Always Encrypted inschakelen met beveiligde enclaves in Azure SQL Database

van toepassing op:Azure SQL Database-

In Azure SQL Database kan Always Encrypted met beveiligde enclaves gebruikmaken van Intel Software Guard Extensions (Intel SGX)-enclaves of VBS-enclaves (Virtualization-based Security). Zie Plan voor beveiligde enclaves in Azure SQL Databasevoor meer informatie.

Intel SGX-enclaves

Om Intel SGX beschikbaar te maken, moet de database gebruikmaken van het vCore-model en DC-serie hardware.

Het configureren van de HARDWARE uit de DC-serie om Intel SGX-enclaves in te schakelen, is de verantwoordelijkheid van de Azure SQL Database-beheerder. Zie Rollen en verantwoordelijkheden bij het configureren van Intel SGX-enclaves en attestation-voor meer informatie.

Notitie

Intel SGX is niet beschikbaar in andere hardwareconfiguraties dan DC-serie. Intel SGX is bijvoorbeeld niet beschikbaar voor standaardseriehardware (Gen5) en is niet beschikbaar voor databases die gebruikmaken van het DTU-model.

Belangrijk

Voordat u de DC-seriehardware voor uw database configureert, controleert u de regionale beschikbaarheid van dc-serie en zorgt u ervoor dat u de prestatiebeperkingen begrijpt. Zie DC-serievoor meer informatie.

Zie Hardwareconfiguratievoor gedetailleerde instructies over het configureren van een nieuwe of bestaande database voor het gebruik van een specifieke hardwareconfiguratie.

Raadpleeg Azure Attestation configureren voor uw Azure SQL-databaseservervoor meer informatie.

VBS-enclaves

Standaard wordt er een nieuwe database gemaakt zonder VBS-enclaves. Als u een VBS-enclave in uw database of elastische pool wilt inschakelen, moet u de eigenschap PreferredEnclaveTypedatabase-eigenschap instellen om VBS-te, waarmee de VBS-enclave voor de database of de elastische pool wordt geactiveerd. U kunt preferredEnclaveType instellen wanneer u een nieuwe database of elastische pool maakt of door een bestaande database of elastische pool bij te werken. Elke database die u aan een elastische pool toevoegt, neemt de enclave-eigenschap ervan over, zoals de SLO van de database. Als u dus een database toevoegt zonder VBS-enclaves die zijn ingeschakeld voor een elastische pool waarvoor VBS is ingeschakeld, wordt deze nieuwe database onderdeel van de elastische pool en worden VBS-enclaves ingeschakeld voor deze database. Het toevoegen van een database met ingeschakelde VBS-enclaves aan een elastische pool zonder VBS-enclaves wordt niet ondersteund.

U kunt de eigenschap preferredEnclaveType instellen met behulp van Azure Portal, SQL Server Management Studio, Azure PowerShell of de Azure CLI.

VBS-enclaves inschakelen met behulp van Azure Portal

Een nieuwe database of elastische pool maken met een VBS-enclave

1. Open de Azure Portal en zoek de logische SQL Server waarvoor u een database of elastische pool wilt maken met een VBS-enclave.

2. Selecteer Maak database of de knop Nieuwe elastische pool.

3. Ga op het tabblad Security naar de sectie Always Encrypted.

4. Stel Beveiligde enclaves inschakelen in op ON-. Hiermee maakt u een database waarvoor een VBS-enclave is ingeschakeld.

   

Een VBS-enclave inschakelen voor een bestaande database of elastische pool

1. Open de Azure Portal en zoek de database of elastische pool waarvoor u beveiligde enclaves wilt inschakelen.

2. Voor een bestaande database:

   1. Selecteer Data Encryptionin Instellingen voor beveiliging.

   2. Selecteer in het menu Data Encryption het tabblad Always Encrypted.

   3. Stel Beveiligde enclaves inschakelen in op ON-.

      

   4. Selecteer Opslaan om uw Always Encrypted-configuratie op te slaan.

3. Voor een bestaande elastische pool:

   1. Selecteer in InstellingenConfiguratie.

   2. Selecteer in het menu Configuration het tabblad Always Encrypted.

   3. Stel Beveiligde enclaves inschakelen in op ON-.

      

   4. Selecteer Opslaan om uw Always Encrypted-configuratie op te slaan.

VBS-enclaves inschakelen met behulp van SQL Server Management Studio

Download de nieuwste versie van SSMS (SQL Server Management Studio).

Een nieuwe database maken met een VBS-enclave

1. Open SSMS en maak verbinding met de logische server waar u de database wilt maken.
2. Klik met de rechtermuisknop op de map Databases en selecteer Nieuwe database...
3. Stel op de pagina Configureer SLO de optie Beveiligde Enclaves Inschakelen in op ON. Hiermee maakt u een database waarvoor een VBS-enclave is ingeschakeld.

Een VBS-enclave inschakelen voor een bestaande database

1. Open SSMS en maak verbinding met de logische server waar u de database wilt wijzigen.
2. Klik met de rechtermuisknop op de database en selecteer Eigenschappen.
3. Stel op de pagina SLO- configureren de optie Beveiligde enclaves inschakelen in op ON.
4. Selecteer OK- om de database-eigenschappen op te slaan.

VBS-enclaves inschakelen met behulp van Azure PowerShell

Een nieuwe database of elastische pool maken met een VBS-enclave

Maak een nieuwe database met een VBS-enclave met de cmdlet New-AzSqlDatabase. In het volgende voorbeeld wordt een serverloze database gemaakt met een VBS-enclave.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Maak een nieuwe elastische pool met een VBS-enclave met de cmdlet New-AzSqlElasticPool. In het volgende voorbeeld wordt een elastische pool gemaakt met een VBS-enclave.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Een VBS-enclave inschakelen voor een bestaande database of elastische pool

Als u een VBS-enclave wilt inschakelen voor een bestaande database, gebruikt u de cmdlet Set-AzSqlDatabase. Hier volgt een voorbeeld:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Als u een VBS-enclave wilt inschakelen voor een bestaande elastische pool, gebruikt u de cmdlet Set-AzSqlElasticPool. Hier volgt een voorbeeld:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

VBS-enclaves inschakelen met behulp van Azure CLI

Een nieuwe database of elastische pool maken met een VBS-enclave

Maak een nieuwe database met een VBS-enclave met de cmdlet az sql db create. In het volgende voorbeeld wordt een serverloze database gemaakt met een VBS-enclave.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Maak een nieuwe elastische pool aan die een VBS-enclave heeft met behulp van de az sql elastic-pool create cmdlet. In het volgende voorbeeld wordt een serverloze database gemaakt met een VBS-enclave.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Een VBS-enclave inschakelen voor een bestaande database of elastische pool

Als u een VBS-enclave wilt inschakelen voor een bestaande database, gebruikt u de az sql db update cmdlet. Hier volgt een voorbeeld:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Als u een VBS-enclave wilt inschakelen voor een bestaande elastische pool, gebruikt u de az sql elastic-pool update cmdlet. Hier volgt een voorbeeld:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Zie ook

• Aan de slag met Always Encrypted met beveiligde enclaves