Zelfstudie: Aan de slag met Always Encrypted met Intel SGX-enclaves in Azure SQL Database

Van toepassing op: Azure SQL Database

In deze zelfstudie leert u hoe u aan de slag gaat met Always Encrypted met beveiligde enclaves in Azure SQL Database. U gebruikt Intel Software Guard Extensions (Intel SGX)-enclaves. U ziet het volgende:

• Een omgeving maken voor het testen en evalueren van Always Encrypted met Intel SGX-enclaves.
• In-place gegevens versleutelen en uitgebreide vertrouwelijke query's uitvoeren op versleutelde kolommen met behulp van SQL Server Management Studio (SSMS).

Vereisten

• Een actief Azure-abonnement. Als u nog geen account hebt, kunt u een gratis account maken. U moet lid zijn van de rol Inzender of de rol Eigenaar voor het abonnement om resources te kunnen maken en een attestation-beleid te kunnen configureren.
• Optioneel, maar aanbevolen voor het opslaan van uw kolomhoofdsleutel voor Always Encrypted: een sleutelkluis in Azure Key Vault. Zie quickstart: Een sleutelkluis maken met behulp van Azure Portal voor meer informatie over het maken van een sleutelkluis.
  • Als uw sleutelkluis gebruikmaakt van het machtigingsmodel voor toegangsbeleid, moet u ervoor zorgen dat u de volgende sleutelmachtigingen hebt in de sleutelkluis: get, , createlist, unwrap key, wrap key, , . verifysign Zie Toegangsbeleid voor Key Vault toewijzen voor meer informatie.
  • Als u het RBAC-machtigingsmodel (op rollen gebaseerd toegangsbeheer) van Azure gebruikt, moet u ervoor zorgen dat u lid bent van de rol Crypto Officer van Key Vault voor uw sleutelkluis. Zie Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met een op rollen gebaseerd toegangsbeheer van Azure.
• De nieuwste versie van SQL Server Management Studio (SSMS).

PowerShell-vereisten

Notitie

De vereisten die in deze sectie worden vermeld, zijn alleen van toepassing als u PowerShell wilt gebruiken voor een aantal van de stappen in deze zelfstudie. Als u in plaats daarvan Azure Portal wilt gebruiken, kunt u deze sectie overslaan.

Az PowerShell module versie 9.3.0 of hoger is vereist. Zie De Azure Az PowerShell-module installeren voor meer informatie over het installeren van de Az PowerShell-module. Voer de volgende opdracht uit vanuit PowerShell om te bepalen welke versie van de Az PowerShell-module op uw computer is geïnstalleerd.

Get-InstalledModule -Name Az

Stap 1: Een server en een DC-seriedatabase maken en configureren

In deze stap maakt u een nieuwe logische Azure SQL Database-server en een nieuwe database met dc-seriehardware die vereist is voor Always Encrypted met beveiligde enclaves. Zie DC-serie voor meer informatie.

Portal

1. Blader naar de optiepagina SQL-implementatie selecteren.

2. Als u nog niet bent aangemeld bij Azure Portal, meldt u zich aan wanneer u hierom wordt gevraagd.

3. Laat onder SQL-databases de optie Resourcetype ingesteld op Eén database en selecteer Maken.

   

4. Selecteer op het tabblad Basisinformatie van het formulier SQL-database maken, onder Projectgegevens, het gewenste Azure-abonnement.

5. Selecteer Nieuwe maken voor de resourcegroep, voer een naam in voor uw resourcegroep en selecteer OK.

6. Voer contosoHR in voor databasenaam.

7. Selecteer voor Server de optie Nieuwe maken en vul het formulier Nieuwe server in met de volgende waarden:

   • Servernaam: Voer mysqlserver in en voeg enkele tekens toe voor uniekheid. We kunnen geen exacte servernaam geven die moet worden gebruikt omdat servernamen globaal uniek moeten zijn voor alle servers in Azure en niet alleen uniek moeten zijn binnen een abonnement. Voer dus iets in als mysqlserver135 en de portal laat u weten of deze beschikbaar is of niet.
   • Locatie: Selecteer een locatie in de vervolgkeuzelijst.

     Belangrijk

     U moet een locatie (een Azure-regio) selecteren die zowel hardware uit de DC-serie als Microsoft Azure Attestation ondersteunt. Zie beschikbaarheid van DC-serie voor de lijst met regio's die DC-serie ondersteunen. Dit is de regionale beschikbaarheid van Microsoft Azure Attestation.

   • Verificatiemethode: SELECTEER SQL-verificatie gebruiken
   • Aanmelding van de serverbeheerder: voer een aanmeldingsnaam voor de beheerder in, bijvoorbeeld: azureuser.
   • Wachtwoord: voer een wachtwoord in dat voldoet aan de vereisten en voer het opnieuw in het veld Wachtwoord bevestigen in.
   • Selecteer OK.

8. Laat de instelling voor Wilt u een elastische SQL-pool gebruiken? ongewijzigd op Nee.

9. Selecteer onder Compute en opslag de optie Database configureren en selecteer Configuratie wijzigen.

   

10. Selecteer de hardwareconfiguratie van de DC-serie en selecteer VERVOLGENS OK.

    

11. Selecteer Toepassen.

12. Controleer op het tabblad Basisbeginselen of Compute + opslag is ingesteld op Algemeen gebruik, DC, 2 vCores, 32 GB-opslag.

13. Voor redundantie van back-upopslag selecteert u Lokaal redundante back-upopslag.

14. Selecteer Volgende: Netwerken onder aan de pagina.

    

15. Selecteer op het tabblad Netwerken voor Verbindingsmethode de optie Openbaar eindpunt.

16. Stel voor Firewallregels de optie Huidig IP-adres van client toevoegen in op Ja. Laat de instelling voor Toestaan dat Azure-services en -resources toegang tot deze server krijgen ongewijzigd op Nee.

17. Voor verbindingsbeleid laat u het verbindingsbeleid op de standaardwaarde staan: maakt gebruik van omleidingsbeleid voor alle clientverbindingen die afkomstig zijn van Azure en Proxy voor alle clientverbindingen die afkomstig zijn van buiten Azure

18. Voor versleutelde verbindingen laat u de minimale TLS-versie op TLS 1.2 staan.

19. Selecteer Controleren en maken onderaan de pagina.

    

20. Selecteer op de pagina Controleren en maken na het controleren de optie Maken.

Powershell

1. Open een PowerShell-console en importeer de vereiste versie van de Az PowerShell-module.

   Import-Module "Az" -MinimumVersion "9.3.0"
   

2. Meld u aan bij Azure. Schakel indien nodig over naar het abonnement dat u voor deze zelfstudie gebruikt.

   Connect-AzAccount
   $subscriptionId = "<your subscription ID>"
   $context = Set-AzContext -Subscription $subscriptionId
   

3. Maak een nieuwe resourcegroep.

   Belangrijk

   U moet uw resourcegroep maken in een regio (locatie) die ondersteuning biedt voor hardware uit de DC-serie en Microsoft Azure Attestation. Zie beschikbaarheid van DC-serie voor de lijst met regio's die DC-serie ondersteunen. Dit is de regionale beschikbaarheid van Microsoft Azure Attestation.

   $resourceGroupName = "<your new resource group name>"
   $location = "<Azure region supporting DC-series and Microsoft Azure Attestation>"
   New-AzResourceGroup -Name $resourceGroupName -Location $location
   

4. Maak een logische Azure SQL-server. Wanneer u hierom wordt gevraagd, voert u de naam van de serverbeheerder en een wachtwoord in. Zorg ervoor dat u de beheerdersnaam en het wachtwoord onthoudt. U hebt deze later nodig om verbinding te maken met de server.

   $serverName = "<your server name>" 
   New-AzSqlServer -ServerName $serverName -ResourceGroupName $resourceGroupName -Location $location -SqlAdministratorCredentials (Get-Credential)
   

5. Maak een serverfirewallregel die toegang vanaf het opgegeven IP-bereik toestaat.

   $startIp = "<start of IP range>"
   $endIp = "<end of IP range>"
   $serverFirewallRule = New-AzSqlServerFirewallRule -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -FirewallRuleName "AllowedIPs" -StartIpAddress $startIp -EndIpAddress $endIp
   

6. Maak een DC-seriedatabase.

   $databaseName = "ContosoHR"
   $edition = "GeneralPurpose"
   $vCore = 2
   $generation = "DC"
   New-AzSqlDatabase -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -DatabaseName $databaseName `
    -Edition $edition `
    -Vcore $vCore `
    -ComputeGeneration $generation
   

Stap 2: Een attestation-provider configureren

In deze stap maakt en configureert u een Attestation-provider in Microsoft Azure Attestation. Dit is nodig om de beveiligde enclave te bevestigen die uw database gebruikt.

Portal

1. Blader naar de pagina Attestation-provider maken.

2. Geef op de pagina Attestation-provider maken de volgende invoer op:

   • Abonnement: Kies hetzelfde abonnement waarin u de logische Azure SQL-server hebt gemaakt.
   • Resourcegroep: kies dezelfde resourcegroep waarin u de logische Azure SQL-server hebt gemaakt.
   • Naam: voer myattestprovider in en voeg enkele tekens toe voor uniekheid. We kunnen geen exacte attestation-providernaam opgeven die moet worden gebruikt, omdat namen wereldwijd uniek moeten zijn. Voer dus iets in als myattestprovider12345 en de portal laat u weten of deze beschikbaar is of niet.
   • Locatie: Kies dezelfde locatie als uw logische Azure SQL-server.
   • Certificaatbestand voor beleidsaantekening: laat dit veld leeg, omdat u een niet-ondertekend beleid configureert.

3. Nadat u de vereiste invoer hebt opgegeven, selecteert u Beoordelen en maken.

   

4. Selecteer Maken.

5. Zodra de attestation-provider is gemaakt, selecteert u Ga naar de resource.

6. Kopieer op het tabblad Overzicht voor de Attestation-provider de waarde van de attest-URI-eigenschap naar het klembord en sla deze op in een bestand. Dit is de attestation-URL, die u in latere stappen nodig hebt.

   

7. Selecteer Beleid in het resourcemenu aan de linkerkant van het venster of in het onderste deelvenster.

8. Stel attestation-type in op SGX-IntelSDK.

9. Selecteer Configureren in het bovenste menu.

   

10. Stel de beleidsindeling in op Tekst. Laat beleidsopties ingesteld op Beleid invoeren.

11. Vervang in het tekstveld Beleid het standaardbeleid door het onderstaande beleid. Zie Een Attestation-provider maken en configureren voor meer informatie over het onderstaande beleid.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

1. Selecteer Opslaan.

   

2. Selecteer Vernieuwen in het bovenste menu om het geconfigureerde beleid weer te geven.

Powershell

1. Kopieer het onderstaande attestation-beleid en sla het beleid op in een tekstbestand (txt). Zie Een Attestation-provider maken en configureren voor meer informatie over het onderstaande beleid.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

1. Maak een attestation-provider.

   $attestationProviderName = "<your attestation provider name>" 
   New-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName -Location $location
   

2. Wijs uzelf toe aan de rol Attestation-inzender voor de attestation-provider om ervoor te zorgen dat u gemachtigd bent om een attestation-beleid te configureren.

   New-AzRoleAssignment -SignInName $context.Account.Id `
    -RoleDefinitionName "Attestation Contributor" `
    -ResourceName $attestationProviderName `
    -ResourceType "Microsoft.Attestation/attestationProviders" `
    -ResourceGroupName $resourceGroupName
   

3. Configureer uw attestation-beleid.

   $policyFile = "<the pathname of the file from step 1 in this section>"
   $teeType = "SgxEnclave"
   $policyFormat = "Text"
   $policy=Get-Content -path $policyFile -Raw
   Set-AzAttestationPolicy -Name $attestationProviderName `
    -ResourceGroupName $resourceGroupName `
    -Tee $teeType `
    -Policy $policy `
    -PolicyFormat  $policyFormat
   

4. Haal de attestation-URL (de Attest-URI van uw Attestation-provider) op.

   $attestationUrl = (Get-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName).AttestUri
   Write-Host "Your attestation URL is: $attestationUrl"
   

   De attestation-URL moet er als volgt uitzien: https://myattestprovider12345.eus.attest.azure.net

Stap 3: De database vullen

In deze stap maakt u een tabel en vult u deze met enkele gegevens die u later gaat versleutelen en er query's op uitvoeren.

1. Open SSMS en maak verbinding met de ContosoHR-database op de logische Azure SQL-server die u hebt gemaakt zonder Always Encrypted ingeschakeld in de databaseverbinding.

   1. Geef in het dialoogvenster Verbinding maken met server de volledig gekwalificeerde naam van uw server op (bijvoorbeeld myserver135.database.windows.net) en voer de gebruikersnaam van de beheerder en het wachtwoord in dat u hebt opgegeven toen u de server maakte.

   2. Selecteer Opties >> en selecteer het tabblad Verbindingseigenschappen . Zorg ervoor dat u de ContosoHR-database selecteert (niet de standaarddatabase master ).

   3. Selecteer het tabblad Always Encrypted .

   4. Zorg ervoor dat het selectievakje Always Encrypted (kolomversleuteling) inschakelen niet is ingeschakeld.

      

   5. Selecteer Verbinding maken.

2. Maak een nieuwe tabel met de naam Werknemers.

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
       [SSN] [char](11) NOT NULL,
       [FirstName] [nvarchar](50) NOT NULL,
       [LastName] [nvarchar](50) NOT NULL,
       [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   GO
   

3. Voeg enkele werknemersrecords toe aan de tabel Werknemers .

   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('795-73-9838'
           , N'Catherine'
           , N'Abel'
           , $31692);
   
   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('990-00-6818'
           , N'Kim'
           , N'Abercrombie'
           , $55415);
   

Stap 4: Sleutels met enclave inrichten

In deze stap maakt u een kolomhoofdsleutel en een kolomversleutelingssleutel waarmee enclaveberekeningen zijn toegestaan.

1. Vouw met behulp van het SSMS-exemplaar uit de vorige stap in Objectverkenner uw database uit en navigeer naar Always Encrypted-sleutels voor beveiliging>.

2. Richt een nieuwe kolomhoofdsleutel met enclave in:

   1. Klik met de rechtermuisknop op Always Encrypted-sleutels en selecteer Nieuwe kolomhoofdsleutel....
   2. Voer een naam in voor de nieuwe kolomhoofdsleutel: CMK1.
   3. Controleer of Enclaveberekeningen toestaan is geselecteerd. (Deze optie wordt standaard geselecteerd als een beveiligde enclave is ingeschakeld voor de database. Deze moet worden ingeschakeld omdat uw database gebruikmaakt van de hardwareconfiguratie van de DC-serie.)
   4. Selecteer Azure Key Vault (aanbevolen) of Windows Certificate Store (huidige gebruiker of lokale computer).
      • Als u Azure Key Vault selecteert, meldt u zich aan bij Azure, selecteert u een Azure-abonnement met een sleutelkluis die u wilt gebruiken en selecteert u uw sleutelkluis. Selecteer Sleutel genereren om een nieuwe sleutel te maken.
      • Als u Windows Certificate Store selecteert, selecteert u de knop Certificaat genereren om een nieuw certificaat te maken.
   5. Selecteer OK.

3. Maak een nieuwe enclave-versleutelingssleutel voor kolommen:

   1. Klik met de rechtermuisknop op Always Encrypted-sleutels en selecteer Nieuwe kolomversleutelingssleutel.
   2. Voer een naam in voor de nieuwe kolomversleutelingssleutel: CEK1.
   3. Selecteer in de vervolgkeuzelijst Kolomhoofdsleutel de kolomhoofdsleutel die u in de vorige stappen hebt gemaakt.
   4. Selecteer OK.

Stap 5: Enkele kolommen ter plaatse versleutelen

In deze stap versleutelt u de gegevens die zijn opgeslagen in de kolommen SSN en Salaris in de enclave aan de serverzijde en test u vervolgens een SELECT-query op de gegevens.

1. Open een nieuw SSMS-exemplaar en maak verbinding met uw database met Always Encrypted ingeschakeld voor de databaseverbinding.

   1. Start een nieuw exemplaar van SSMS.

   2. Geef in het dialoogvenster Verbinding maken met server de volledig gekwalificeerde naam van uw server op (bijvoorbeeld myserver135.database.windows.net) en voer de gebruikersnaam van de beheerder en het wachtwoord in dat u hebt opgegeven toen u de server maakte.

   3. Selecteer Opties >> en selecteer het tabblad Verbindingseigenschappen . Zorg ervoor dat u de ContosoHR-database selecteert (niet de standaarddatabase master ).

   4. Selecteer het tabblad Always Encrypted .

   5. Schakel het selectievakje Always Encrypted inschakelen (kolomversleuteling) in.

   6. Selecteer Beveiligde enclaves inschakelen. (Deze stap is van toepassing op SSMS 19 of hoger.)

   7. Stel Protocol in op Microsoft Azure Attestation. (Deze stap is van toepassing op SSMS 19 of hoger.)

   8. Geef uw enclave attestation-URL op die u hebt verkregen door de stappen in stap 2 te volgen: Een attestation-provider configureren. Zie de onderstaande schermopname.

      

   9. Selecteer Verbinding maken.

   10. Als u wordt gevraagd parameterisatie in te schakelen voor Always Encrypted-query's, selecteert u Inschakelen.

2. Open met hetzelfde SSMS-exemplaar (met Always Encrypted ingeschakeld) een nieuw queryvenster en versleutel de kolommen SSN en Salaris door de onderstaande instructies uit te voeren.

   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [Salary] [money]
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
   

   Notitie

   Let op de instructie ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE om de cache van het queryplan voor de database in het bovenstaande script te wissen. Nadat u de tabel hebt gewijzigd, moet u de plannen voor alle batches en opgeslagen procedures wissen die toegang hebben tot de tabel om versleutelingsinformatie over parameters te vernieuwen.

3. Als u wilt controleren of de kolommen SSN en Salaris nu zijn versleuteld, opent u een nieuw queryvenster in het SSMS-exemplaar zonder Always Encrypted ingeschakeld voor de databaseverbinding en voert u de onderstaande instructie uit. Het queryvenster moet versleutelde waarden retourneren in de kolommen SSN en Salaris . Als u dezelfde query uitvoert met behulp van het SSMS-exemplaar waarvoor Always Encrypted is ingeschakeld, ziet u de gegevens ontsleuteld.

   SELECT * FROM [HR].[Employees];
   

Stap 6: Uitgebreide query's uitvoeren op versleutelde kolommen

U kunt uitgebreide query's uitvoeren op de versleutelde kolommen. Sommige queryverwerking wordt uitgevoerd in uw enclave aan de serverzijde.

1. Zorg ervoor dat parameterisatie voor Always Encrypted ook is ingeschakeld in het SSMS-exemplaar waarvoor Always Encrypted is ingeschakeld.

   1. Selecteer Extra in het hoofdmenu van SSMS.
   2. Selecteer Opties....
   3. Navigeer naar Sql Server>Advanced voor queryuitvoering.>
   4. Zorg ervoor dat Parameterisatie voor Always Encrypted is ingeschakeld.
   5. Selecteer OK.

2. Open een nieuw queryvenster, plak de onderstaande query en voer deze uit. De query moet waarden voor tekst zonder opmaak retourneren en rijen die voldoen aan de opgegeven zoekcriteria.

   DECLARE @SSNPattern [char](11) = '%6818';
   DECLARE @MinSalary [money] = $1000;
   SELECT * FROM [HR].[Employees]
   WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
   

3. Probeer dezelfde query opnieuw in het SSMS-exemplaar waarvoor Always Encrypted niet is ingeschakeld. Er moet een fout optreden.

Volgende stappen

Nadat u deze zelfstudie hebt voltooid, kunt u naar een van de volgende zelfstudies gaan:

• Zelfstudie: Een .NET-toepassing ontwikkelen met Always Encrypted met beveiligde enclaves
• Zelfstudie: Een .NET Framework-toepassing ontwikkelen met Always Encrypted met beveiligde enclaves
• Zelfstudie: Indexen maken en gebruiken voor enclavekolommen met behulp van gerandomiseerde versleuteling

Zie ook

• Always Encrypted configureren en gebruiken met beveiligde enclaves