Pianificare l'attestazione del servizio Sorveglianza hostPlan for Host Guardian Service attestation

Si applica a:Applies to: sìSQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x) - Solo Windows Si applica a:Applies to: sìSQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x) - Windows only

Quando si usa Always Encrypted con enclave sicure, accertarsi che l'applicazione client comunichi con un'enclave attendibile all'interno del processo di SQL ServerSQL Server.When you use Always Encrypted with secure enclaves, make sure that the client application is talking to a trustworthy enclave within the SQL ServerSQL Server process. Per un'enclave di sicurezza basata sulla virtualizzazione, questo requisito significa verificare che il codice all'interno dell'enclave sia valido e che il computer che ospita SQL ServerSQL Server sia attendibile.For a virtualization-based security (VBS) enclave, this requirement includes verifying both the code inside the enclave is valid and the computer hosting SQL ServerSQL Server is trustworthy. L'attestazione remota introduce a questo scopo una terza parte che può convalidare l'identità (e, facoltativamente, la configurazione) del computer SQL ServerSQL Server.Remote attestation achieves this goal by introducing a third party that can validate the identity (and optionally, the configuration) of the SQL ServerSQL Server computer. Prima che SQL ServerSQL Server possa usare un enclave per eseguire una query, deve fornire al servizio di attestazione informazioni sull'ambiente operativo per ottenere un certificato di integrità.Before SQL ServerSQL Server can use an enclave to run a query, it must provide information to the attestation service about its operating environment to obtain a health certificate. Questo certificato di integrità viene quindi inviato al client, che può verificarne in modo indipendente l'autenticità con il servizio di attestazione.This health certificate is then sent to the client, which can independently verify its authenticity with the attestation service. Quando il client considera attendibile il certificato di integrità, sa di comunicare con un enclave di sicurezza basata sulla virtualizzazione attendibile ed eseguirà la query che userà tale enclave.Once the client trusts the health certificate, it knows it is talking to a trustworthy VBS enclave and will issue the query that will use that enclave.

Il ruolo Servizio Sorveglianza host (HGS) in Windows Server 2019 fornisce funzionalità di attestazione remota per Always Encrypted con enclave di sicurezza basata sulla virtualizzazione.The Host Guardian Service (HGS) role in Windows Server 2019 provides remote attestation capabilities for Always Encrypted with VBS enclaves. Questo articolo illustra le decisioni relative alla pre-distribuzione e i requisiti per usare Always Encrypted con enclave di sicurezza basata sulla virtualizzazione e l'attestazione HGS.This article will guide you through the pre-deployment decisions and requirements to use Always Encrypted with VBS enclaves and HGS attestation.

Panoramica dell'architetturaArchitecture overview

Il servizio Sorveglianza host (HGS) è un servizio Web in cluster eseguito in Windows Server 2019.The Host Guardian Service (HGS) is a clustered web service that runs on Windows Server 2019. In una distribuzione tipica saranno presenti da 1 a 3 server HGS, almeno un computer che esegue SQL ServerSQL Server e un computer che esegue un'applicazione client o strumenti come SQL Server Management Studio.In a typical deployment, there will be 1-3 HGS servers, at least one computer running SQL ServerSQL Server, and a computer running a client application or tools, such as SQL Server Management Studio. Poiché HGS deve determinare quali dei computer che eseguono SQL ServerSQL Server siano attendibili, richiede l'isolamento sia fisico che logico dall'istanza di SQL ServerSQL Server protetta.Since the HGS is responsible for determining which computers running SQL ServerSQL Server are trustworthy, it requires both physical and logical isolation from the SQL ServerSQL Server instance it is protecting. Se gli stessi amministratori hanno accesso a HGS e a un computer SQL ServerSQL Server, potrebbero configurare il servizio di attestazione per consentire a un computer dannoso di eseguire SQL ServerSQL Server e compromettere in questo modo l'enclave di sicurezza basata sulla virtualizzazione.If the same admins have access to HGS and a SQL ServerSQL Server computer, they could configure the attestation service to allow a malicious computer to run SQL ServerSQL Server, enabling them to compromise the VBS enclave.

Dominio HGSHGS domain

Il programma di installazione di HGS creerà automaticamente un nuovo dominio di Active Directory per i server HGS, le risorse cluster di failover e gli account amministratore.HGS setup will automatically create a new Active Directory domain for the HGS servers, failover cluster resources, and administrator accounts.

Non è necessario che il computer che esegue SQL ServerSQL Server sia in un dominio, ma, in caso contrario, deve trattarsi di un dominio diverso da quello usato dal server HGS.The computer running SQL ServerSQL Server doesn't need to be in a domain, but if it is, it should be a different domain than the one the HGS server uses.

Disponibilità elevataHigh availability

La funzionalità HGS installa e configura automaticamente un cluster di failover.The HGS feature automatically installs and configures a failover cluster. In un ambiente di produzione è consigliabile usare tre server HGS per la disponibilità elevata.In a production environment, it's recommended to use three HGS servers for high availability. Per informazioni dettagliate su come viene determinato il quorum del cluster e sulle configurazioni alternative, inclusi i cluster a due nodi con una risorsa di controllo esterna, vedere la documentazione del cluster di failover.Refer to the failover cluster documentation for details on how cluster quorum is determined and alternative configurations, including two node clusters with an external witness.

L'archiviazione condivisa non è necessaria tra i nodi HGS.Shared storage is not required between the HGS nodes. Una copia del database di attestazione viene archiviata in ogni server HGS e viene replicata automaticamente in rete dal servizio cluster.A copy of the attestation database is stored on each HGS server and is automatically replicated over the network by the cluster service.

Connettività di reteNetwork connectivity

Sia il client SQL che SQL ServerSQL Server devono riuscire a comunicare con HGS su HTTP.Both the SQL client and SQL ServerSQL Server need to be able to communicate with HGS over HTTP. Configurare HGS con un certificato TLS per crittografare tutte le comunicazioni tra il client SQL e HGS, nonché tra SQL Server e HGS.Configure HGS with a TLS certificate to encrypt all communications between the SQL Client and HGS, as well as between SQL Server and HGS. Questa configurazione offre protezione dagli attacchi man-in-the-middle e garantisce la comunicazione con il server HGS corretto.This configuration helps protect from man-in-the-middle attacks and ensures you're talking to the correct HGS server.

I server HGS richiedono la connettività tra ogni nodo del cluster per garantire che il database del servizio di attestazione rimanga sincronizzato. Per i cluster di failover è consigliabile connettere i nodi HGS in una rete per la comunicazione del cluster e usare una rete separata per consentire agli altri client di comunicare con HGS.HGS servers require connectivity between each node in the cluster to ensure the attestation service database stays in sync. It's a failover cluster best practice to connect the HGS nodes on one network for cluster communication and use a separate network for other clients to communicate with HGS.

Modalità di attestazioneAttestation modes

Quando un computer che esegue SQL ServerSQL Server prova a eseguire l'attestazione con HGS, chiederà prima di tutto a HGS come eseguire l'attestazione.When a computer running SQL ServerSQL Server tries to attest with HGS, it will first ask HGS how it should attest. HGS supporta due modalità di attestazione per l'uso con SQL ServerSQL Server:HGS supports two attestation modes for use with SQL ServerSQL Server:

Modalità di attestazioneAttestation mode SpiegazioneExplanation
TPMTPM L'attestazione TPM (Trusted Platform Module) offre la massima garanzia sull'identità e sull'integrità del computer che esegue l'attestazione con HGS.Trusted Platform Module (TPM) attestation provides the strongest assurance about the identity and integrity of the computer attesting with HGS. Richiede che nei computer che eseguono SQL ServerSQL Server sia installato TPM versione 2.0.It requires the computers running SQL ServerSQL Server to have TPM version 2.0 installed. Ogni chip TPM contiene un'identità univoca e non modificabile (chiave di verifica dell'autenticità) che può essere usata per identificare un determinato computer.Each TPM chip contains a unique and immutable identity (Endorsement Key) that can be used to identify a particular computer. I moduli TPM misurano anche il processo di avvio del computer, archiviando hash di misurazioni basate sulla sicurezza nei registri PCR che possono essere letti, ma non modificati dal sistema operativo.TPMs also measure the boot process of the computer, storing hashes of security-sensitive measurements in Platform Control Registers (PCRs) that can be read, but not modified by the operating system. Queste misurazioni vengono usate durante l'attestazione per fornire la prova crittografica che la configurazione di sicurezza di un computer corrisponda effettivamente a quella dichiarata.These measurements are used during attestation to provide cryptographic proof that a computer is in the security configuration it claims to be.
Chiave hostHost Key L'attestazione chiave host è una forma più semplice di attestazione che verifica solo l'identità di un computer usando una coppia di chiavi asimmetriche.Host key attestation is a simpler form of attestation that only verifies the identity of a computer by using an asymmetric key pair. La chiave privata viene archiviata nel computer che esegue SQL ServerSQL Server e la chiave pubblica viene fornita a HGS.The private key is stored on the computer running SQL ServerSQL Server and the public key is provided to HGS. La configurazione di sicurezza del computer non viene misurata e non è necessario un chip TPM 2.0 nel computer che esegue SQL ServerSQL Server.The security configuration of the computer is not measured and a TPM 2.0 chip is not required on the computer running SQL ServerSQL Server. È importante proteggere la chiave privata installata nel computer SQL ServerSQL Server perché chiunque ottenga questa chiave può rappresentare un computer SQL ServerSQL Server legittimo e l'enclave di sicurezza basata sulla virtualizzazione in esecuzione all'interno di SQL ServerSQL Server.It is important to protect the private key installed on the SQL ServerSQL Server computer because anyone who obtains this key can impersonate a legitimate SQL ServerSQL Server computer and the VBS enclave running inside SQL ServerSQL Server.

In generale, tenere presenti le indicazioni seguenti:In general, we make the following recommendations:

  • Per i server di produzione fisici, è consigliabile usare l'attestazione TPM per le garanzie aggiuntive fornite.For physical production servers, we recommend using TPM attestation for the additional assurances it provides.
  • Per i server di produzione virtuali, è consigliabile usare l'attestazione con chiave host perché la maggior parte delle macchine virtuali non ha TPM virtuali o l'avvio protetto.For virtual production servers, we recommend host key attestation since most virtual machines do not have virtual TPMs or Secure Boot. Se si usa una macchina virtuale con sicurezza avanzata, come una macchina virtuale schermata locale, è possibile scegliere di usare la modalità TPM.If you're using a security-enhanced VM like an on-premises shielded VM, you may choose to use TPM mode. In tutte le distribuzioni virtualizzate, il processo di attestazione analizza solo l'ambiente della macchina virtuale e non la piattaforma di virtualizzazione sottostante.In all virtualized deployments, the attestation process only analyzes your VM environment -- not the virtualization platform underneath the VM.
  • Per gli scenari di sviluppo/test, è consigliabile usare l'attestazione con chiave host perché è più facile da configurare.For dev/test scenarios, we recommend host key attestation because it is easier to set up.

Modello di attendibilitàTrust model

Nel modello di attendibilità dell'enclave di sicurezza basata sulla virtualizzazione, le query e i dati crittografati vengono valutati in un'enclave basata su software per proteggerli dal sistema operativo host.In the VBS enclave trust model, the encrypted queries and data are evaluated in a software-based enclave to protect it from the host OS. L'accesso a questo enclave è protetto dall'hypervisor nello stesso modo in cui due macchine virtuali in esecuzione nello stesso computer non possono accedere l'una alla memoria dell'altra.Access to this enclave is protected by the hypervisor in the same way two virtual machines running on the same computer can't access each other's memory. Per consentire a un client di considerare attendibile la comunicazione con un'istanza legittima della sicurezza basata sulla virtualizzazione, è necessario usare l'attestazione basata su TPM che stabilisce una radice hardware di trust nel computer SQL ServerSQL Server.In order for a client to trust that it's talking to a legitimate instance of VBS, you must use TPM-based attestation that establishes a hardware root of trust on the SQL ServerSQL Server computer. Le misurazioni TPM acquisite durante il processo di avvio includono la chiave di identità univoca dell'istanza della sicurezza basata sulla virtualizzazione, assicurando che il certificato di integrità sia valido solo in quel determinato computer.The TPM measurements captured during the boot process include the unique identity key of the VBS instance, ensuring the health certificate is only valid on that exact computer. Inoltre, quando un modulo TPM è disponibile in un computer che esegue la sicurezza basata sulla virtualizzazione, la parte privata della chiave di identità della sicurezza basata sulla virtualizzazione è protetta dal modulo TPM, che impedisce a chiunque di provare a rappresentare tale istanza della sicurezza basata sulla virtualizzazione.Further, when a TPM is available on a computer running VBS, the private part of the VBS identity key is protected by the TPM, preventing anyone from trying to impersonate that VBS instance.

L'avvio protetto è necessario con l'attestazione TPM per garantire che UEFI abbia caricato un bootloader legittimo firmato da Microsoft e che nessun rootkit abbia intercettato il processo di avvio dell'hypervisor.Secure Boot is required with TPM attestation to ensure UEFI loaded a legitimate, Microsoft-signed bootloader and that no rootkits intercepted the hypervisor boot process. Per impostazione predefinita, è anche necessario un dispositivo IOMMU per garantire che nessun dispositivo hardware con accesso diretto alla memoria possa ispezionare o modificare la memoria dell'enclave.Additionally, an IOMMU device is required by default to ensure any hardware devices with direct memory access can't inspect or modify enclave memory.

Tutte queste protezioni presuppongono che il computer che esegue SQL ServerSQL Server sia un computer fisico.These protections all assume the computer running SQL ServerSQL Server is a physical machine. Se si virtualizza il computer che esegue SQL ServerSQL Server, non è più possibile garantire che la memoria della macchina virtuale sia protetta da ispezione da parte dell'hypervisor o dell'amministratore dell'hypervisor. Un amministratore dell'hypervisor potrebbe, ad esempio, eseguire il dump della memoria della macchina virtuale e ottenere l'accesso alla versione in testo non crittografato della query e dei dati nell'enclave.If you virtualize the computer running SQL ServerSQL Server, you can no longer guarantee that the memory of the VM is safe from inspection by the hypervisor or hypervisor admin. A hypervisor admin could, for example, dump the memory of the VM and gain access to the plaintext version of the query and data in the enclave. Analogamente, anche se la macchina virtuale ha un modulo TPM virtuale, può solo misurare lo stato e l'integrità del sistema operativo e dell'ambiente di avvio della macchina virtuale.Similarly, even if the VM has a virtual TPM, it can only measure the state and integrity of the VM operating system and boot environment. Non può misurare lo stato dell'hypervisor che controlla la macchina virtuale.It cannot measure the state of the hypervisor controlling the VM.

Tuttavia, anche quando SQL ServerSQL Server è virtualizzato, l'enclave continua a essere protetta da attacchi provenienti dal sistema operativo della macchina virtuale.However, even when SQL ServerSQL Server is virtualized, the enclave is still protected from attacks originating within the VM operating system. Se si considera attendibile l'hypervisor o il provider di servizi cloud e la preoccupazione principale deriva dell'amministratore del database e dagli attacchi dell'amministratore del sistema operativo ai dati sensibili, un'istanza di SQL ServerSQL Server virtualizzato può essere la soluzione ideale.If you trust your hypervisor or cloud provider, and are primarily worried about database admin and OS admin attacks on sensitive data, a virtualized SQL ServerSQL Server may meet your requirements.

Analogamente, l'attestazione con chiave host resta utile nelle situazioni in cui non è installato un modulo TPM 2.0 nel computer che esegue SQL ServerSQL Server o in scenari di sviluppo/test in cui la sicurezza non è fondamentale.Similarly, Host Key attestation is still valuable in situations where a TPM 2.0 module isn't installed on the computer running SQL ServerSQL Server or in dev/test scenarios where security isn't paramount. È comunque possibile usare molte delle funzionalità di sicurezza descritte in precedenza, tra cui l'avvio protetto e un modulo TPM 1.2, per proteggere meglio la sicurezza basata sulla virtualizzazione e il sistema operativo nel suo complesso.You can still use many of the security features mentioned above, including Secure Boot and a TPM 1.2 module, to better protect VBS and the operating system as a whole. Poiché tuttavia HGS non può verificare che nel computer queste impostazioni siano effettivamente abilitate con l'attestazione chiave host, il client non ha la certezza che l'host stia realmente usando tutte le protezioni disponibili.But, since there's no way for HGS to verify the computer actually has these settings enabled with Host Key attestation, the client isn't assured the host is indeed using all available protections.

PrerequisitiPrerequisites

Prerequisiti del server HGSHGS server prerequisites

I computer che eseguono il ruolo Servizio Sorveglianza host devono soddisfare i requisiti seguenti:The computer(s) running the Host Guardian Service role should meet the following requirements:

ComponenteComponent RequisitoRequirement
Sistema operativoOperating System Windows Server 2019 Standard o Datacenter EditionWindows Server 2019 Standard or Datacenter edition
CPUCPU 2 core (min), 4 core (scelta consigliata)2 cores (min), 4 cores (recommended)
RAMRAM 8 GB (min)8 GB (min)
Schede di interfaccia di reteNICs Si consigliano 2 schede di interfaccia di rete con indirizzi IP statici (1 per il traffico del cluster, 1 per il servizio HGS)2 NICs with static IPs recommended (1 for cluster traffic, 1 for HGS service)

HGS è un ruolo associato alla CPU a causa del numero di azioni che richiedono la crittografia e la decrittografia.HGS is a CPU-bound role because of the number of actions that require encryption and decryption. L'uso di processori moderni con funzionalità di accelerazione della crittografia migliorerà le prestazioni di HGS.Using modern processors with cryptographic acceleration capabilities will improve HGS performance. I requisiti di archiviazione per i dati di attestazione sono minimi, da 10 KB a 1 MB per ogni singolo computer che esegue l'attestazione.Storage requirements for attestation data are minimal, on the range of 10 KB to 1 MB per unique computer attesting.

Non aggiungere i computer HGS a un dominio prima di iniziare la procedura.Do not join the HGS computer(s) to a domain before you start.

Prerequisiti del computer SQL ServerSQL ServerSQL ServerSQL Server computer prerequisites

I computer che eseguono SQL ServerSQL Server devono soddisfare sia i requisiti per l'installazione di SQL Server che i requisiti hardware di Hyper-V.The computer(s) running SQL ServerSQL Server must meet both the Requirements for Installing SQL Server and the Hyper-V hardware requirements.

Questi requisiti includono:These requirements include:

  • SQL Server 2019 (15.x)SQL Server 2019 (15.x) o versioni successiveSQL Server 2019 (15.x)SQL Server 2019 (15.x) or later
  • Windows 10 Enterprise versione 1809 o successiva oppure Windows Server 2019 edizione Datacenter.Windows 10 Enterprise version 1809 or later; or Windows Server 2019 Datacenter edition. Le altre edizioni di Windows 10 e Windows Server non supportano l'attestazione con HGS.Other editions of Windows 10 and Windows Server don't support attestation with HGS.
  • Supporto della CPU per le tecnologie di virtualizzazione:CPU support for virtualization technologies:
    • Intel VT-x con Extended Page Tables.Intel VT-x with Extended Page Tables.
    • AMD-V con Rapid Virtualization Indexing.AMD-V with Rapid Virtualization Indexing.
    • Se si esegue SQL ServerSQL Server in una macchina virtuale, l'hypervisor e la CPU fisica devono offrire funzionalità di virtualizzazione annidata.If you're running SQL ServerSQL Server in a VM, the hypervisor and physical CPU must offer nested virtualization capabilities. Per informazioni sulle garanzie quando si eseguono enclave di sicurezza basata sulla virtualizzazione in una macchina virtuale, vedere la sezione Modello di attendibilità.See the trust model section for information on the assurances when running VBS enclaves in a VM.
      • In Hyper-V 2016 o versione successiva abilitare le estensioni di virtualizzazione annidata nel processore della macchina virtuale.On Hyper-V 2016 or later, enable nested virtualization extensions on the VM processor.
      • In Azure selezionare una dimensione di macchina virtuale che supporta la virtualizzazione annidata,In Azure, select a VM size that supports nested virtualization. Tutte le macchine virtuali della serie v3 supportano la virtualizzazione annidata, ad esempio Dv3 ed Ev3.All v3 series VMs support nested virtualization, for example Dv3 and Ev3. Vedere Creare una VM di Azure in grado di supportare l'annidamento.See Create a nesting capable Azure VM.
      • In VMware vSphere 6.7 o versioni successive, abilitare il supporto della sicurezza basata sulla virtualizzazione per la macchina virtuale come descritto nella documentazione di VMware.On VMware vSphere 6.7 or later, enable virtualization-based security support for the VM as described in the VMware documentation.
      • Anche altri hypervisor e cloud pubblici possono supportare le funzionalità di virtualizzazione annidata che abilitano Always Encrypted con enclave di sicurezza basata sulla virtualizzazione.Other hypervisors and public clouds may support nested virtualization capabilities that enable Always Encrypted with VBS Enclaves as well. Vedere la documentazione della soluzione di virtualizzazione per informazioni sulla compatibilità e istruzioni per la configurazione.Check your virtualization solution's documentation for compatibility and configuration instructions.
  • Se si prevede di usare l'attestazione TPM, è necessario un chip TPM 2.0 rev 1.16 pronto per l'uso nel server.If you plan to use TPM attestation, you'll need a TPM 2.0 rev 1.16 chip ready for use in the server. Per il momento, l'attestazione HGS non funziona con i chip TPM 2.0 rev 1.38.At this time, HGS attestation doesn't work with TPM 2.0 rev 1.38 chips. Il modulo TPM deve anche avere un certificato valido della chiave di verifica dell'autenticità.Additionally, the TPM must have a valid Endorsement Key Certificate.

Ruoli e responsabilità per la configurazione dell'attestazione con HGSRoles and responsibilities when configuring attestation with HGS

La configurazione dell'attestazione con HGS comporta la configurazione di componenti di tipi diversi: HGS, computer SQL ServerSQL Server, istanze di SQL ServerSQL Server e applicazioni che attivano l'attestazione dell'enclave.Setting up attestation with HGS involves configuring components of different types: HGS, SQL ServerSQL Server computers, SQL ServerSQL Server instances, and applications that trigger enclave attestation. La configurazione dei componenti di ogni tipo viene eseguita dagli utenti presupponendo uno dei ruoli distinti seguenti:Configuring components of each type is performed by users assuming one of the below distinct roles:

  • Amministratore di HGS: distribuisce HGS, registra i computer SQL ServerSQL Server in HGS e condivide l'URL di attestazione di HGS con amministratori di computer SQL ServerSQL Server e amministratori delle applicazioni client.HGS administrator - deploys HGS, registers SQL ServerSQL Server computers with HGS, and shares the HGS attestation URL with SQL ServerSQL Server computer administrators and client application administrators.
  • Amministratore del computer SQL ServerSQL Server: installa i componenti client di attestazione, abilita VBS nei computer SQL ServerSQL Server, fornisce all'amministratore di HGS le informazioni necessarie per registrare i computer SQL ServerSQL Server in HGS, configura l'URL di attestazione nei computer SQL ServerSQL Server e verifica che l'attestazione dei computer SQL ServerSQL Server in HGS funzioni correttamente.SQL ServerSQL Server computer administrator - installs attestation client components, enables VBS on SQL ServerSQL Server computers, provides the HGS administrator with the information required to register the SQL ServerSQL Server computers with HGS, configures the attestation URL on SQL ServerSQL Server computers, and verifies SQL ServerSQL Server computers can successfully attest with HGS.
  • DBA: configura le enclave sicure nelle istanze di SQL ServerSQL Server.DBA - configures secure enclaves in SQL ServerSQL Server instances.
  • Amministratore delle applicazioni: configura l'applicazione con l'URL di attestazione ottenuto dall'amministratore di HGS.Application administrator - configures application with the attestation URL obtained from the HGS administrator.

Negli ambienti di produzione (che gestiscono dati sensibili reali), è importante che l'organizzazione rispetti la separazione dei ruoli durante la configurazione dell'attestazione, assicurandosi che ogni ruolo distinto venga assunto da persone diverse.In production environments (handling real sensitive data), it is important your organization adheres to role separation when configuring attestation, where each distinct role is assumed by different people. In particolare, se l'obiettivo della distribuzione di Always Encrypted nell'organizzazione è quello di ridurre la superficie di attacco garantendo che gli amministratori di computer SQL ServerSQL Server e i DBA non possano accedere ai dati sensibili, gli amministratori di SQL ServerSQL Server e i DBA non devono controllare i server HGS.In particular, if the goal of deploying Always Encrypted in your organization is to reduce the attack surface area by ensuring SQL ServerSQL Server computer administrators and DBAs cannot access sensitive data, SQL ServerSQL Server administrators and DBAs should not control the HGS servers.

Considerazioni sull'ambiente di sviluppo/testDev/test environment considerations

Se si usa Always Encrypted con gli enclave do sicurezza basata sulla virtualizzazione in un ambiente di sviluppo o di test e non è necessaria la disponibilità elevata o la protezione avanzata del computer che esegue SQL ServerSQL Server, è possibile applicare alcune o tutte le concessioni seguenti per una distribuzione semplificata:If you're using Always Encrypted with VBS enclaves in a development or test environment and don't require high availability or strong protection of the computer running SQL ServerSQL Server, you can make any or all of the following concessions for a simplified deployment:

  • Distribuire un solo nodo di HGS.Deploy only one node of HGS. Anche se HGS installa un cluster di failover, non è necessario aggiungere altri nodi se la disponibilità elevata non è un problema.Even though HGS installs a failover cluster, you don't need to add additional nodes if high availability isn't a concern.
  • Usare la modalità chiave host invece della modalità TPM per semplificare la configurazione.Use host key mode instead of TPM mode for a simpler setup experience.
  • Virtualizzare HGS e/o SQL ServerSQL Server per salvare le risorse fisiche.Virtualize HGS and/or the SQL ServerSQL Server to save physical resources.
  • Eseguire SSMS o altri strumenti per la configurazione di Always Encrypted con enclave sicuri nello stesso computer di SQL ServerSQL Server.Run SSMS or other tools for configuring Always Encrypted with secure enclaves on the same computer as SQL ServerSQL Server. Poiché questo approccio lascia le chiavi master della colonna nello stesso computer di SQL ServerSQL Server, evitare di adottarlo in un ambiente di produzione.This leaves the column master keys on the same computer as SQL ServerSQL Server, so don't do this in a production environment.

Passaggi successiviNext steps