Självstudie: Komma igång med Always Encrypted med Intel SGX-enklaver i Azure SQL Database

Gäller för:Azure SQL Database

I den här självstudien lär du dig hur du kommer igång med Always Encrypted med säkra enklaver i Azure SQL Database. Du använder Intel Software Guard-tillägg (Intel SGX) enklaver. Den visar dig:

• Så här skapar du en miljö för testning och utvärdering av Always Encrypted med Intel SGX-enklaver.
• Så här krypterar du data på plats och utfärdar omfattande konfidentiella frågor mot krypterade kolumner med hjälp av SQL Server Management Studio (SSMS).

Förutsättningar

• En aktiv Azure-prenumeration. Om du inte har en skapar du ett kostnadsfritt konto. Du måste vara medlem i deltagarrollen eller rollen Ägare för prenumerationen för att kunna skapa resurser och konfigurera en attesteringsprincip.
• Valfritt, men rekommenderas för lagring av kolumnhuvudnyckeln för Always Encrypted: ett nyckelvalv i Azure Key Vault. Information om hur du skapar ett nyckelvalv finns i Snabbstart: Skapa ett nyckelvalv med Hjälp av Azure-portalen.
  • Om nyckelvalvet använder behörighetsmodellen för åtkomstprinciper kontrollerar du att du har följande nyckelbehörigheter i nyckelvalvet: get, list, create, unwrap key, wrap key, verify, sign. Mer information finns i Tilldela en key vault-åtkomstprincip.
  • Om du använder azure-behörighetsmodellen för rollbaserad åtkomstkontroll (RBAC) kontrollerar du att du är medlem i Key Vault Crypto Officer-rollen för ditt nyckelvalv. Se Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.
• Den senaste versionen av SQL Server Management Studio (SSMS).

PowerShell-krav

Kommentar

Kraven som anges i det här avsnittet gäller endast om du väljer att använda PowerShell för några av stegen i den här självstudien. Om du planerar att använda Azure-portalen i stället kan du hoppa över det här avsnittet.

Az PowerShell-modul version 9.3.0 eller senare krävs. Mer information om hur du installerar Az PowerShell-modulen finns i Installera Azure Az PowerShell-modulen. Kör följande kommando från PowerShell för att fastställa vilken version av Az PowerShell-modulen som är installerad på datorn.

Get-InstalledModule -Name Az

Steg 1: Skapa och konfigurera en server och en databas i DC-serien

I det här steget skapar du en ny logisk Azure SQL Database-server och en ny databas med dc-seriens maskinvara, som krävs för Always Encrypted med säkra enklaver. Mer information finns i DC-serien.

Portal

1. Bläddra till sidan Välj SQL-distributionsalternativ .

2. Om du inte redan är inloggad på Azure-portalen loggar du in när du uppmanas att göra det.

3. Under SQL-databaser lämnar du Resurstyp inställd på Enskild databas och väljer Skapa.

   

4. På fliken Grundläggande i formuläret Skapa SQL Database går du till Projektinformation och väljer önskad Azure-prenumeration.

5. För Resursgrupp väljer du Skapa ny, anger ett namn för resursgruppen och väljer OK.

6. För Databasnamn anger du ContosoHR.

7. För Server väljer du Skapa ny och fyller i formuläret Ny server med följande värden:

   • Servernamn: Ange mysqlserver och lägg till några tecken för unikhet. Vi kan inte ange ett exakt servernamn att använda eftersom servernamn måste vara globalt unika för alla servrar i Azure, inte bara unika i en prenumeration. Så ange något som mysqlserver135, och portalen meddelar dig om det är tillgängligt eller inte.
   • Plats: Välj en plats i listrutan.

     Viktigt!

     Du måste välja en plats (en Azure-region) som stöder både DC-seriens maskinvara och Microsoft Azure Attestation. En lista över regioner som stöder DC-serien finns i TILLGÄNGLIGHET för DC-serien. Här är den regionala tillgängligheten för Microsoft Azure-attestering.

   • Autentiseringsmetod: Välj Använd SQL-autentisering
   • Inloggning för serveradministratör: Ange ett administratörsinloggningsnamn, till exempel azureuser.
   • Lösenord: Ange ett lösenord som uppfyller kraven och ange det igen i fältet Bekräfta lösenord .
   • Välj OK.

8. Lämna Vill använda elastisk SQL-pool inställd på Nej.

9. Under Beräkning + lagring väljer du Konfigurera databas och sedan Ändra konfiguration.

   

10. Välj maskinvarukonfigurationen i DC-serien och välj sedan OK.

    

11. Välj tillämpa.

12. På fliken Grundläggande kontrollerar du att Compute + Storage är inställt på Generell användning, DC, 2 virtuella kärnor, 32 GB lagring.

13. För Redundans för säkerhetskopieringslagring väljer du Lokalt redundant lagring av säkerhetskopior.

14. Välj Nästa: Nätverk längst ned på sidan.

    

15. På fliken Nätverk väljer du Offentlig slutpunkt för Anslutningsmetod.

16. För Brandväggsregler anger du Lägg till aktuell klient-IP-adress till Ja. Låt Tillåt Att Azure-tjänster och resurser får åtkomst till den här servern inställt på Nej.

17. För Anslutningsprincip lämnar du Anslutningsprincipen till Standard – Använder omdirigeringsprincip för alla klientanslutningar som kommer från Azure och Proxy för alla klientanslutningar som kommer från utanför Azure

18. För Krypterade anslutningar lämnar du Lägsta TLS-version till TLS 1.2.

19. Välj Granska + skapa längst ned på sidan.

    

20. På sidan Granska + skapa väljer du Skapa när du har granskat.

PowerShell

1. Öppna en PowerShell-konsol och importera den nödvändiga versionen av Az PowerShell-modulen.

   Import-Module "Az" -MinimumVersion "9.3.0"
   

2. Logga in på Azure. Om det behövs växlar du till den prenumeration som du använder för den här självstudien.

   Connect-AzAccount
   $subscriptionId = "<your subscription ID>"
   $context = Set-AzContext -Subscription $subscriptionId
   

3. Skapa en ny resursgrupp.

   Viktigt!

   Du måste skapa resursgruppen i en region (plats) som stöder både DC-seriens maskinvara och Microsoft Azure Attestation. En lista över regioner som stöder DC-serien finns i TILLGÄNGLIGHET för DC-serien. Här är den regionala tillgängligheten för Microsoft Azure-attestering.

   $resourceGroupName = "<your new resource group name>"
   $location = "<Azure region supporting DC-series and Microsoft Azure Attestation>"
   New-AzResourceGroup -Name $resourceGroupName -Location $location
   

4. Skapa en logisk Azure SQL-server. När du uppmanas till det anger du serveradministratörens namn och ett lösenord. Se till att du kommer ihåg administratörsnamnet och lösenordet – du behöver dem senare för att ansluta till servern.

   $serverName = "<your server name>" 
   New-AzSqlServer -ServerName $serverName -ResourceGroupName $resourceGroupName -Location $location -SqlAdministratorCredentials (Get-Credential)
   

5. Skapa en brandväggsregel för servern som tillåter åtkomst från det angivna IP-intervallet.

   $startIp = "<start of IP range>"
   $endIp = "<end of IP range>"
   $serverFirewallRule = New-AzSqlServerFirewallRule -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -FirewallRuleName "AllowedIPs" -StartIpAddress $startIp -EndIpAddress $endIp
   

6. Skapa en DC-seriedatabas.

   $databaseName = "ContosoHR"
   $edition = "GeneralPurpose"
   $vCore = 2
   $generation = "DC"
   New-AzSqlDatabase -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -DatabaseName $databaseName `
    -Edition $edition `
    -Vcore $vCore `
    -ComputeGeneration $generation
   

Steg 2: Konfigurera en attesteringsprovider

I det här steget skapar och konfigurerar du en attesteringsprovider i Microsoft Azure Attestation. Detta krävs för att intyga den säkra enklaven som databasen använder.

Portal

1. Bläddra till sidan Skapa attesteringsprovider .

2. På sidan Skapa attesteringsprovider anger du följande indata:

   • Prenumeration: Välj samma prenumeration som du skapade den logiska Azure SQL-servern i.
   • Resursgrupp: Välj samma resursgrupp som du skapade den logiska Azure SQL-servern i.
   • Namn: Ange myattestprovider och lägg till några tecken för unikhet. Vi kan inte ange ett exakt attesteringsprovidernamn att använda eftersom namn måste vara globalt unika. Så ange något som myattestprovider12345, och portalen meddelar dig om det är tillgängligt eller inte.
   • Plats: Välj samma plats som din logiska Azure SQL-server.
   • Principsigneringscertifikatfil: Lämna det här fältet tomt eftersom du konfigurerar en osignerad princip.

3. När du har angett de indata som krävs väljer du Granska + skapa.

   

4. Välj Skapa.

5. När attesteringsprovidern har skapats väljer du Gå till resurs.

6. På fliken Översikt för attesteringsprovidern kopierar du värdet för egenskapen Attest URI till Urklipp och sparar det i en fil. Det här är attesterings-URL:en. Du behöver i senare steg.

   

7. Välj Princip på resursmenyn till vänster i fönstret eller i det nedre fönstret.

8. Ange Attesteringstyp till SGX-IntelSDK.

9. Välj Konfigurera på den övre menyn.

   

10. Ange Principformat till Text. Låt Principalternativ vara inställda på Ange princip.

11. I fältet Principtext ersätter du standardprincipen med principen nedan. Information om principen nedan finns i Skapa och konfigurera en attesteringsprovider.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

1. Välj Spara.

   

2. Välj Uppdatera på den övre menyn för att visa den konfigurerade principen.

PowerShell

1. Kopiera nedanstående attesteringsprincip och spara principen i en textfil (txt). Information om principen nedan finns i Skapa och konfigurera en attesteringsprovider.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

1. Skapa en attesteringsprovider.

   $attestationProviderName = "<your attestation provider name>" 
   New-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName -Location $location
   

2. Tilldela dig själv rollen Attesteringsdeltagare för attesteringsprovidern för att säkerställa att du har behörighet att konfigurera en attesteringsprincip.

   New-AzRoleAssignment -SignInName $context.Account.Id `
    -RoleDefinitionName "Attestation Contributor" `
    -ResourceName $attestationProviderName `
    -ResourceType "Microsoft.Attestation/attestationProviders" `
    -ResourceGroupName $resourceGroupName
   

3. Konfigurera din attesteringsprincip.

   $policyFile = "<the pathname of the file from step 1 in this section>"
   $teeType = "SgxEnclave"
   $policyFormat = "Text"
   $policy=Get-Content -path $policyFile -Raw
   Set-AzAttestationPolicy -Name $attestationProviderName `
    -ResourceGroupName $resourceGroupName `
    -Tee $teeType `
    -Policy $policy `
    -PolicyFormat  $policyFormat
   

4. Hämta attesterings-URL:en (attest-URI:n för din attesteringsprovider).

   $attestationUrl = (Get-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName).AttestUri
   Write-Host "Your attestation URL is: $attestationUrl"
   

   Attesterings-URL:en bör se ut så här: https://myattestprovider12345.eus.attest.azure.net

Steg 3: Fyll i databasen

I det här steget skapar du en tabell och fyller den med vissa data som du senare krypterar och frågar efter.

1. Öppna SSMS och anslut till ContosoHR-databasen på den logiska Azure SQL-servern som du skapade utan Always Encrypted aktiverat i databasanslutningen.

   1. I dialogrutan Anslut till server anger du det fullständigt kvalificerade namnet på servern (till exempel myserver135.database.windows.net) och anger administratörsanvändarnamnet och lösenordet som du angav när du skapade servern.

   2. Välj Alternativ >> och välj fliken Anslutningsegenskaper . Välj contosoHR-databasen (inte standarddatabasen master ).

   3. Välj fliken Always Encrypted (Alltid krypterad ).

   4. Kontrollera att kryssrutan Aktivera Always Encrypted (kolumnkryptering) inte är markerad.

      

   5. Välj Anslut.

2. Skapa en ny tabell med namnet Anställda.

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
       [SSN] [char](11) NOT NULL,
       [FirstName] [nvarchar](50) NOT NULL,
       [LastName] [nvarchar](50) NOT NULL,
       [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   GO
   

3. Lägg till några medarbetarposter i tabellen Anställda .

   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('795-73-9838'
           , N'Catherine'
           , N'Abel'
           , $31692);
   
   INSERT INTO [HR].[Employees]
           ([SSN]
           ,[FirstName]
           ,[LastName]
           ,[Salary])
       VALUES
           ('990-00-6818'
           , N'Kim'
           , N'Abercrombie'
           , $55415);
   

Steg 4: Etablera enklaveraktiverade nycklar

I det här steget skapar du en kolumnhuvudnyckel och en kolumnkrypteringsnyckel som tillåter enklaverberäkningar.

1. Med hjälp av SSMS-instansen från föregående steg expanderar du databasen i Object Explorer och navigerar till Always Encrypted-nycklar för säkerhet>.

2. Etablera en ny huvudnyckel för enklaveraktiverad kolumn:

   1. Högerklicka på Always Encrypted Keys (Alltid krypterade nycklar ) och välj Ny kolumnhuvudnyckel....
   2. Ange ett namn på den nya kolumnhuvudnyckeln: CMK1.
   3. Kontrollera att Tillåt enklaverberäkningar har valts. (Den väljs som standard om en säker enklav är aktiverad för databasen. Den bör vara aktiverad eftersom databasen använder maskinvarukonfigurationen i DC-serien.)
   4. Välj antingen Azure Key Vault (rekommenderas) eller Windows Certificate Store (aktuell användare eller lokal dator).
      • Om du väljer Azure Key Vault loggar du in på Azure, väljer en Azure-prenumeration som innehåller ett nyckelvalv som du vill använda och väljer ditt nyckelvalv. Välj Generera nyckel för att skapa en ny nyckel.
      • Om du väljer Windows Certificate Store väljer du knappen Generera certifikat för att skapa ett nytt certifikat.
   5. Välj OK.

3. Skapa en ny enklavaktiverad kolumnkrypteringsnyckel:

   1. Högerklicka på Always Encrypted Keys (Alltid krypterade nycklar ) och välj Ny kolumnkrypteringsnyckel.
   2. Ange ett namn för den nya kolumnkrypteringsnyckeln: CEK1.
   3. I listrutan Kolumnhuvudnyckel väljer du den kolumnhuvudnyckel som du skapade i föregående steg.
   4. Välj OK.

Steg 5: Kryptera vissa kolumner på plats

I det här steget krypterar du data som lagras i kolumnerna SSN och Salary i enklaven på serversidan och testar sedan en SELECT-fråga på data.

1. Öppna en ny SSMS-instans och anslut till databasen med Always Encrypted aktiverat för databasanslutningen.

   1. Starta en ny instans av SSMS.

   2. I dialogrutan Anslut till server anger du det fullständigt kvalificerade namnet på servern (till exempel myserver135.database.windows.net) och anger administratörsanvändarnamnet och lösenordet som du angav när du skapade servern.

   3. Välj Alternativ >> och välj fliken Anslutningsegenskaper . Välj contosoHR-databasen (inte standarddatabasen master ).

   4. Välj fliken Always Encrypted (Alltid krypterad ).

   5. Markera kryssrutan Aktivera Always Encrypted (kolumnkryptering).

   6. Välj Aktivera säkra enklaver. (Det här steget gäller för SSMS 19 eller senare.)

   7. Ange Protokoll till Microsoft Azure Attestation. (Det här steget gäller för SSMS 19 eller senare.)

   8. Ange din url för enklavattestering som du har fått genom att följa stegen i Steg 2: Konfigurera en attesteringsprovider. Se skärmbilden nedan.

      

   9. Välj Anslut.

   10. Om du uppmanas att aktivera parameterisering för Always Encrypted-frågor väljer du Aktivera.

2. Med samma SSMS-instans (med Always Encrypted aktiverat) öppnar du ett nytt frågefönster och krypterar kolumnerna SSN och Salary genom att köra nedanstående instruktioner.

   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER TABLE [HR].[Employees]
   ALTER COLUMN [Salary] [money]
   ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
   WITH
   (ONLINE = ON);
   
   ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
   

   Kommentar

   Observera instruktionen ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE för att rensa cacheminnet för frågeplanen för databasen i skriptet ovan. När du har ändrat tabellen måste du rensa planerna för alla batchar och lagrade procedurer som har åtkomst till tabellen för att uppdatera krypteringsinformation för parametrar.

3. Om du vill kontrollera att kolumnerna SSN och Salary nu är krypterade öppnar du ett nytt frågefönster i SSMS-instansen utan Always Encrypted aktiverat för databasanslutningen och kör instruktionen nedan. Frågefönstret ska returnera krypterade värden i kolumnerna SSN och Salary . Om du kör samma fråga med SSMS-instansen med Always Encrypted aktiverat bör du se dekrypterade data.

   SELECT * FROM [HR].[Employees];
   

Steg 6: Kör omfattande frågor mot krypterade kolumner

Du kan köra omfattande frågor mot de krypterade kolumnerna. Viss frågebearbetning utförs i din enklaver på serversidan.

1. I SSMS-instansen med Always Encrypted aktiverat kontrollerar du att parameterisering för Always Encrypted också är aktiverad.

   1. Välj Verktyg på huvudmenyn i SSMS.
   2. Välj Alternativ....
   3. Navigera till Sql Server>Advanced för frågekörning.>
   4. Kontrollera att Aktivera parameterisering för Always Encrypted är markerat.
   5. Välj OK.

2. Öppna ett nytt frågefönster, klistra in frågan nedan och kör. Frågan ska returnera oformaterade värden och rader som uppfyller de angivna sökvillkoren.

   DECLARE @SSNPattern [char](11) = '%6818';
   DECLARE @MinSalary [money] = $1000;
   SELECT * FROM [HR].[Employees]
   WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
   

3. Försök med samma fråga igen i SSMS-instansen som inte har Always Encrypted aktiverat. Ett fel bör inträffa.

Nästa steg

När du har slutfört den här självstudien kan du gå till någon av följande självstudier:

• Självstudie: Utveckla ett .NET-program med Always Encrypted med säkra enklaver
• Självstudie: Utveckla ett .NET Framework-program med Always Encrypted med säkra enklaver
• Självstudie: Skapa och använda index för enklaveraktiverade kolumner med randomiserad kryptering

Se även

• Konfigurera och använda Always Encrypted med säkra enklaver