Freigeben über


Rotation von Enclave-fähigen Schlüsseln

Anwendbar für: SQL Server 2019 (15.x) und höher – ausschließlich Windows Azure SQL-Datenbank

Bei Always Encrypted ist eine Schlüsselrotation ein Vorgang, bei dem ein vorhandener Spaltenhauptschlüssel oder ein Spaltenverschlüsselungsschlüssel durch einen neuen Schlüssel ersetzt wird. In diesem Artikel werden Anwendungsfälle und Überlegungen zur Schlüsselrotation bei Always Encrypted mit Secure Enclaves beschrieben, wenn der ursprüngliche Schlüssel und/oder der Zielschlüssel (neuer Schlüssel) Enclave-fähig ist. Allgemeine Richtlinien und Verfahren zum Verwalten von Always Encrypted-Schlüsseln finden Sie unter Übersicht über die Schlüsselverwaltung für Always Encrypted.

Möglicherweise müssen Sie aus Sicherheits- oder Konformitätsgründen eine Schlüsselrotation durchführen. Dies kann beispielsweise der Fall sein, wenn ein Schlüssel kompromittiert wurde oder die Richtlinien Ihrer Organisation verlangen, dass Sie Schlüssel regelmäßig ersetzen. Zudem bietet die Schlüsselrotation mithilfe von Always Encrypted mit Secure Enclaves eine Möglichkeit, die Funktion der serverseitigen Secure Enclave für die verschlüsselten Spalten zu aktivieren oder zu deaktivieren.

  • Wenn Sie einen nicht Enclave-fähigen Schlüssel durch einen Enclave-fähigen Schlüssel ersetzen, entsperren Sie die Funktion der Secure Enclave, um mit dem Schlüssel geschützte Spalten abzufragen. Weitere Informationen finden Sie unter Aktivieren von Always Encrypted mit Secure Enclaves für vorhandene verschlüsselte Spalten.
  • Wenn Sie einen Enclave-fähigen Schlüssel durch einen nicht Enclave-fähigen Schlüssel ersetzen, deaktivieren Sie die Funktion der Secure Enclave, um mit dem Schlüssel geschützte Spalten abzufragen.

Wenn Sie eine Schlüsselrotation nur aus Sicherheits- oder Compliancegründen durchführen und keine Enclave-Berechnungen für die Spalten aktivieren oder deaktivieren möchten, stellen Sie sicher, dass der Zielschlüssel in Bezug auf Enclaves dieselbe Konfiguration wie der Quellschlüssel aufweist. Wenn der Quellschlüssel beispielsweise Enclave-fähig ist, muss der Zielschlüssel ebenfalls Enclave-fähig sein.

Die folgenden Schritte enthalten je nach Rotationsszenario Links zu ausführlichen Artikeln:

  1. Stellen Sie einen neuen Schlüssel (Spaltenhauptschlüssel oder Spaltenverschlüsselungsschlüssel) bereit.
  2. Ersetzen Sie einen vorhandenen Schlüssel durch den neuen Schlüssel.

Nächste Schritte

Siehe auch