilir:
- Databases using the DC-series hardware configuration (available with the vCore purchasing model) use Intel SGX enclaves.
- vCore satın alma modeliyle DC serisi dışında bir yapılandırma kullanan veritabanları ve DTU satın alma modeli kullanan veritabanları, VBS enklavlarını kullanacak şekilde yapılandırılabilir.
Note

VBS bölgeleri şu anda tüm Azure SQL Veritabanı bölgelerinde,: Jio India Central hariç, kullanılabilir.

Her kapanım türünün sağladığı düzey koruması hakkında önemli bilgiler için Güvenlik konuları bölümüne bakın.

Secure enclave attestation

Enklav doğrulaması, kötü amaçlı yöneticiler tarafından enklav kodu veya ortamıyla oynanan saldırıların tespit edilmesine yardımcı olan derinlemesine bir savunma mekanizmasıdır.

Enclave attestation allows a client application to establish trust with the secure enclave for the database, the application is connected to, before the app uses the enclave for processing sensitive data. The attestation workflow verifies the enclave is a genuine VBS or Intel SGX enclave and the code running inside it is the genuine Microsoft-signed enclave library for Always Encrypted. Kanıtlama sırasında hem uygulama içindeki istemci sürücüsü hem de Veritabanı Altyapısı, istemci tarafından belirtilen uç noktayı kullanarak bir dış kanıtlama hizmetiyle iletişim kurar.

Always Encrypted iki kanıtlama hizmetlerinden birini kullanabilir:

Microsoft Azure Kanıt - bulut tabanlı bir kanıtlama çözümü.
Host Guardian Service (HGS) that implements Windows Defender System Guard runtime attestation.

Uygulamanızın güvenli kuşatmalarıyla Always Encrypted'ı etkinleştirmek için, uygulamanızdaki istemci sürücüsünün yapılandırmasında bir kanıtlama protokolü ayarlamanız gerekir. Kanıtlama protokolü değeri, 1) istemci uygulamasının kanıtlama kullanıp kullanmayacağını belirler ve kullanıyorsa 2) kullanacağı kanıtlama hizmetinin türünü belirtir. Geçerli SQL ürünü ve kapsama alanı türü bileşimleri için desteklenen kanıtlama protokolleri aşağıdaki tabloda belirtilmiştir.

Barındırma ürünü	Enklav türü	Desteklenen kanıtlama protokolleri
SQL Server 2019 (15.x) ve üzeri	VBS enclaves	HGS, Kanıtlama yok
Azure SQL Veritabanı	SGX güvenli bölgeleri (DC serisi veritabanları)	Microsoft Azure Kanıtlama
Azure SQL Veritabanı	VBS enclaves	Kanıtlama yok

Dikkat edilmesi gereken birkaç önemli nokta:

SQL Server 2019 (15.x) ve sonraki sürümlerde VBS kuşatmalarını kanıtlama HGS gerektirir. You can also use VBS enclaves without attestation (the latest client drivers are required).
Azure SQL Veritabanı'ndaki Intel SGX enklavlarında (DC serisi veritabanlarında) doğrulama zorunludur ve Microsoft Azure Doğrulama gerektirir.
Azure SQL Veritabanı'ndaki VBS kuşatmaları kanıtlamayı desteklemez.

Daha fazla bilgi için bkz:

Terminoloji

Enclave-enabled keys

Güvenli bölgelerle Always Encrypted, bölge destekli anahtarlar kavramını tanıtır.

Enclave-enabled column master key - a column master key that has the ENCLAVE_COMPUTATIONS property specified in the column master key metadata object inside the database. Sütun master anahtar meta veri nesnesi de meta veri özelliklerinin geçerli bir imzasını içermelidir. Daha fazla bilgi için bkz. CREATE COLUMN MASTER KEY (Transact-SQL)
Enclave-enabled column encryption key - a column encryption key that is encrypted with an enclave-enabled column master key. Güvenli kapanım içindeki hesaplamalar için yalnızca kapanım özellikli sütun şifreleme anahtarları kullanılabilir.

For more information, see Manage keys for Always Encrypted with secure enclaves.

Enclave-enabled columns

Güvenlik alanı özellikli sütun, güvenlik alanı özellikli sütun şifreleme anahtarıyla şifrelenmiş bir veritabanı sütunudur.

Enklav özellikli sütunlar için gizli bilgi işlem kapasitesi

Güvenli kuşatmalarla Always Encrypted'ın iki temel avantajı yerinde şifreleme ve zengin gizli sorgulardır.

Yerinde şifreleme

Yerinde şifreleme, verileri veritabanının dışına taşımadan güvenli kapanım içindeki veritabanı sütunlarında şifreleme işlemlerine olanak tanır. Yerinde şifreleme, şifreleme işlemlerinin performansını ve güvenilirliğini artırır. ALTER TABLE (Transact-SQL) deyimini kullanarak yerinde şifreleme gerçekleştirebilirsiniz.

Yerinde desteklenen şifreleme işlemleri şunlardır:

Encrypting a plaintext column with an enclave-enabled column encryption key.
Şifrelenmiş bir kapanım özellikli sütunu şu şekilde yeniden şifreleme:
- Rotate a column encryption key - re-encrypt the column with a new enclave-enabled column encryption key.
- Kapanım özellikli bir sütunun şifreleme türünü (örneğin, belirleyiciden rastgeleye) değiştirin.
Enklav destekli bir sütunda depolanan verilerin şifresinin çözülmesi (sütunu düz metin sütununa çevirme).

Şifreleme işlemine dahil olan sütun şifreleme anahtarları enklav özellikli olduğu sürece hem belirleyici hem de rastgele şifreleme ile yerleşik şifrelemeye izin verilir.

Gizli sorgular

Note

SQL Server 2022 (16.x), şifrelenmiş sütunlarda JOIN, GROUP BY ve ORDER BY işlemleriyle gizli sorgular için ek destek ekler.

Confidential queries are DML queries that involve operations on enclave-enabled columns performed inside the secure enclave.

Güvenli kuşatmalar içinde desteklenen işlemler şunlardır:

Operasyon	Azure SQL Veritabanı	SQL Server 2022 (16.x)	SQL Server 2019 (15.x)
Karşılaştırma İşleçleri	Supported	Supported	Supported
BETWEEN (Transact-SQL)	Supported	Supported	Supported
IN (Transact-SQL)	Supported	Supported	Supported
LIKE (Transact-SQL)	Supported	Supported	Supported
DISTINCT	Supported	Supported	Supported
,'e Katılıyor	Supported	Supported	Yalnızca iç içe döngü birleşimleri desteklenir
SELECT - ORDER BY Clause (Transact-SQL)	Supported	Supported	Desteklenmiyor
SELECT - GROUP BY- Transact-SQL	Supported	Supported	Desteklenmiyor

Note

Güvenli kuşatmalar içindeki yukarıdaki işlemler rastgele şifreleme gerektirir. Deterministic encryption isn't supported. Eşitlik karşılaştırması, belirleyici şifreleme kullanan sütunlar için kullanılabilir durumda kalır.

Veritabanının uyumluluk düzeyi SQL Server 2022 (160) veya üzeri olarak ayarlanmalıdır.

Azure SQL Veritabanı'nda ve SQL Server 2022'de (16.x) bir karakter dizesi sütununda (char, nchar) kuşatmalar kullanan gizli sorgular, sütunun ikili kod noktası (_BIN2) harmanlama veya UTF-8 harmanlamakullanmasını gerektirir. SQL Server 2019'da (15.x), a_BIN2 harmanlama gerekir.

For more information, see Run Transact-SQL statements using secure enclaves.

Enklav özellikli sütunlarda dizinler

Güvenli kapanım kullanarak gizli DML sorgularının daha hızlı çalışmasını sağlamak için rastgele şifreleme kullanarak enclave özellikli sütunlarda kümelenmemiş dizinler oluşturabilirsiniz.

Rastgele şifreleme kullanılarak şifrelenmiş bir sütundaki dizinin hassas verileri sızdırmadığından emin olmak için, dizin veri yapısındaki (B ağacı) anahtar değerleri şifrelenir ve düz metin değerlerine göre sıralanır. Düz metin değerine göre sıralamak, kapanım içindeki sorguları işlemek için de yararlıdır. Veritabanı Motoru'ndaki sorgu yürütücüsü, yalıtılmış alandaki hesaplamalar için şifrelenmiş bir sütunda dizin kullandığında, sütunda depolanan belirli değerleri bulmak için dizinde arama yapar. Her arama birden çok karşılaştırma içerebilir. The query executor delegates each comparison to the enclave, which decrypts a value stored in the column and the encrypted index key value to be compared, it performs the comparison on plaintext and it returns the result of the comparison to the executor.

Rastgele şifreleme kullanan ve kapanım etkin olmayan sütunlarda dizin oluşturma işlemi desteklenmez.

Belirleyici şifreleme kullanan bir sütundaki dizin, sütunun kapanım etkin olup olmadığına bakılmaksızın şifre metnine (düz metin değil) göre sıralanır.

For more information, see Create and use indexes on columns using Always Encrypted with secure enclaves. Veritabanı Altyapısı'nda dizin oluşturmanın nasıl çalıştığı hakkında genel bilgi için Açıklanan Kümelenmiş ve Kümelenmemiş Dizinlermakalesine bakın.

Veritabanı kurtarma

SQL Server örneği başarısız olursa veritabanları, veri dosyalarının tamamlanmamış işlemlerden bazı değişiklikler içerebileceği bir durumda bırakılabilir. Örnek başlatıldığında, veritabanının bütünlüğünün korunduğundan emin olmak için işlem günlüğünde bulunan tüm eksik işlemlerin geri döndürülmesini içeren veritabanı kurtarmaadlı bir işlem çalıştırır. Tamamlanmamış bir işlem dizinde herhangi bir değişiklik yaptıysa, bu değişikliklerin de geri alınması gerekir. Örneğin, dizindeki bazı anahtar değerlerinin kaldırılması veya yeniden eklenmeleri gerekebilir.

Önemli

Microsoft strongly recommends enabling Accelerated database recovery (ADR) for your database, before creating the first index on an enclave-enabled column encrypted with randomized encryption. ADR, Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği'nde varsayılan olarak etkindir. ADR, SQL Server 2019 (15.x) ve sonraki sürümlerde kullanılabilir ancak varsayılan olarak etkinleştirilmez.

With the traditional database recovery process (that follows the ARIES recovery model), to undo a change to an index, the Database Engine needs to wait until an application provides the column encryption key for the column to the enclave, which can take a long time. Hızlandırılmış veritabanı kurtarma (ADR), kapsam içindeki bellekte bir sütun şifreleme anahtarı kullanılamadığından ertelenmesi gereken geri alma işlemlerinin sayısını önemli ölçüde azaltır. Sonuç olarak, yeni bir işlemin engellenme olasılığını en aza indirerek veritabanı kullanılabilirliğini önemli ölçüde artırır. ADR etkinken, Veritabanı Altyapısı'nın eski veri sürümlerini temizlemeyi tamamlamak için yine de bir sütun şifreleme anahtarına ihtiyacı olabilir, ancak bunu veritabanının veya kullanıcı işlemlerinin kullanılabilirliğini etkilemeyen bir arka plan görevi olarak yapar. Hata günlüğünde eksik bir sütun şifreleme anahtarı nedeniyle temizleme işlemlerinin başarısız olduğunu belirten hata iletileri görebilirsiniz.

Güvenlikle ilgili dikkat edilmesi gerekenler

Aşağıdaki güvenlik konuları, güvenli kuşatmalarla Always Encrypted için geçerlidir.

VBS kuşatmaları, verilerinizin VM içindeki saldırılara karşı korunmasına yardımcı olur. Ancak, ana makineden kaynaklanan ayrıcalıklı sistem hesaplarını kullanan saldırılara karşı herhangi bir koruma sağlamaz. Intel SGX kuşatmaları, verileri hem konuk işletim sisteminden hem de konak işletim sisteminden kaynaklanan saldırılara karşı korur.
Ortamınız için kullanılabiliyorsa ve veritabanınızı barındıran makineye işletim sistemi düzeyinde yönetici erişimi olan kullanıcıların saldırılarına karşı verilerinizi koruma konusunda endişeleriniz varsa, kapanım kanıtlamasını kullanmanız önerilir. Kanıtlama kullanıyorsanız, kanıtlama hizmetinin ve yapılandırmasının güvenilir bir yönetici tarafından yönetildiğinden emin olmanız gerekir. Ayrıca, desteklenen her iki kimlik doğrulama hizmeti de farklı politikalar ve doğrulama modları sunmaktadır. Bu modlardan bazıları, güvenli bölge ve ortamın minimum düzeyde doğrulamasını gerçekleştirir ve test ile geliştirme için tasarlanmıştır. Üretim dağıtımlarınız için önerilen yapılandırmaları ve ilkeleri kullandığınızdan emin olmak için kanıtlama hizmetinize özgü yönergeleri yakından izleyin.
Bir sütunun, kapanım özellikli bir sütun şifreleme anahtarıyla rastgele şifreleme kullanılarak şifrelenmesi, sütunda depolanan verilerin sırasının sızdırılmasına neden olabilir, örneğin sütunlar aralık karşılaştırmalarını destekler. Örneğin, çalışan maaşlarını içeren şifrelenmiş bir sütunda dizin varsa, kötü amaçlı bir DBA en yüksek şifrelenmiş maaş değerini bulmak ve en yüksek maaşa sahip bir kişiyi tanımlamak için dizini tarar (kişinin adının şifrelenmediği varsayılarak).
Hassas verileri DTA'lar tarafından yetkisiz erişime karşı korumak için Always Encrypted kullanıyorsanız, sütun master anahtarlarını veya sütun şifreleme anahtarlarını DTA'larla paylaşmayın. DBA, kapanım içindeki sütun şifreleme anahtarlarının önbelleğini kullanarak anahtarlara doğrudan erişime gerek kalmadan şifrelenmiş sütunlardaki dizinleri yönetebilir.

İş sürekliliği, olağanüstü durum kurtarma ve veri geçişi ile ilgili dikkat edilmesi gerekenler

Always Encrypted'ı güvenli kuşatmalarla kullanarak bir veritabanı için yüksek kullanılabilirlik veya olağanüstü durum kurtarma çözümü yapılandırırken, tüm veritabanı çoğaltmalarının güvenli bir kapanım kullanabileceğine emin olun. Birincil replika için bir kapalı alan mevcutsa ancak ikincil replika için mevcut değilse, Always Encrypted işlevini güvenli kapalı alanlarla kullanmaya çalışan tüm ifadeler, yük devretmeden sonra başarısız olacaktır.

When you copy or migrate a database using Always Encrypted with secure enclaves, make sure the target environment always supports enclaves. Otherwise, statements that use enclaves won't work on the copy or the migrated database.

Aklınızda bulundurmanız gereken belirli noktalar şunlardır:

SQL Server
- When configuring an Always On availability group, make sure that each SQL Server instance hosting a database in the availability group support Always Encrypted with secure enclaves, and have an enclave and attestation configured.
- Güvenli enklavlarla Always Encrypted işlevini kullanan bir veritabanının yedekleme dosyasından, enklav yapılandırılmamış bir SQL Server örneğinde geri yükleme yapıldığında, geri yükleme işlemi başarılı olur ve enklava bağlı olmayan tüm işlevler kullanılabilir. Ancak, kapanım işlevini kullanan sonraki tüm deyimler başarısız olur ve rastgele şifreleme kullanan kapanım özellikli sütunlardaki dizinler geçersiz hale gelir. The same applies when attaching a database using Always Encrypted with secure enclaves on the instance that doesn't have the enclave configured.
- Veritabanınız rastgele şifreleme kullanan kapanım özellikli sütunlarda dizinler içeriyorsa, veritabanı yedeklemesi oluşturmadan önce veritabanında hızlandırılmış veritabanı kurtarma (ADR) etkinleştirdiğinizden emin olun. ADR, veritabanını geri yükledikten hemen sonra dizinler de dahil olmak üzere veritabanının kullanılabilir olmasını sağlar. Daha fazla bilgi için bkz. Veritabanı Kurtarma.
Azure SQL Veritabanı
- When configuring active geo-replication, make sure a secondary database supports secure enclaves, if the primary database does.

Hem SQL Server'da hem de Azure SQL Veritabanı'nda, veritabanınızı bir bacpac dosyası kullanarak geçirirken, bacpac dosyasını oluşturmadan önce rastgele şifreleme kullanarak gizli alanlar özellikli sütunlar için tüm indeksleri kaldırdığınızdan emin olmanız gerekir.

Bilinen sınırlamalar

Always Encrypted with secure enclaves addresses some limitations of Always Encrypted by supporting in-place encryption and richer confidential queries with indexes, as explained in Confidential computing capabilities for enclave-enabled columns.

Always Encrypted için Sınırlamaları'de listelenen diğer tüm sınırlamalar, güvenli veri bölgeleriyle Always Encrypted için de geçerlidir.

Aşağıdaki sınırlamalar, güvenli kuşatmalarla Always Encrypted'a özgüdür:

Kümelenmiş dizinler, rastgele şifreleme kullanılarak kapanım özellikli sütunlarda oluşturulamaz.
Enclave-enabled columns using randomized encryption can't be primary key columns and can't be referenced by foreign key constraints or unique key constraints.
SQL Server 2019'da (15.x) (bu sınırlama Azure SQL Veritabanı veya SQL Server 2022 (16.x) için geçerli değildir) yalnızca iç içe döngü birleşimleri (varsa dizinler kullanılarak) rastgele şifreleme kullanılarak kapanım özellikli sütunlarda desteklenir. Farklı ürünler arasındaki diğer farklar hakkında bilgi için bkz. Gizli sorgular.
In-place cryptographic operations can't be combined with any other changes of column metadata, except changing a collation within the same code page and nullability. Örneğin, bir sütunu şifreleyemez, yeniden şifreleyemez veya şifresini çözemez ve tek bir ALTER TABLE/ALTER COLUMN Transact-SQL deyiminde sütunun veri türünü değiştiremezsiniz. İki ayrı deyim kullanın.
Bellek içi tablolardaki sütunlar için kapanım özellikli anahtarların kullanılması desteklenmez.
Hesaplanan sütunları tanımlayan ifadeler, rastgele şifreleme kullanarak kapanım özellikli sütunlarda hesaplama gerçekleştiremez (hesaplamalar Gizli sorgular) içinde listelenen desteklenen işlemler arasında olsa bile).
Escape characters aren't supported in parameters of the LIKE operator on enclave-enabled columns using randomized encryption.
Aşağıdaki veri türlerinden birini kullanan (şifrelemeden sonra büyük nesnelere dönüşen) LIKE işlecine veya sorgu parametresine sahip bir karşılaştırma işlecine sahip sorgular dizinleri yoksayar ve tablo taramaları gerçekleştirir.
- n 3967'den büyükse nchar[n] ve nvarchar[n].
- n 7935'ten büyükse char[n], varchar[n], binary[n], varbinary[n].
Kapanım özellikli sütun master anahtarları depolamak için desteklenen tek anahtar depoları Windows Sertifika Deposu ve Azure Key Vault'tur.
VBS kapanım özellikli bir veritabanını geri yüklerken, VBS kapanım ayarını yeniden yapılandırmak önemlidir.