Girar chaves habilitadas para enclave

Aplica-se a: SQL Server 2019 (15.x) e posterior - somente Windows Banco de Dados SQL do Azure

Em Always Encrypted, uma rotação de chave é um processo de substituição de uma chave mestra de coluna existente ou uma chave de criptografia de coluna por uma nova chave. Este artigo descreve casos de uso e considerações para rotação de chaves específicas para Always Encrypted com enclaves seguros quando a chave inicial e/ou a nova chave de destino é uma chave com suporte de enclave. Para obter diretrizes gerais e processos para gerenciar chaves Always Encrypted, consulte Overview of key management for Always Encrypted.

Pode ser necessário alternar uma chave por motivos de segurança ou conformidade. Por exemplo, se uma chave tiver sido comprometida ou se as políticas da sua organização exigirem que você substitua as chaves periodicamente. Além disso, a funcionalidade Always Encrypted com rotação de chave para enclaves seguros oferece uma forma de ativar ou desativar o uso do enclave seguro do lado do servidor nas suas colunas encriptadas.

• Ao substituir uma chave não compatível com enclave por uma chave compatível com enclave, desbloqueia a funcionalidade do enclave seguro para consultar colunas protegidas com a chave. Para obter mais informações, consulte Ativar Always Encrypted com enclaves seguros para colunas criptografadas existentes.
• Ao substituir uma chave habilitada para enclave por uma chave que não está habilitada para enclave, você desabilita a funcionalidade do enclave seguro para consultar colunas protegidas com a chave.

Se você estiver girando uma chave apenas por motivos de segurança/conformidade, e não para habilitar ou desabilitar cálculos de enclave para suas colunas, verifique se a chave de destino tem a mesma configuração em relação aos enclaves que a chave de origem. Por exemplo, se a chave de origem estiver habilitada para enclave, a chave de destino também deverá ser habilitada para enclave.

As etapas abaixo incluem links para artigos detalhados, dependendo do seu cenário de rotação:

1. Prepare uma nova chave (uma chave mestra de coluna ou uma chave de encriptação de coluna).
   • Para provisionar uma nova chave com suporte para enclave, consulte Provisionar chaves com suporte para enclave.
   • Para provisionar uma chave que não esteja habilitada para enclave, consulte Provisionar chaves sempre criptografadas usando o SQL Server Management Studio e Provisionar chaves sempre criptografadas usando o PowerShell.
2. Substitua uma chave existente pela nova chave.
   • Se você estiver girando uma chave de criptografia de coluna e tanto a chave de origem quanto a chave de destino estiverem habilitadas para enclave, você poderá executar a rotação (que envolve criptografar novamente seus dados) no local. Para obter mais informações, consulte Configurar a criptografia de coluna no local usando Always Encrypted com enclaves seguros.
   • Para obter etapas detalhadas para rotacionar chaves, consulte Girar chaves sempre criptografadas usando o SQL Server Management Studio e Girar chaves sempre criptografadas usando o PowerShell.

Conteúdo relacionado

• Executar instruções Transact-SQL usando enclaves seguros
• Configure a criptografia de coluna diretamente usando Always Encrypted com enclaves seguros
• Ative o "Always Encrypted" utilizando enclaves seguros para colunas criptografadas existentes
• Desenvolver aplicações usando Always Encrypted com enclaves seguros
• Gerencie chaves para Always Encrypted com enclaves seguros