Habilitar Always Encrypted com enclaves seguros no Banco de Dados SQL do Azure

Aplica-se a: do Banco de Dados SQL do Azure

No Banco de Dados SQL do Azure, Always Encrypted com enclaves seguros pode usar enclaves Intel Software Guard Extensions (Intel SGX) ou enclaves VBS (Virtualization-based Security). Para mais informações, consulte Plano para enclaves seguros no Azure SQL Database.

Enclaves Intel SGX

Para que o Intel SGX esteja disponível, o banco de dados deve usar o do modelo vCore e hardware série DC.

A configuração do hardware da série DC para habilitar enclaves Intel SGX é de responsabilidade do administrador do Banco de Dados SQL do Azure. Para obter mais informações, consulte Funções e responsabilidades na configuração de enclaves Intel SGX e na atestação.

Observação

Intel SGX não está disponível em configurações de hardware que não sejam da série DC. Por exemplo, o Intel SGX não está disponível para hardware da série padrão (Gen5) e não está disponível para bancos de dados que usam o modelo DTU.

Importante

Antes de configurar o hardware da série DC para seu banco de dados, verifique a disponibilidade regional da série DC e certifique-se de entender suas limitações de desempenho. Para obter mais informações, consulte a série DC .

Para obter instruções detalhadas sobre como configurar um banco de dados novo ou existente para usar uma configuração de hardware específica, consulte Hardware configuration.

Para obter mais informações, revise Configurar o Atestado do Azure para o seu servidor de banco de dados SQL do Azure.

Enclaves VBS

Por padrão, um novo banco de dados é criado sem enclaves VBS. Para habilitar um enclave VBS em seu banco de dados ou pool elástico, você precisa definir a propriedade de banco de dados preferredEnclaveType como VBS, que ativa o enclave VBS para o banco de dados ou o pool elástico. Você pode definir preferredEnclaveType ao criar um novo banco de dados ou pool elástico ou ao atualizar um banco de dados ou pool elástico existente. Qualquer banco de dados adicionado a um pool elástico herdará a propriedade enclave dele, como o SLO do banco de dados. Portanto, se você adicionar um banco de dados sem enclaves VBS habilitados a um pool elástico com VBS habilitado, esse novo banco de dados se tornará parte do pool elástico e os enclaves VBS serão habilitados nesse banco de dados. Não há suporte para a adição de um banco de dados com enclaves VBS habilitados a um pool elástico sem enclaves VBS.

Você pode definir a propriedade preferredEnclaveType usando o portal do Azure, o SQL Server Management Studio, o Azure PowerShell ou a CLI do Azure.

Habilitando enclaves VBS usando o portal do Azure

Criar uma nova base de dados ou um pool elástico com um enclave VBS

1. Abra a do portal do Azure e localize o SQL Server lógico para o qual você deseja criar um banco de dados ou pool elástico com um enclave VBS.

2. Selecione o botão Criar banco de dados ou o botão Novo pool elástico.

3. Na guia Segurança, localize a secção Always Encrypted.

4. Defina Ativar enclaves seguros para ON. Isso criará um banco de dados com um enclave VBS habilitado.

   

Habilitar um enclave VBS para um banco de dados existente ou pool elástico

1. Abra a do portal do Azure e localize o banco de dados ou pool elástico para o qual você deseja habilitar enclaves seguros.

2. Para uma base de dados existente:

   1. Em Configurações de Segurança, selecione Criptografia de Dados.

   2. No menu Criptografia de Dados, selecione o separador Sempre Criptografado.

   3. Defina Ativar enclaves seguros para ON.

      

   4. Selecione Salvar para salvar sua configuração Always Encrypted.

3. Para um pool elástico existente:

   1. Em Configurações, selecione Configuração.

   2. No menu de Configuração , selecione o separador Sempre Criptografado .

   3. Defina Ativar enclaves seguros para ON.

      

   4. Selecione Salvar para salvar sua configuração Always Encrypted.

Habilitando enclaves VBS usando o SQL Server Management Studio

Baixe a versão mais recente do SQL Server Management Studio (SSMS).

Criar uma nova base de dados com um enclave VBS

1. Abra o SSMS e conecte-se ao servidor lógico onde você deseja criar seu banco de dados.
2. Clique com o botão direito do rato na pasta Bases de Dados e selecione Nova Base de Dados...
3. Na página Configurar SLO, defina a opção Habilitar Enclaves Seguros para ON. Isso criará um banco de dados com um enclave VBS habilitado.

Habilitar um enclave VBS para um banco de dados existente

1. Abra o SSMS e conecte-se ao servidor lógico onde você deseja modificar seu banco de dados.
2. Clique com o botão direito do mouse no banco de dados e selecione Propriedades.
3. Na página Configurar SLO, defina a opção Habilitar Enclaves Seguros para ON.
4. Selecione OK para salvar as propriedades do banco de dados.

Habilitando enclaves VBS usando o Azure PowerShell

Criar uma nova base de dados ou pool elástico com um enclave VBS

Crie uma nova base de dados com um enclave VBS usando o cmdlet New-AzSqlDatabase. O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Crie um pool elástico novo com um enclave VBS usando o cmdlet New-AzSqlElasticPool. O exemplo a seguir cria um pool elástico com um enclave VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Habilitar um enclave VBS para um banco de dados existente ou pool elástico

Para habilitar um enclave VBS para um banco de dados existente, use o cmdlet Set-AzSqlDatabase. Aqui está um exemplo:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Para habilitar um enclave VBS para um pool elástico existente, use o cmdlet Set-AzSqlElasticPool. Aqui está um exemplo:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Habilitando enclaves VBS usando a CLI do Azure

Criar uma nova base de dados ou pool elástico com um enclave VBS

Crie uma nova base de dados com um enclave VBS utilizando o cmdlet az sql db create. O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Crie um novo pool elástico, incluindo um enclave VBS, com o cmdlet az sql elastic-pool create. O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Habilitar um enclave VBS para um banco de dados existente ou pool elástico

Para ativar um enclave VBS para uma base de dados existente, utilize o cmdlet az sql db update. Aqui está um exemplo:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Para habilitar um enclave VBS para um pool elástico existente, use o cmdlet az sql elastic-pool update. Aqui está um exemplo:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Ver também

• Introdução ao uso do Always Encrypted com enclaves seguros