Plannen maken voor Always Encrypted met beveiligde enclaves in SQL Server zonder attestatie

Artikel
2025-03-05

Van toepassing op: SQL Server 2019 (15.x) en hoger - alleen Windows

Het instellen van Always Encrypted met beveiligde enclaves in SQL Server zonder attestation biedt een eenvoudige manier om met de functie te beginnen. Wanneer u in een productieomgeving beveiligde enclaves gebruikt, houd er echter rekening mee dat systeembeheerders minder bescherming bieden zonder attestatie. Als een kwaadwillende besturingssysteembeheerder bijvoorbeeld heeft geknoeid met de SQL Server-bibliotheek die in de enclave wordt uitgevoerd, kan een clienttoepassing deze niet detecteren. Als u zich zorgen maakt over dergelijke aanvallen, kunt u overwegen om attestation in te stellen met de Host Guardian-service. Zie Plan for Host Guardian Service Attestationvoor meer informatie.

In SQL Server maakt Always Encrypted met beveiligde enclaves gebruik van VBS-enclaves (virtualization-based Security) (ook wel bekend als virtuele beveiligde modus of VSM-enclaves) - een softwaregebaseerde technologie die afhankelijk is van Windows-hypervisor en waarvoor geen speciale hardware is vereist.

Notitie

Wanneer SQL Server is geïmplementeerd in een VIRTUELE machine, helpen VBS-enclaves uw gegevens te beschermen tegen aanvallen binnen de VIRTUELE machine. Ze bieden echter geen bescherming tegen aanvallen met behulp van bevoegde systeemaccounts die afkomstig zijn van de host. Een geheugendump van de vm die op de hostcomputer is gegenereerd, kan bijvoorbeeld het geheugen van de enclave bevatten.

Voorwaarden

De computers waarop SQL Server wordt uitgevoerd, moeten voldoen aan zowel de vereisten voor het installeren van SQL Server- als de Hyper-V hardwarevereisten.

Deze vereisten zijn onder andere:

SQL Server 2019 (15.x) of hoger
Windows 10 of hoger of Windows Server 2019 of hoger.
CPU-ondersteuning voor virtualisatietechnologieën:
- Intel VT-x met uitgebreide paginatabellen.
- AMD-V met Rapid Virtualisatie-Indexering.
- Als u SQL Server uitvoert op een VIRTUELE machine:
  - Gebruik in Azure een vm-grootte van generatie 2 (aanbevolen) of gebruik een VM-grootte van de eerste generatie waarvoor geneste virtualisatie is ingeschakeld. Raadpleeg de documentatie over de individuele VM-grootten om te bepalen welke VM-grootten van de eerste generatie ondersteuning bieden voor geneste virtualisatie.
  - Zorg er in Hyper-V 2016 of hoger (buiten Azure) voor dat uw virtuele machine een VM van de tweede generatie is (aanbevolen) of dat het een virtuele machine van de eerste generatie is waarvoor geneste virtualisatie is ingeschakeld. Zie Moet ik een virtuele machine van de 1e of 2e generatie maken in Hyper-V voor meer informatie? en Geneste virtualisatie configureren.
  - Schakel op VMware vSphere 6.7 of hoger beveiligingsondersteuning op basis van virtualisatie in voor de VIRTUELE machine, zoals beschreven in de VMware-documentatie.
  - Andere hypervisors en openbare clouds bieden mogelijk ondersteuning voor geneste virtualisatiemogelijkheden die Always Encrypted met VBS Enclaves mogelijk maken. Raadpleeg de documentatie van uw virtualisatieoplossing voor compatibiliteits- en configuratie-instructies.
Beveiliging op basis van virtualisatie (VBS) moet zijn ingeschakeld en uitgevoerd.

Vereisten voor gereedschap

SQL Server Management Studio (SSMS) 19 of hoger.

Vereisten voor clientstuurprogramma's

Zie Toepassingen ontwikkelen met Always Encrypted met beveiligde enclavesvoor informatie over clientstuurprogrammaversies die ondersteuning bieden voor het gebruik van beveiligde enclaves zonder attestation.

Controleren of VBS wordt uitgevoerd

Notitie

Deze stap moet worden uitgevoerd door de computerbeheerder van SQL Server.

Als u wilt controleren of VBS wordt uitgevoerd, opent u het hulpprogramma Systeeminformatie door msinfo32.exe uit te voeren en de Virtualization-based security items onder aan het systeemoverzicht te vinden.

Schermopname van systeemgegevens met de beveiligingsstatus en configuratie op basis van virtualisatie.

Het eerste item dat moet worden gecontroleerd, is Virtualization-based security, die de volgende drie waarden kan hebben:

Running betekent dat VBS correct is geconfigureerd en kan worden gestart.
Enabled but not running betekent dat VBS is geconfigureerd voor uitvoering, maar dat de hardware niet beschikt over de minimale beveiligingsvereisten voor het uitvoeren van VBS. Mogelijk moet u de configuratie van de hardware in BIOS of UEFI wijzigen om optionele processorfuncties zoals een IOMMU in te schakelen of als de hardware de vereiste functies niet ondersteunt, moet u mogelijk de VBS-beveiligingsvereisten verlagen. Lees deze sectie verder voor meer informatie.
Not enabled betekent dat VBS niet is geconfigureerd voor uitvoering.

VBS inschakelen

Als VBS niet is ingeschakeld, voert u de volgende opdracht uit in een PowerShell-console met verhoogde bevoegdheid om deze in te schakelen.

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1

Nadat u het register hebt gewijzigd, start u de SQL Server-computer opnieuw op en controleert u of VBS opnieuw wordt uitgevoerd.

Zie Op virtualisatie gebaseerde beveiliging van code-integriteit inschakelenvoor andere manieren om VBS in te schakelen.

Voer VBS uit als het niet actief is

Als VBS is ingeschakeld zonder op de computer te draaien, controleert u de Virtualization-based security eigenschap. Vergelijk de waarden in het Required Security Properties item met de waarden in het Available Security Properties item. De vereiste eigenschappen moeten gelijk zijn aan of een subset van de beschikbare beveiligingseigenschappen om VBS uit te voeren. De beveiligingseigenschappen hebben het volgende belang:

Base virtualization support is altijd vereist, omdat deze de minimale hardwarefuncties vertegenwoordigt die nodig zijn om een hypervisor uit te voeren.
Secure Boot wordt aanbevolen, maar niet vereist. Beveiligd opstarten beschermt tegen rootkits door te vereisen dat een door Microsoft ondertekende bootloader onmiddellijk wordt uitgevoerd nadat de UEFI-initialisatie is voltooid.
DMA Protection wordt aanbevolen, maar niet vereist. DMA-beveiliging maakt gebruik van een IOMMU om VBS en enclavegeheugen te beschermen tegen aanvallen met directe geheugentoegang. In een productieomgeving moet u altijd computers met DMA-beveiliging gebruiken. In een ontwikkel- of testomgeving is het geen probleem om de vereiste voor DMA-beveiliging te verwijderen. Als het SQL Server-exemplaar is gevirtualiseerd, hebt u waarschijnlijk geen DMA-beveiliging beschikbaar en moet u de vereiste verwijderen dat VBS moet worden uitgevoerd.

Voordat u de vereiste VBS-beveiligingsfuncties verlaagt, neemt u contact op met uw OEM- of cloudserviceprovider om te controleren of er een manier is om de ontbrekende platformvereisten in te schakelen in UEFI of BIOS (bijvoorbeeld het inschakelen van Secure Boot, Intel VT-d of AMD IOV).

Als u de vereiste platformbeveiligingsfuncties voor VBS wilt wijzigen, voert u de volgende opdracht uit in een PowerShell-console met verhoogde bevoegdheid:

# Value 1 = Only Secure Boot is required
# Value 2 = Only DMA protection is required (default configuration)
# Value 3 = Both Secure Boot and DMA protection are required
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name RequirePlatformSecurityFeatures -Value 1

Nadat u het register hebt gewijzigd, start u de SQL Server-computer opnieuw op en controleert u of VBS opnieuw wordt uitgevoerd.

Als de computer wordt beheerd door uw bedrijf, kan Groepsbeleid of Microsoft Endpoint Manager eventuele wijzigingen die u aanbrengt in deze registersleutels overschrijven na het opnieuw opstarten. Neem contact op met uw IT-helpdesk om te zien of ze beleidsregels implementeren die uw VBS-configuratie beheren.

Volgende stappen

Zodra u zeker weet dat uw omgeving voldoet aan de bovenstaande vereisten, raadpleegt u De beveiligde enclave configureren in SQL Server.

Delen via