Habilitación de Always Encrypted con enclaves seguros en Azure SQL Database

Se aplica a: Base de datos de Azure SQL

En Azure SQL Database, Always Encrypted con enclaves seguros puede usar enclaves de Intel Software Guard Extensions (Intel SGX) o enclaves de seguridad basada en virtualización (VBS). Para más información, consulte Plan de atestación y enclaves de Intel SGX en Azure SQL Database.

Enclaves de Intel SGX

Para que Intel SGX esté disponible, las bases de datos deben usar el modelo de núcleo virtual y hardware de serie DC.

La configuración de hardware de serie DC para habilitar los enclaves de Intel SGX es responsabilidad del administrador de Azure SQL Database. Para más información, consulte Roles y responsabilidades al configurar la atestación y los enclaves de Intel SGX.

Nota

Intel SGX no está disponible en las configuraciones de hardware que no sean de serie DC. Por ejemplo, Intel SGX no está disponible para el hardware de serie estándar (Gen5) ni para las bases de datos que usan el modelo de DTU.

Importante

Antes de configurar el hardware de serie DC para la base de datos, compruebe la disponibilidad regional de la serie DC y asegúrese de que comprende sus limitaciones de rendimiento. Para obtener más información, vea Serie DC.

Para instrucciones detalladas sobre cómo configurar una base de datos nueva o existente para usar una configuración de hardware específica, consulte Configuración de hardware.

Para obtener más información, consulte Configuración de Azure Attestation para el servidor de base de datos de Azure SQL.

Enclaves de VBS

De forma predeterminada, las nuevas bases de datos se crean sin enclaves de VBS. Para habilitar un enclave de VBS en la base de datos o el grupo elástico, debe establecer la propiedad de base de datos preferredEnclaveType en VBS, que activa el enclave de VBS para la base de datos o el grupo elástico. Puede establecer preferredEnclaveType al crear una nueva base de datos o grupo elástico, o bien mediante la actualización de una base de datos o un grupo elástico existente. Cualquier base de datos que agregue a un grupo elástico heredará la propiedad del enclave, como el SLO de la base de datos. Por lo tanto, si agrega una base de datos sin enclaves VBS habilitados a un grupo elástico con VBS habilitado, esta nueva base de datos formará parte del grupo elástico y tendrá habilitados los enclaves VBS. No se admite la adición de una base de datos con enclaves de VBS habilitados a un grupo elástico sin enclaves de VBS.

Puede establecer la propiedad preferredEnclaveType mediante Azure Portal, SQL Server Management Studio, Azure PowerShell o la CLI de Azure.

Habilitación de enclaves de VBS mediante Azure Portal

Creación de una nueva base de datos o grupo elástico con un enclave VBS

1. Abra Azure Portal y busque la instancia lógica de SQL Server para la que desea crear una base de datos o un grupo elástico con un enclave de VBS.

2. Seleccione Crear base de datos o el botón Nuevo grupo elástico.

3. En la pestaña Seguridad, busque la sección Always Encrypted.

4. Establezca Habilitar enclaves seguros en ON. Esto creará una base de datos con un enclave de VBS habilitado.

   

Habilitación de un enclave de VBS para una base de datos existente o un grupo elástico

1. Abra Azure Portal y busque la base de datos o el grupo elástico para el que desea habilitar enclaves seguros.

2. Para una base de datos existente:

   1. En Configuración de seguridad, seleccione Cifrado de datos.

   2. En el menú Cifrado de datos, seleccione la pestaña Always Encrypted.

   3. Establezca Habilitar enclaves seguros en ON.

      

   4. Seleccione Guardar para guardar su configuración Always Encrypted.

3. Para un grupo elástico existente:

   1. En Configuración, seleccione Configuración.

   2. En el menú Configuración, seleccione la pestaña Always Encrypted.

   3. Establezca Habilitar enclaves seguros en ON.

      

   4. Seleccione Guardar para guardar su configuración Always Encrypted.

Habilitación de enclaves de VBS mediante SQL Server Management Studio

Descargue la última versión de SQL Server Management Studio (SSMS).

Creación de una base de datos con un enclave de VBS

1. Abra SSMS y conéctese al servidor lógico donde desea crear la base de datos.
2. Haga clic con el botón derecho en la carpeta Bases de datos y seleccione Nueva base de datos...
3. En la página Configurar SLO, establezca la opción Habilitar enclaves seguros en ON. Esto creará una base de datos con un enclave de VBS habilitado.

Habilitación de un enclave de VBS para una base de datos existente

1. Abra SSMS y conéctese al servidor lógico donde desea modificar la base de datos.
2. Haga clic con el botón secundario del mouse en la base de datos y seleccione Propiedades.
3. En la página Configurar SLO, establezca la opción Habilitar enclaves seguros en ON.
4. Seleccione Aceptar para guardar las propiedades de la base de datos.

Habilitación de enclaves de VBS con Azure PowerShell

Creación de una nueva base de datos o grupo elástico con un enclave VBS

Cree una base de datos con un enclave de VBS con el cmdlet New-AzSqlDatabase. En el ejemplo siguiente se crea una base de datos sin servidor con un enclave de VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Cree un nuevo grupo elástico con un enclave de VBS con el cmdlet New-AzSqlElasticPool. En el ejemplo siguiente se crea un grupo elástico con un enclave de VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Habilitación de un enclave de VBS para una base de datos existente o un grupo elástico

Para habilitar un enclave de VBS para una base de datos existente, use el cmdlet Set-AzSqlDatabase. Este es un ejemplo:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Para habilitar un enclave de VBS para un grupo elástico existente, use el cmdlet Set-AzSqlElasticPool . Este es un ejemplo:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Habilitación de enclaves de VBS con la CLI de Azure

Creación de una nueva base de datos o grupo elástico con un enclave VBS

Cree una base de datos con un enclave de VBS con el cmdlet az sql db create. En el ejemplo siguiente se crea una base de datos sin servidor con un enclave de VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Cree un nuevo grupo elástico con un enclave de VBS con el cmdlet az sql elastic-pool create. En el ejemplo siguiente se crea una base de datos sin servidor con un enclave de VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Habilitación de un enclave de VBS para una base de datos existente o un grupo elástico

Para habilitar un enclave de VBS para una base de datos existente, use el cmdlet az sql db update. Este es un ejemplo:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Para habilitar un enclave de VBS para un grupo elástico existente, use el cmdlet az sql elastic-pool update . Este es un ejemplo:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Consulte también

• Introducción al uso de Always Encrypted con enclaves seguros