Esercitazione: introduzione all’uso di Always Encrypted con enclave Intel SGX nel database SQL di Azure

Articolo
03/19/2024

Questa esercitazione illustra come iniziare a usare Always Encrypted con enclavi sicure nel database SQL di Azure. Si useranno enclave Intel Software Guard Extensions (Intel SGX). L’esercitazione illustra:

come creare un ambiente per i test e la valutazione di Always Encrypted con enclave Intel SGX;
Come crittografare i dati in locale ed eseguire query avanzate riservate su colonne crittografate usando SQL Server Management Studio (SSMS).

Prerequisiti

Una sottoscrizione di Azure attiva. Se non si dispone di una sottoscrizione, creare un account gratuito. Per poter creare risorse e configurare un criterio di attestazione, è necessario essere membri del ruolo Collaboratore o del ruolo Proprietario della sottoscrizione.
Facoltativo, ma consigliato per archiviare la chiave master della colonna per Always Encrypted: un insieme di credenziali delle chiavi in Azure Key Vault. Per altre informazioni su come creare un insieme di credenziali delle chiavi, vedere Guida introduttiva: creare un insieme di credenziali delle chiavi con il portale di Azure.
- Se l’insieme di credenziali delle chiavi usa il modello di autorizzazioni dei criteri di accesso, assicurarsi di disporre delle autorizzazioni di chiave seguenti nell’insieme di credenziali delle chiavi: get, list, create, unwrap key, wrap key, verify e sign. Per altre informazioni, vedere Assegnare un criterio di accesso a Key Vault.
- Se si usa il modello di autorizzazione controllo degli accessi in base al ruolo di Azure, assicurarsi di essere un membro del ruolo Agente di crittografia dell’insieme di credenziali delle chiavi per l’insieme di credenziali delle chiavi. Vedere Fornire l’accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure.
La versione più recente di SQL Server Management Studio (SSMS).

Requisiti di PowerShell

Nota

I prerequisiti elencati in questa sezione si applicano solo se si sceglie di usare PowerShell per alcuni passaggi descritti nell’esercitazione. Se invece si prevede di usare il portale di Azure, è possibile ignorare la sezione.

Richiede il modulo Az PowerShell 9.3.0 o versioni successive. Per informazioni più generali sul nuovo modulo Az PowerShell, vedere Installazione del modulo Az di Azure PowerShell. Per individuare la versione del modulo Az PowerShell installato nel computer, eseguire il comando seguente da PowerShell.

Get-InstalledModule -Name Az

Passaggio 1: creare e configurare un server e un database serie DC

In questo passaggio si creerà un nuovo server logico del database SQL di Azure e un nuovo database usando l’hardware serie DC, necessario per Always Encrypted con enclavi sicure. Per altre informazioni, consultare Serie DC.

Portale
PowerShell

Accedere alla pagina Selezione l’opzione di distribuzione SQL.
Se non lo si è già fatto, eseguire l’accesso al portale di Azure quando richiesto.
In Database SQL lasciare l'opzione Tipo di risorsa impostata su Database singolo e selezionare Crea.
Nella scheda Dati principali del modulo Crea database SQL selezionare la Sottoscrizione di Azure corretta in Dettagli del progetto.
In Gruppo di risorse selezionare Crea nuovo, immettere un nome per il gruppo di risorse, quindi selezionare OK.
Per Nome database immettere ContosoHR.
In Server, selezionare Crea nuovo e compilare il modulo per il nuovo server con i valori seguenti:
- Nome server: immettere mysqlserver e aggiungere alcuni caratteri che rendano il nome univoco. Non è possibile specificare un nome del server esatto da usare perché i nomi di tutti i server di Azure devono essere univoci a livello globale, oltre che univoci all’interno di una sottoscrizione. Immettere quindi un valore come mysqlserver135 e il portale segnala se è disponibile o meno.
- Posizione: selezionare una posizione dall’elenco a discesa.
  
  Importante
  
  È necessario selezionare una località (un’area di Azure) che supporti sia l’hardware della serie DC sia attestazione di Microsoft Azure. Per l’elenco delle aree che supportano la serie DC, vedere Disponibilità della serie DC. Ecco la disponibilità a livello di area di Microsoft attestazione di Azure.
- Metodo di autenticazione: selezionare Usare l’autenticazione SQL
- Accesso amministratore server: immettere un nome di accesso amministratore, ad esempio: azureuser.
- Password: immettere una password che soddisfi i requisiti, quindi confermarla nell’apposito campo Conferma password.
- Selezionare OK.
Lasciare l’opzione Usare il pool elastico SQL impostata su No.
In Calcolo e archiviazione selezionare Configura database, quindi Modifica configurazione.
Selezionare la configurazione hardware della serie DC, quindi OK.
Selezionare Applica.
Tornare alla scheda Dati principali e verificare che Calcolo e archiviazione siano impostati su Utilizzo generico, DC, 2 vCore, spazio di archiviazione di 32 GB.
Per Ridondanza dell’archivio di backup selezionare Archivio di backup con ridondanza locale.
Selezionare Avanti: Rete nella parte inferiore della pagina.
Nella scheda Rete selezionare Endpoint pubblico in Metodo di connettività.
In Regole del firewall impostare Aggiungi indirizzo IP client corrente su Sì. Lasciare l'opzione Consenti alle risorse e ai servizi di Azure di accedere a questo server impostata su No.
Per Criterio di connessione lasciare Criterio di connessione su Predefinito: usa i criteri di reindirizzamento per tutte le connessioni client provenienti da Azure e proxy per tutte le connessioni client che hanno origine all’esterno di Azure
Per Connessioni crittografate lasciare Versione minima TLS su TLS 1.2.
Selezionare Rivedi e crea nella parte inferiore della pagina.
Nella pagina Rivedi e crea, dopo aver rivisto le impostazioni, selezionare Crea.

Aprire una console di PowerShell e importare la versione richiesta del modulo Az PowerShell.
```
Import-Module "Az" -MinimumVersion "9.3.0"
```

Accedere a Azure. Se necessario, passare alla sottoscrizione usata per questa esercitazione.

Connect-AzAccount
$subscriptionId = "<your subscription ID>"
$context = Set-AzContext -Subscription $subscriptionId

Creare un nuovo gruppo di risorse.

Importante

È necessario creare il gruppo di risorse in un’area (posizione) che supporti sia l’hardware della serie DC sia l’attestazione di Microsoft Azure. Per l’elenco delle aree che supportano la serie DC, vedere Disponibilità della serie DC. Ecco la disponibilità a livello di area di Microsoft attestazione di Azure.
```
$resourceGroupName = "<your new resource group name>"
$location = "<Azure region supporting DC-series and Microsoft Azure Attestation>"
New-AzResourceGroup -Name $resourceGroupName -Location $location
```
Creare un server logico di Azure SQL. Quando richiesto, immettere il nome dell’amministratore del server e una password. Assicurarsi di ricordare il nome dell’amministratore e la password, che saranno necessari in un secondo momento per connettersi al server.
```
$serverName = "<your server name>" 
New-AzSqlServer -ServerName $serverName -ResourceGroupName $resourceGroupName -Location $location -SqlAdministratorCredentials (Get-Credential)
```

Creare una regola del firewall del server che consenta l’accesso dall’intervallo IP specificato.

$startIp = "<start of IP range>"
$endIp = "<end of IP range>"
$serverFirewallRule = New-AzSqlServerFirewallRule -ResourceGroupName $resourceGroupName `
 -ServerName $serverName `
 -FirewallRuleName "AllowedIPs" -StartIpAddress $startIp -EndIpAddress $endIp

Creare un database serie DC.

$databaseName = "ContosoHR"
$edition = "GeneralPurpose"
$vCore = 2
$generation = "DC"
New-AzSqlDatabase -ResourceGroupName $resourceGroupName `
 -ServerName $serverName `
 -DatabaseName $databaseName `
 -Edition $edition `
 -Vcore $vCore `
 -ComputeGeneration $generation

Passaggio 2: configurare un provider di attestazioni di Azure

In questo passaggio verrà creato e configurato un provider di attestazioni in attestazione di Microsoft Azure. Questa operazione è necessaria per attestare l’enclave sicura usata dal database.

Portale
PowerShell

Passare alla pagina Crea provider di attestazione.
Nella pagina Crea provider di attestazione specificare gli input seguenti:
- Sottoscrizione: scegliere la sottoscrizione in cui è stato creato il server logico SQL di Azure.
- Gruppo di risorse: scegliere il gruppo di risorse in cui è stato creato il server logico SQL di Azure.
- Nome: immettere myattestprovider e aggiungere alcuni caratteri che rendano il nome univoco. Non è possibile specificare un nome esatto del provider di attestazione da usare perché i nomi devono essere univoci a livello globale. Immetti quindi un valore simile a myattestprovider12345 e il portale segnalerà se è disponibile o meno.
- Percorso: scegliere la posizione del server logico SQL di Azure.
- File dei certificati del firmatario dei criteri: lasciare vuoto questo campo: si configurerà un criterio non firmato.
Una volta specificati gli input necessari, selezionare Rivedi e crea.
Seleziona Crea.
Dopo aver creato il provider di attestazioni, selezionare Vai alla risorsa.
Nella scheda Panoramica per il provider di attestazione copiare il valore della proprietà URI di attestazione negli Appunti e salvarlo in un file. Si tratta dell’URL di attestazione, che servirà nei passaggi successivi.
Selezionare Criterio nel menu delle risorse sul lato sinistro della finestra o nel riquadro inferiore.
Impostare Tipo di attestazione su SGX-IntelSDK.
Selezionare Configura nel menu in alto.
Impostare Formato criteri su Testo. Lasciare le opzioni dei criteri impostate su Immetti criterio.
Nel campo Testo criteri sostituire il criterio predefinito con il criterio seguente. Per altre informazioni, consultare Creare e configurare un provider di attestazioni.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

Selezionare Salva.
Selezionare Aggiorna nel menu superiore per visualizzare i criteri configurati.

Copiare i seguenti criteri di attestazione e salvarli in un file di testo (txt). Per altre informazioni, consultare Creare e configurare un provider di attestazioni.

version= 1.0;
authorizationrules 
{
       [ type=="x-ms-sgx-is-debuggable", value==false ]
        && [ type=="x-ms-sgx-product-id", value==4639 ]
        && [ type=="x-ms-sgx-svn", value>= 2 ]
        && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] 
    => permit();
};

Creare un provider di attestazioni.

$attestationProviderName = "<your attestation provider name>" 
New-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName -Location $location

Assegnare se stessi al ruolo Collaboratore attestazione per il provider di attestazioni: in questo modo si dispone delle autorizzazioni per configurare un criterio di attestazione.

New-AzRoleAssignment -SignInName $context.Account.Id `
 -RoleDefinitionName "Attestation Contributor" `
 -ResourceName $attestationProviderName `
 -ResourceType "Microsoft.Attestation/attestationProviders" `
 -ResourceGroupName $resourceGroupName

Configurare il criterio di attestazione.

$policyFile = "<the pathname of the file from step 1 in this section>"
$teeType = "SgxEnclave"
$policyFormat = "Text"
$policy=Get-Content -path $policyFile -Raw
Set-AzAttestationPolicy -Name $attestationProviderName `
 -ResourceGroupName $resourceGroupName `
 -Tee $teeType `
 -Policy $policy `
 -PolicyFormat  $policyFormat

Riprendere l’URL di attestazione (URI di attestazione del provider di attestazioni).
```
$attestationUrl = (Get-AzAttestationProvider -Name $attestationProviderName -ResourceGroupName $resourceGroupName).AttestUri
Write-Host "Your attestation URL is: $attestationUrl"
```
L’URL di attestazione dovrebbe essere simile al seguente: https://myattestprovider12345.eus.attest.azure.net

Passaggio 3: popolare il database

In questo passaggio si crea una tabella e la si popola con alcuni dati che verranno crittografati e interrogati in un secondo momento.

Aprire SSMS e connettersi al database ContosoHR nel server logico SQL di Azure creato senza Always Encrypted abilitato nella connessione al database.
1. Nella finestra di dialogo Connessione al server specificare il nome completo del server, ad esempio myserver135.database.windows.net, e immettere il nome utente amministratore e la password specificata al momento della creazione del server.
2. Selezionare Opzioni >>, quindi la scheda Proprietà connessioni. Assicurarsi di selezionare il database ContosoHR (non il database predefinito master).
3. Selezionare la scheda Always Encrypted.
4. Verificare che la casella di controllo Abilita Always Encrypted (crittografia colonna)non sia selezionata.
5. Selezionare Connetti.

Creare una nuova tabella di nome Employees.

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
    [SSN] [char](11) NOT NULL,
    [FirstName] [nvarchar](50) NOT NULL,
    [LastName] [nvarchar](50) NOT NULL,
    [Salary] [money] NOT NULL
) ON [PRIMARY];
GO

Aggiungere alcuni record dei dipendenti alla tabella Employees.

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692);

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415);

Passaggio 4: effettuare il provisioning delle chiavi abilitate per l’enclave

In questo passaggio si crea una chiave master della colonna e una chiave di crittografia della colonna che consentono i calcoli di enclave.

Usando l’istanza di SSMS nel passaggio precedente, in Esplora oggetti espandere il database e passare a Sicurezza>Chiavi Always Encrypted.
Effettuare il provisioning di una nuova chiave master della colonna abilitata per l’enclave:
1. Fare clic con il pulsante destro del mouse su Chiavi Always Encrypted e scegliere Nuova chiave master della colonna.
2. Immettere un nome per la nuova chiave master della colonna: CMK1.
3. Verificare che l’opzione Consenti calcoli enclave sia selezionata. L’opzione è selezionata per impostazione predefinita se per il database è abilitata un’enclave sicura. Deve essere abilitata perché il database usa la configurazione hardware della serie DC.
4. Assicurarsi di selezionare Azure Key Vault (opzione consigliata) oppure Archivio certificati Windows (Utente corrente o Computer locale).
  - Se si seleziona Azure Key Vault, accedere a Azure, selezionare una sottoscrizione di Azure contenente un insieme di credenziali delle chiavi che si vuole usare e selezionare l’insieme di credenziali delle chiavi. Selezionare Genera chiave per creare una nuova chiave.
  - Se si seleziona Archivio certificati di Windows, selezionare il pulsante Genera certificato per creare un nuovo certificato.
5. Selezionare OK.
Creare una nuova chiave di crittografia di colonna abilitata per l’enclave:
1. Fare clic con il pulsante destro del mouse su Chiavi Always Encrypted e scegliere Nuova chiave di crittografia della colonna.
2. Immettere un nome per la nuova chiave di crittografia della colonna: CEK1.
3. Nell’elenco a discesa Chiave master della colonna selezionare la chiave master della colonna creata nei passaggi precedenti.
4. Selezionare OK.

Passaggio 5: crittografare alcune colonne in locale

In questo passaggio si esegue la crittografia dei dati archiviati nelle colonne SSN e Salary all’interno dell’enclave lato server, quindi si esegue il test di una query SELECT sui dati.

Aprire una nuova istanza di SSMS e connettersi al database con Always Encrypted abilitato per la connessione di database.
1. Avviare una nuova istanza di SSMS.
2. Nella finestra di dialogo Connessione al server specificare il nome completo del server, ad esempio myserver135.database.windows.net, e immettere il nome utente amministratore e la password specificata al momento della creazione del server.
3. Selezionare Opzioni >>, quindi la scheda Proprietà connessioni. Assicurarsi di selezionare il database ContosoHR (non il database predefinito master).
4. Selezionare la scheda Always Encrypted.
5. Selezionare la casella di controllo Abilita Always Encrypted (crittografia colonna).
6. Selezionare Abilita enclavi sicure. Questo passaggio si applica a SSMS 19 o versioni successive.
7. Impostare Protocollo su Attestazione di Microsoft Azure. Questo passaggio si applica a SSMS 19 o versioni successive.
8. Specificare l’URL di attestazione dell’enclave ottenuto seguendo i passaggi descritti in Passaggio 2: configurare un provider di attestazioni. Vedere lo screenshot di seguito.
9. Selezionare Connetti.
10. Se viene chiesto di abilitare la parametrizzazione per le query Always Encrypted, selezionare Abilita.
Usando la stessa istanza di SSMS (con Always Encrypted abilitato), aprire una nuova finestra di query e crittografare le colonne SSN e Salary eseguendo le seguenti query.
```
ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
```
Nota

Si noti l’istruzione ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE per cancellare la cache del piano di query per il database nello script precedente. Dopo aver modificato la tabella è necessario cancellare i piani per tutti i batch e tutte le stored procedure che accedono alla tabella per aggiornare le informazioni di crittografia dei parametri.
Per verificare che le colonne SSN e Salary ora sono crittografate, aprire una nuova finestra di query nell’istanza di SSMS senza Always Encrypted abilitato per la connessione di database ed eseguire l’istruzione seguente. La finestra di query restituisce valori crittografati nelle colonne SSN e Salary. Se si esegue la stessa query usando l’istanza di SSMS con Always Encrypted abilitato, vengono visualizzati i dati decrittografati.
```
SELECT * FROM [HR].[Employees];
```

Passaggio 6: eseguire query avanzate su colonne crittografate

È possibile eseguire query avanzate sulle colonne crittografate. Vengono eseguite alcune operazioni di elaborazione query nell’enclave lato server.

Nell’istanza di SSMS con Always Encrypted abilitato verificare che la parametrizzazione per Always Encrypted sia abilitata.
1. Selezionare Strumenti dal menu principale di SSMS.
2. Selezionare Opzioni.
3. Passare a Esecuzione query>SQL Server>Avanzata.
4. Assicurarsi che sia selezionata l’opzione Abilita parametrizzazione per Always Encrypted.
5. Selezionare OK.
Aprire una nuova finestra di query, incollare ed eseguire. La query restituisce valori di testo non crittografato e righe che soddisfano i criteri di ricerca specificati.
```
DECLARE @SSNPattern [char](11) = '%6818';
DECLARE @MinSalary [money] = $1000;
SELECT * FROM [HR].[Employees]
WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
```
Riprovare la stessa query nell’istanza di SSMS senza Always Encrypted abilitato. Si verifica un errore.

Passaggi successivi

Al termine dell’esercitazione, è possibile passare a una delle esercitazioni seguenti:

Vedi anche

Configurare e usare Always Encrypted con enclavi sicure

Share via