Always Encrypted inschakelen met beveiligde enclaves in Azure SQL Database

Van toepassing op: Azure SQL Database

In Azure SQL Database kan Always Encrypted met beveiligde enclaves gebruikmaken van Intel Software Guard Extensions (Intel SGX)-enclaves of VBS-enclaves (Virtualization-based Security). Zie Plannen voor beveiligde enclaves in Azure SQL Database voor meer informatie.

Intel SGX-enclaves

Om Intel SGX beschikbaar te maken, moet de database gebruikmaken van de vCore-model - en DC-serie hardware.

Het configureren van de HARDWARE uit de DC-serie om Intel SGX-enclaves in te schakelen, is de verantwoordelijkheid van de Azure SQL Database-beheerder. Zie Rollen en verantwoordelijkheden bij het configureren van Intel SGX-enclaves en attestation voor meer informatie.

Notitie

Intel SGX is niet beschikbaar in andere hardwareconfiguraties dan DC-serie. Intel SGX is bijvoorbeeld niet beschikbaar voor standaardseriehardware (Gen5) en is niet beschikbaar voor databases die gebruikmaken van het DTU-model.

Belangrijk

Voordat u de DC-seriehardware voor uw database configureert, controleert u de regionale beschikbaarheid van dc-serie en zorgt u ervoor dat u de prestatiebeperkingen begrijpt. Zie DC-serie voor meer informatie.

Zie Hardwareconfiguratie voor gedetailleerde instructies over het configureren van een nieuwe of bestaande database voor het gebruik van een specifieke hardwareconfiguratie.

Volgende stappen

• Azure Attestation configureren voor uw Azure SQL-databaseserver

VBS-enclaves

Belangrijk

De functie VBS-enclaves in Azure SQL Database is momenteel beschikbaar als preview-versie. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, in preview of op een andere manier nog niet algemeen beschikbaar zijn.

Standaard wordt er een nieuwe database gemaakt zonder VBS-enclaves. Als u een VBS-enclave in uw database of elastische pool wilt inschakelen, moet u de eigenschap preferredEnclaveType-databaseinstellen op VBS, waarmee de VBS-enclave voor de database of de elastische pool wordt geactiveerd. U kunt preferredEnclaveType instellen wanneer u een nieuwe database of elastische pool maakt of door een bestaande database of elastische pool bij te werken. Elke database die u aan een elastische pool toevoegt, neemt de enclave-eigenschap ervan over, zoals de SLO van de database. Als u dus een database toevoegt zonder VBS-enclaves die zijn ingeschakeld voor een elastische pool waarvoor VBS is ingeschakeld, wordt deze nieuwe database onderdeel van de elastische pool en worden VBS-enclaves ingeschakeld voor deze database. Het toevoegen van een database met VBS-enclaves die zijn ingeschakeld voor een elastische pool zonder VBS-enclaves, wordt niet ondersteund.

U kunt de eigenschap preferredEnclaveType instellen met behulp van Azure Portal, SQL Server Management Studio, Azure PowerShell of de Azure CLI.

VBS-enclaves inschakelen met behulp van Azure Portal

Een nieuwe database of elastische pool maken met een VBS-enclave

1. Open Azure Portal en zoek de logische SQL Server waarvoor u een database of elastische pool wilt maken met een VBS-enclave.

2. Selecteer Database maken of de knop Nieuwe elastische pool .

3. Zoek op het tabblad Beveiliging de sectie Always Encrypted .

4. Stel Beveiligde enclaves in op AAN. Hiermee maakt u een database waarvoor een VBS-enclave is ingeschakeld.

   

Een VBS-enclave inschakelen voor een bestaande database of elastische pool

1. Open Azure Portal en zoek de database of elastische pool waarvoor u beveiligde enclaves wilt inschakelen.

2. Voor een bestaande database:

   1. Selecteer gegevensversleuteling in beveiligingsinstellingen.

   2. Selecteer in het menu Gegevensversleuteling het tabblad Always Encrypted .

   3. Stel Beveiligde enclaves in op AAN.

      

   4. Selecteer Opslaan om uw Always Encrypted-configuratie op te slaan.

3. Voor een bestaande elastische pool:

   1. Selecteer Configuratie in Instellingen.

   2. Selecteer in het menu Configuratie het tabblad Always Encrypted .

   3. Stel Beveiligde enclaves in op AAN.

      

   4. Selecteer Opslaan om uw Always Encrypted-configuratie op te slaan.

VBS-enclaves inschakelen met BEHULP van SQL Server Management Studio

Download de nieuwste versie van SQL Server Management Studio (SSMS).

Een nieuwe database maken met een VBS-enclave

1. Open SSMS en maak verbinding met de logische server waar u de database wilt maken.
2. Klik met de rechtermuisknop op de map Databases en selecteer Nieuwe database...
3. Stel op de pagina SLO configureren de optie Beveiligde enclaves inschakelen in op AAN. Hiermee maakt u een database waarvoor een VBS-enclave is ingeschakeld.

Een VBS-enclave inschakelen voor een bestaande database

1. Open SSMS en maak verbinding met de logische server waar u de database wilt wijzigen.
2. Klik met de rechtermuisknop op de database en selecteer Eigenschappen.
3. Stel op de pagina SLO configureren de optie Beveiligde enclaves inschakelen in op AAN.
4. Selecteer OK om de database-eigenschappen op te slaan.

VBS-enclaves inschakelen met behulp van Azure PowerShell

Een nieuwe database of elastische pool maken met een VBS-enclave

Maak een nieuwe database met een VBS-enclave met de cmdlet New-AzSqlDatabase . In het volgende voorbeeld wordt een serverloze database gemaakt met een VBS-enclave.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Maak een nieuwe elastische pool met een VBS-enclave met de cmdlet New-AzSqlElasticPool . In het volgende voorbeeld wordt een elastische pool gemaakt met een VBS-enclave.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Een VBS-enclave inschakelen voor een bestaande database of elastische pool

Als u een VBS-enclave voor een bestaande database wilt inschakelen, gebruikt u de cmdlet Set-AzSqlDatabase . Hier volgt een voorbeeld:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Als u een VBS-enclave wilt inschakelen voor een bestaande elastische pool, gebruikt u de cmdlet Set-AzSqlElasticPool . Hier volgt een voorbeeld:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

VBS-enclaves inschakelen met behulp van Azure CLI

Een nieuwe database of elastische pool maken met een VBS-enclave

Maak een nieuwe database met een VBS-enclave met de cmdlet az sql db create . In het volgende voorbeeld wordt een serverloze database gemaakt met een VBS-enclave.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Maak een nieuwe elastische pool met een VBS-enclave met de cmdlet az sql elastic-pool create . In het volgende voorbeeld wordt een serverloze database gemaakt met een VBS-enclave.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Een VBS-enclave inschakelen voor een bestaande database of elastische pool

Als u een VBS-enclave wilt inschakelen voor een bestaande database, gebruikt u de cmdlet az sql db update . Hier volgt een voorbeeld:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Als u een VBS-enclave wilt inschakelen voor een bestaande elastische pool, gebruikt u de cmdlet az sql elastic-pool update . Hier volgt een voorbeeld:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Zie ook

• Aan de slag met Always Encrypted met beveiligde enclaves