Aktivieren von Always Encrypted mit Secure Enclaves in Azure SQL-Datenbank

Gilt für:Azure SQL-Datenbank

In Azure SQL-Datenbank können für Always Encrypted mit Secure Enclaves entweder Intel SGX-Enclaves (Intel Software Guard Extensions) oder VBS-Enclaves (virtualisierungsbasierte Sicherheit) verwendet werden. Weitere Informationen finden Sie unter Planen von Secure Enclaves in Azure SQL-Datenbank.

Intel SGX-Enclaves

Damit Intel SGX verfügbar ist, müssen für die Datenbank das V-Kern-Modell und Hardware der DC-Serie verwendet werden.

Für die Konfiguration der Hardware der DC-Serie zur Unterstützung von Intel SGX-Enclaves ist der Azure SQL-Datenbank-Administrator zuständig. Weitere Informationen finden Sie unter Rollen und Verantwortlichkeiten beim Konfigurieren von SGX-Enclaves und Nachweisen.

Hinweis

Intel SGX ist für andere Hardwarekonfigurationen als die DC-Serie nicht verfügbar. So ist Intel SGX beispielsweise nicht für Hardware der Standard-Serie (Gen5) oder für Datenbanken verfügbar, die das DTU-basierte Kaufmodell verwenden.

Wichtig

Bevor Sie die Hardware der DC-Serie für Ihre Datenbank konfigurieren, überprüfen Sie die regionale Verfügbarkeit der DC-Serie, und stellen Sie sicher, dass die Leistungseinschränkungen kein Problem darstellen. Weitere Informationen finden Sie unter DC-Serie.

Ausführliche Anweisungen zum Konfigurieren einer neuen oder vorhandenen Datenbank für die Verwendung einer bestimmten Hardwarekonfiguration finden Sie unter Hardwarekonfiguration.

Nächste Schritte

• Konfigurieren von Azure Attestation für Ihren Azure SQL-Datenbankserver

VBS-Enclaves

Standardmäßig wird eine neue Datenbank ohne VBS-Enclaves erstellt. Um eine VBS-Enclave in Ihrer Datenbank oder ihrem Pool für elastische Datenbanken zu aktivieren, müssen Sie die DatenbankeigenschaftpreferredEnclaveType auf VBS festlegen. Dadurch wird die VBS-Enclave für die Datenbank oder den Pool für elastische Datenbanken aktiviert. Sie können die Eigenschaft preferredEnclaveType festlegen, wenn Sie eine neue Datenbank oder einen neuen Pool für elastische Datenbanken erstellen oder eine vorhandene Datenbank oder einen vorhandenen Pool für elastische Datenbanken aktualisieren. Jede Datenbank, die Sie einem Pool für elastische Datenbanken hinzufügen, erbt die Enclave-Eigenschaft von diesem, wie die Datenbank SLO. Wenn Sie also eine Datenbank ohne aktivierte VBS-Enclaves zu einem Pool für elastische Datenbanken mit aktiviertem VBS hinzufügen, wird diese neue Datenbank Teil des Pools für elastische Datenbanken und die VBS-Enclaves werden für diese Datenbank aktiviert. Das Hinzufügen einer Datenbank mit aktivierten VBS-Enclaves zu einem Pool für elastische Datenbanken ohne VBS-Enclaves wird nicht unterstützt.

Sie können die Eigenschaft preferredEnclaveType über das Azure-Portal, SQL Server Management Studio, Azure PowerShell oder die Azure CLI einstellen.

Aktivieren von VBS-Enklaven mithilfe von Azure-Portal

Erstellen eines neuen Pools für elastische Datenbanken mit einer VBS-Enklave

1. Öffnen Sie die Azure-Portal, und suchen Sie den logischen SQL Server, für den Sie eine Datenbank oder einen Pool für elastische Datenbanken mit einer VBS-Enklave erstellen möchten.

2. Wählen Sie Datenbank erstellen oder die Schaltfläche Neuer Pool für elastische Datenbanken aus.

3. Suchen Sie auf der Registerkarte Sicherheit den Abschnitt Immer verschlüsselt.

4. Legen Sie Sichere Enklaven aktivieren auf EIN fest. Dadurch wird eine Datenbank mit aktivierter VBS-Enklave erstellt.

   

Aktivieren einer VBS-Enklave für eine vorhandene Datenbank oder einen Pool für elastische Datenbanken

1. Öffnen Sie das Azure-Portal und suchen Sie die Datenbank oder den Pool für elastische Datenbanken, für die Sie sichere Enklaven aktivieren möchten.

2. Bei vorhandener Datenbank:

   1. Wählen Sie in den Sicherheitseinstellungen die Option Datenverschlüsselung aus.

   2. Wählen Sie im Menü Datenverschlüsselung die Registerkarte Immer verschlüsselt aus.

   3. Legen Sie Sichere Enklaven aktivieren auf EIN fest.

      

   4. Wählen Sie zum Speichern der Firewallkonfiguration Speichern aus.

3. Bei vorhandenem Pool für elastische Datenbanken:

   1. Wählen Sie in Einstellungen die Option Konfiguration aus.

   2. Wählen Sie im Menü Konfiguration die Registerkarte Immer verschlüsselt aus.

   3. Legen Sie Sichere Enklaven aktivieren auf EIN fest.

      

   4. Wählen Sie zum Speichern der Firewallkonfiguration Speichern aus.

Aktivieren von VBS-Enklaven mit SQL Server Management Studio

Laden Sie die neueste Version von SQL Server Management Studio (SSMS) herunter.

Erstellen einer neuen Datenbank mit einer VBS-Enklave

1. Öffnen Sie SSMS, und stellen Sie eine Verbindung mit dem logischen Server her, auf dem Sie Ihre Datenbank erstellen möchten.
2. Klicken Sie mit der rechten Maustaste auf den Ordner Datenbanken und wählen Sie Neue Datenbank aus.
3. Auf der Seite SLO konfigurieren setzen Sie die Option Sichere Enklaven aktivieren auf EIN. Dadurch wird eine Datenbank mit aktivierter VBS-Enklave erstellt.

Aktivieren einer VBS-Enklave für eine vorhandene Datenbank

1. Öffnen Sie SSMS, und stellen Sie eine Verbindung mit dem logischen Server her, auf dem Sie Ihre Datenbank ändern möchten.
2. Klicken Sie mit der rechten Maustaste auf die Datenbank, und wählen Sie Eigenschaften aus.
3. Auf der Seite SLO konfigurieren setzen Sie die Option Sichere Enklaven aktivieren auf EIN.
4. Wählen Sie OK aus, um die Datenbankeigenschaften zu speichern.

Aktivieren von VBS-Enklaven mit Azure PowerShell

Erstellen eines neuen Pools für elastische Datenbanken mit einer VBS-Enklave

Erstellen Sie mit dem Cmdlet New-AzSqlDatabase eine neue Datenbank mit einer VBS-Enclave. Im folgenden Beispiel wird eine serverlose Datenbank mit einer VBS-Enclave erstellt.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Erstellen eines neuen Pools für elastische Datenbanken mit einer VBS-Enclave mit dem Cmdlet New-AzSqlElasticPool Im folgenden Beispiel wird ein Pool für elastische Datenbanken mit einer VBS-Enclave erstellt.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Aktivieren einer VBS-Enklave für eine vorhandene Datenbank oder einen Pool für elastische Datenbanken

Verwenden Sie das Cmdlet Set-AzSqlDatabase, um eine VBS-Enclave für eine vorhandene Datenbank zu aktivieren. Hier sehen Sie ein Beispiel:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Verwenden Sie das Cmdlet Set-AzSqlElasticPool, um eine VBS-Enclave für einen vorhandenen Pool für elastische Datenbanken zu aktivieren. Ein Beispiel:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Aktivieren von VBS-Enklaven mit Azure CLI

Erstellen eines neuen Pools für elastische Datenbanken mit einer VBS-Enklave

Erstellen Sie mit dem Befehl az sql db create eine neue Datenbank mit einer VBS-Enclave. Im folgenden Beispiel wird eine serverlose Datenbank mit einer VBS-Enclave erstellt.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Erstellen eines neuen Pools für elastische Datenbanken mit einer VBS-Enclave mit dem Cmdlet az sql elastic-pool create Im folgenden Beispiel wird eine serverlose Datenbank mit einer VBS-Enclave erstellt.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Aktivieren einer VBS-Enklave für eine vorhandene Datenbank oder einen Pool für elastische Datenbanken

Verwenden Sie den Befehl az sql db update, um eine VBS-Enclave für eine vorhandene Datenbank zu aktivieren. Hier sehen Sie ein Beispiel:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Verwenden Sie das Cmdlet az sql elastic-pool update, um eine VBS-Enclave für einen vorhandenen Pool für elastische Datenbanken zu aktivieren. Hier sehen Sie ein Beispiel:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Weitere Informationen

• Erste Schritte mit Always Encrypted mit Secure Enclaves