Enclave-ingeschakelde sleutels roteren

Van toepassing op: SQL Server 2019 (15.x) en hoger - Alleen Windows Azure SQL Database

In Always Encrypted is een sleutelrotatie een proces waarbij een bestaande kolomhoofdsleutel of een kolomversleutelingssleutel wordt vervangen door een nieuwe sleutel. In dit artikel worden use cases en overwegingen beschreven voor sleutelrotatie die specifiek is voor Always Encrypted met beveiligde enclaves wanneer de eerste sleutel en/of de doelsleutel (nieuwe) een enclavesleutel is. Zie Overzicht van sleutelbeheer voor Always Encrypted-voor algemene richtlijnen en processen voor het beheren van Always Encrypted-sleutels.

Mogelijk moet u een sleutel roteren om beveiligings- of nalevingsredenen. Als er bijvoorbeeld een sleutel is aangetast of als het beleid van uw organisatie vereist dat u regelmatig sleutels vervangt. Bovendien biedt Always Encrypted met sleutelrotatie van beveiligde enclaves een manier om de functionaliteit van de beveiligde enclave aan de serverzijde in of uit te schakelen voor uw versleutelde kolommen.

• Wanneer u een sleutel vervangt die niet is ingeschakeld voor enclaves door een enclave-sleutel, ontgrendelt u de functionaliteit van de beveiligde enclave om query's uit te voeren op kolommen die zijn beveiligd met de sleutel. Zie Always Encrypted inschakelen met beveiligde enclaves voor bestaande versleutelde kolommenvoor meer informatie.
• Wanneer u een enclavesleutel vervangt door een sleutel die niet is ingeschakeld voor enclaves, schakelt u de functionaliteit van de beveiligde enclave uit om query's uit te voeren op kolommen die zijn beveiligd met de sleutel.

Als u alleen om beveiligings-/nalevingsredenen een sleutel roteert en geen enclaveberekeningen voor uw kolommen wilt in- of uitschakelen, moet u ervoor zorgen dat de doelsleutel dezelfde configuratie heeft met betrekking tot enclaves als de bronsleutel. Bijvoorbeeld, als de bronsleutel enclave-ingeschakeld is, moet de doelsleutel ook enclave-ingeschakeld zijn.

De onderstaande stappen bevatten koppelingen naar gedetailleerde artikelen, afhankelijk van uw rotatiescenario:

1. Een nieuwe sleutel inrichten (een kolomhoofdsleutel of een kolomversleutelingssleutel).
   • Zie Enclavegeschakelde sleutels inrichtenvoor het inrichten van een nieuwe enclavegeschakelde sleutel.
   • Zie Always Encrypted-sleutels inrichten met behulp van SQL Server Management Studio en Always Encrypted-sleutels inrichten met behulp van PowerShellom een sleutel in te richten die niet enclave ingeschakeld is.
2. Vervang een bestaande sleutel door de nieuwe sleutel.
   • Als u een kolomversleutelingssleutel roteert en zowel de bronsleutel als de doelsleutel enclave-ondersteund zijn, kunt u de rotatie ter plaatse uitvoeren (waarbij uw gegevens opnieuw worden versleuteld). Voor meer informatie, zie Kolomversleuteling in situ configureren met Always Encrypted en beveiligde enclaves.
   • Zie Always Encrypted-sleutels roteren met behulp van SQL Server Management Studio en Always Encrypted-sleutels roteren met behulp van PowerShellvoor gedetailleerde stappen voor het roteren van sleutels.

Verwante inhoud

• Transact-SQL instructies uitvoeren met behulp van beveiligde enclaves
• Kolomversleuteling ter plaatse configureren met Always Encrypted met beveiligde enclaves
• Always Encrypted met beveiligde enclaves inschakelen voor bestaande versleutelde kolommen
• Toepassingen ontwikkelen met Always Encrypted met beveiligde enclaves
• Sleutels beheren voor Always Encrypted met beveiligde enclaves