Включение функции Always Encrypted с безопасными анклавами в базе данных Azure SQL

Применимо к: База данных SQL Azure

В Azure SQL Database функция Always Encrypted с безопасными анклавами может использовать либо анклавы Intel Software Guard Extensions (Intel SGX), либо анклавы безопасности на основе виртуализации (VBS). Дополнительные сведения см. в разделе "План для безопасных анклавов в базе данных Azure SQL".

Анклавы Intel SGX

Чтобы Intel SGX было доступно, база данных должна использовать модель виртуальных ядер (vCore) и оборудование серии DC.

Настройку оборудования серии DC для поддержки анклавов Intel SGX следует выполнять администратору Базы данных Azure SQL. Дополнительные сведения см. в разделе "Роли и обязанности" при настройке анклавов Intel SGX и аттестации.

Примечание.

Технология Intel SGX не поддерживается для других конфигураций оборудования, кроме серии DC. Например, Intel SGX недоступен для оборудования стандартной серии (5-го поколения), и он недоступен для баз данных с помощью модели DTU.

Внимание

Прежде чем настраивать оборудование серии DC для базы данных, проверьте доступность серии DC в своем регионе и изучите ограничения производительности для этого оборудования. Подробные сведения см. в разделе о серии DC.

Подробные инструкции по настройке новой или существующей базы данных для использования определенной конфигурации оборудования см. в разделе "Конфигурация оборудования".

Для получения дополнительной информации см. статью Настройка аттестации Azure для вашего сервера базы данных Azure SQL.

Анклавы VBS

По умолчанию создается новая база данных без анклавов VBS. Чтобы включить анклав VBS в базе данных или эластичном пуле, необходимо задать свойству базы данных preferredEnclaveType значение VBS, что активирует анклав VBS для базы данных или эластичного пула. Вы можете задать предпочтительный параметрEnclaveType при создании новой базы данных или эластичного пула или обновлении существующей базы данных или эластичного пула. Любая база данных, добавляемая в эластичный пул, наследует анклавное свойство от него, как, например, SLO базы данных. Таким образом, если вы добавите базу данных без включенных анклавов VBS в эластичный пул с включенными анклавами VBS, эта новая база данных станет частью эластичного пула, и анклавы VBS будут включены в этой базе данных. Добавление базы данных с анклавами VBS в эластичный пул без анклавов VBS не поддерживается.

Вы можете задать свойство preferredEnclaveType с помощью портала Azure, SQL Server Management Studio, Azure PowerShell или Azure CLI.

Включение анклавов VBS с помощью портала Azure

Создайте новую базу данных или эластичный пул с анклавом VBS

1. Откройте портал Azure и найдите логический SQL Server, для которого требуется создать базу данных или эластичные пулы с анклавами VBS.

2. Нажмите кнопку Создать базу данных или Создать новый эластичный пул.

3. На вкладке "Безопасность" найдите раздел Always Encrypted .

4. Установите Включение безопасных анклавов в значение ON. Будет создана база данных с включенным анклавом VBS.

   

Включение анклава VBS для существующей базы данных или эластичного пула

1. Откройте портал Azure и найдите базу данных или эластичный пул, для которых необходимо включить безопасные анклавы.

2. Для существующей базы данных:

   1. В параметрах безопасности выберите "Шифрование данных".

   2. В меню "Шифрование данных" выберите вкладку Always Encrypted.

   3. Установите Безопасные анклавы в положение ON.

      

   4. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию Always Encrypted.

3. Для существующего эластичного пула:

   1. В разделе "Параметры" выберите "Конфигурация".

   2. В меню "Конфигурация" выберите вкладку Always Encrypted.

   3. Установите безопасные анклавы в положение ON.

      

   4. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию Always Encrypted.

Включение анклавов VBS с помощью SQL Server Management Studio

Скачайте последнюю версию SQL Server Management Studio (SSMS).

Создайте новую базу данных с анклавом VBS

1. Откройте SSMS и подключитесь к логическому серверу, где необходимо создать базу данных.
2. Щелкните правой кнопкой мыши папку "Базы данных " и выберите "Создать базу данных".
3. На странице "Настройка SLO" задайте параметр Enable Secure Enclaves to ON. Будет создана база данных с активированным анклавом VBS.

Включение анклава VBS для существующей базы данных

1. Откройте SSMS и подключитесь к логическому серверу, где необходимо изменить базу данных.
2. Щелкните базу данных правой кнопкой мыши и выберите пункт "Свойства".
3. На странице "Настройка SLO" задайте параметр Enable Secure Enclaves to ON.
4. Нажмите кнопку "ОК ", чтобы сохранить свойства базы данных.

Включение анклавов VBS с помощью Azure PowerShell

Создание базы данных или эластичного пула с анклавом VBS

Создайте базу данных с анклавом VBS с помощью командлета New-AzSqlDatabase . В следующем примере создается бессерверная база данных с анклавом VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Создайте новый эластичный пул с анклавом VBS с помощью командлета New-AzSqlElasticPool. В следующем примере создается эластичный пул с анклавом VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Включение анклава VBS для существующей базы данных или эластичного пула

Чтобы включить анклав VBS для существующей базы данных, используйте командлет Set-AzSqlDatabase. Приведем пример:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Чтобы включить анклав VBS для существующего эластичного пула, используйте командлет Set-AzSqlElasticPool . Приведем пример:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Включение анклавов VBS с помощью Azure CLI

Создайте новую базу данных или эластичный пул с анклавом VBS

Создайте новую базу данных с анклавом VBS, используя командлет az sql db create. В следующем примере создается бессерверная база данных с анклавом VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Создайте новый эластичный пул с анклавом VBS с помощью командлета az sql elastic-pool create. В следующем примере создается бессерверная база данных с анклавом VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Включение анклава VBS для существующей базы данных или эластичного пула

Чтобы включить VBS-анклав для существующей базы данных, используйте командлет az sql db update. Приведем пример:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Чтобы активировать анклав VBS для существующего пула, используйте командлет az sql elastic-pool update. Приведем пример:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

См. также

• Начало работы с системой Always Encrypted и безопасными анклавами