Konfigurieren von Always Encrypted mithilfe von SQL Server Management Studio

  • Artikel

Gilt für:SQL ServerAzure SQL-DatenbankAzure SQL Managed Instance

Dieser Artikel beschreibt die Aufgaben, die bei der Konfiguration von Always Encrypted und der Verwaltung von Datenbanken anfallen, die Always Encrypted mit SQL Server Management Studio (SSMS)verwenden.

Sicherheitsüberlegungen bei der Verwendung von SSMS zum Konfigurieren von Always Encrypted

Wenn Sie SSMS zur Konfiguration von Always Encrypted verwenden, verwaltet SSMS beide Always Encrypted-Schlüssel und sensible Daten. Beide Schlüssel und die Daten werden daher in SSMS als Klartext angezeigt. Es ist daher wichtig, dass Sie SSMS auf einem sicheren Computer ausführen. Wenn Ihre Datenbank in SQL Server gehostet wird, sollten Sie sicherstellen, dass SSMS auf einem anderen Computer als dem Computer ausgeführt wird, der Ihre SQL Server-Instanz hostet. Der primäre Zweck von Always Encrypted ist, sicherzustellen, dass verschlüsselte sensible Daten sicher sind, selbst wenn das Datenbanksystem kompromittiert wird. Daher kann das Ausführen eines PowerShell-Skripts, das Schlüssel und/oder sensible Daten auf dem SQL Server-Computer verarbeitet, die Vorteile der Funktion einschränken oder zunichte machen. Weitere Empfehlungen finden Sie unter Security Considerations for Key Management(Überlegungen zur Verwaltung von Schlüsseln).

SSMS unterstützt keine Rollentrennung zwischen Personen, die die Datenbank verwalten (Datenbankadministratoren; DBAs), und denjenigen, die kryptografische Schlüssel verwalten und Zugriff auf Klartextdaten haben (Sicherheitsadministratoren und/oder Anwendungsadministratoren). Wenn Ihre Organisation auf Rollentrennung besteht, sollten Sie PowerShell verwenden, um Always Encrypted zu konfigurieren. Weitere Informationen finden Sie unter Übersicht über die Schlüsselverwaltung für Always Encrypted und Konfigurieren von Always Encrypted mithilfe von PowerShell.

Always Encrypted-Aufgaben mit SSMS

Weitere Informationen