Ruotare le chiavi abilitate per l'enclave

Si applica a: SQL Server 2019 (15.x) e versioni successive - Solo Windows Database SQL di Azure

In Always Encrypted la rotazione di una chiave è il processo di sostituzione di una chiave master della colonna esistente o di una chiave di crittografia di colonna con una nuova chiave. Questo articolo descrive i casi d'uso e le considerazioni sulla rotazione delle chiavi specifiche di Always Encrypted con enclave sicuri quando la chiave iniziale e/o la chiave di destinazione (nuova) è una chiave abilitata per l'enclave. Per le linee guida generali e i processi di gestione delle chiavi Always Encrypted, vedere Panoramica della gestione delle chiavi per Always Encrypted.

Potrebbe essere necessario ruotare una chiave per motivi di sicurezza o di conformità, ad esempio se una chiave è stata compromessa o i criteri dell'organizzazione richiedono di sostituire periodicamente le chiavi. Always Encrypted con la rotazione delle chiavi degli enclave sicure consente anche di abilitare o disabilitare la funzionalità dell'enclave sicuro lato server per le colonne crittografate.

• Quando si sostituisce una chiave non abilitata per l'enclave con una chiave abilitata per l'enclave, si rende disponibile la funzionalità dell'enclave sicura per eseguire query su colonne protette con la chiave. Per altre informazioni, vedere Abilitare Always Encrypted con enclave sicure per le colonne crittografate esistenti.
• Quando si sostituisce una chiave abilitata per l'enclave con una chiave non abilitata per l'enclave, si disabilita la funzionalità dell'enclave sicura per eseguire query su colonne protette con la chiave.

Se si ruota una chiave solo per motivi di sicurezza/conformità e non per abilitare o disabilitare i calcoli dell'enclave per le colonne, verificare che la chiave di destinazione abbia la stessa configurazione per le enclave della chiave di origine. Se ad esempio la chiave di origine è abilitata per l'enclave, anche la chiave di destinazione deve essere abilitata per l'enclave.

I passaggi seguenti includono collegamenti ad articoli dettagliati, a seconda dello scenario di rotazione:

1. Effettuare il provisioning di una nuova chiave (una chiave master di colonna o una chiave di crittografia di colonna).
   • Per effettuare il provisioning di una nuova chiave abilitata per l'enclave, vedere Effettuare il provisioning delle chiavi abilitate per l'enclave.
   • Per effettuare il provisioning di una chiave non abilitata per l'enclave, vedere Effettuare il provisioning di chiavi Always Encrypted usando SQL Server Management Studio ed con PowerShell.
2. Sostituire una chiave esistente con la nuova chiave.
   • Se si ruota una chiave di crittografia di colonna e sia la chiave di origine che la chiave di destinazione sono abilitate per l'enclave, è possibile eseguire la rotazione (che implica una nuova crittografia dei dati) sul posto. Per altre informazioni, vedere Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicure.
   • Per la procedura dettagliata di rotazione delle chiavi, vedere Ruotare le chiavi Always Encrypted con SQL Server Management Studio e Ruotare le chiavi Always Encrypted con PowerShell.

Passaggi successivi

• Eseguire istruzioni Transact-SQL con enclave sicure
• Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicuri
• Abilitare Always Encrypted con enclave sicuri per le colonne crittografate esistenti
• Sviluppare applicazioni usando Always Encrypted con enclave sicuri

Vedi anche

• Gestire le chiavi per Always Encrypted con enclave sicuri