Rotación de claves habilitadas para el enclave

Se aplica a: SQL Server 2019 (15.x) y versiones posteriores: solo Windows Azure SQL Database

En Always Encrypted, la rotación de claves es un proceso por el cual se reemplaza una clave maestra de columna existente o una clave de cifrado de columna por una clave nueva. En este artículo se describen los casos de uso y las consideraciones para la rotación de claves específica de Always Encrypted con enclaves seguros cuando la clave inicial o la clave de destino (nueva) es una clave habilitada para el enclave. Para obtener las instrucciones generales y los procesos para administrar claves de Always Encrypted, consulte Información general de administración de claves de Always Encrypted.

Es posible que necesite rotar una clave por motivos de seguridad o de cumplimiento. Por ejemplo, si se ha puesto en peligro una clave o las directivas de su organización requieren que reemplace las claves periódicamente. Además, Always Encrypted con la rotación de claves de enclaves seguros proporciona una manera de habilitar o deshabilitar la funcionalidad de los enclave seguros del lado servidor para las columnas cifradas.

• Cuando se reemplaza una clave que no está habilitada para el enclave con una clave habilitada para el enclave, se desbloquea la funcionalidad del enclave seguro para realizar consultas en columnas protegidas con la clave. Para obtener más información, vea Habilitación de Always Encrypted con enclaves seguros para las columnas cifradas existentes.
• Cuando se reemplaza una clave habilitada para el enclave con una clave que no lo está, se deshabilita la funcionalidad del enclave seguro para realizar consultas en las columnas que están protegidas con la clave.

Si va a rotar una clave solo por motivos de seguridad o cumplimiento, y no para habilitar o deshabilitar los cálculos de enclave para las columnas, asegúrese de que la clave de destino tiene la misma configuración relativa a los enclaves que la clave de origen. Por ejemplo, si la clave de origen está habilitada para el enclave, la clave de destino también debe estarlo.

En los pasos siguientes se incluyen vínculos a artículos detallados, en función del escenario de rotación:

1. Aprovisione una nueva clave (una clave maestra de columna o una clave de cifrado de columna).
   • Para aprovisionar una nueva clave habilitada para el enclave, consulte Aprovisionar claves habilitadas para el enclave.
   • Para aprovisionar una clave que no está habilitada para el enclave, consulte Aprovisionamiento de claves de Always Encrypted mediante SQL Server Management Studio y Aprovisionamiento de claves de Always Encrypted con PowerShell.
2. Reemplace una clave existente por la nueva clave.
   • Si está rotando una clave de cifrado de columna y tanto la clave de origen como la clave de destino están habilitadas para el enclave, puede ejecutar la rotación (que implica volver a cifrar los datos) en contexto. Para obtener más información, vea Configuración del cifrado de columnas en contexto mediante Always Encrypted con enclaves seguros.
   • Para obtener los pasos detallados de la rotación de claves, vea Rotación de claves de Always Encrypted mediante SQL Server Management Studio y Rotación de claves de Always Encrypted con PowerShell.

Pasos siguientes

• Configuración y uso de Always Encrypted con enclaves seguros
• Configuración del cifrado de columna en contexto mediante Always Encrypted con enclaves seguros
• Uso de Always Encrypted con enclaves seguros para las columnas cifradas existentes
• Desarrollo de aplicaciones mediante Always Encrypted con enclaves seguros

Consulte también

• Administración de claves para Always Encrypted con enclaves seguros