チュートリアル: VBS エンクレーブが設定された Always Encrypted を Azure SQL Database で使い始める

[アーティクル]
11/14/2023

このチュートリアルでは、仮想化ベースのセキュリティ (VBS) エンクレーブを使って、Azure SQL Database でセキュリティで保護されたエンクレーブが設定された Always Encrypted を使い始める方法について説明します。次のことを示します。

VBS エンクレーブが設定された Always Encrypted をテストおよび評価するための環境を作成する方法。
SQL Server Management Studio (SSMS) を使用して、データのインプレース暗号化を行い、暗号化された列に対して高度な機密クエリを実行する方法。

前提条件

有効な Azure サブスクリプションアカウントがない場合は、無料アカウントを作成してください。リソースを作成できるようにするには、サブスクリプションの共同作成者ロールまたは所有者ロールのメンバーである必要があります。
省略可能。ただし、Always Encrypted: Azure Key Vault のキーコンテナーの列マスターキーを格納する場合に推奨されます。キーコンテナーを作成する方法については、「クイックスタート: Azure portal を使用してキーコンテナーを作成する」を参照してください。
- キーコンテナーでアクセスポリシーのアクセス許可モデルを使用する場合は、キーコンテナーに次のキーアクセス許可があることを確認します: get、list、create、unwrap key、wrap key、verify、sign。「Key Vault アクセスポリシーを割り当てる」を参照してください。
- Azure ロールベースのアクセス制御 (RBAC) アクセス許可モデルを使用している場合は、キーコンテナーの Key Vault Crypto Officer ロールのメンバーであることを確認してください。「Azure のロールベースのアクセス制御を使用して Key Vault のキー、証明書、シークレットへのアクセス権を付与する」を参照してください。

ツールの要件

このチュートリアルでは、SQL Server Management Studio (SSMS) が必要です。 PowerShell または Azure CLI を使って VBS エンクレーブを有効にできます。

最新バージョンの SQL Server Management Studio (SSMS) をダウンロードします。

Az PowerShell モジュールバージョン 9.3.0 以降が必要です。 Az PowerShell モジュールのインストール方法の詳細については、「Azure Az PowerShell モジュールのインストール」を参照してください。お使いのマシンにインストールされている Az PowerShell モジュールのバージョンを確認するには、PowerShell から次のコマンドを実行します。

Get-InstalledModule -Name Az

Azure CLI 2.44.0 以降がコンピューターにインストールされていることを確認します。 Azure CLI のインストール方法について詳しくは、「Azure CLI をインストールする方法」をご覧ください。インストール済みのバージョンを見つけ、更新する必要があるかどうかを確認するには、az version を実行します。

az version

ステップ 1: サーバーとデータベースを作成して構成する

このステップでは、新しい Azure SQL Database 論理サーバーと新しいデータベースを作成します。

「クイックスタート: 単一データベースを作成する - Azure SQL Database」の「単一データベースを作成する」セクションの手順のようにして、新しい Azure SQL Database 論理サーバーと新しいデータベースを作成します。

重要

(サンプルデータベースではなく) ContosoHR という名前の空のデータベースを作成してください。

ステップ 2: VBS エンクレーブを有効にする

このステップでは、セキュリティで保護されたエンクレーブが設定された Always Encrypted に必要な VBS エンクレーブをデータベースで有効にします。データベースで VBS エンクレーブを有効にするには、preferredEnclaveTypeデータベースプロパティを VBS に設定する必要があります。

Azure portal を開き、セキュリティで保護されたエンクレーブを有効にするデータベースを見つけます。
[セキュリティ] 設定で、[データ暗号化] を選択します。
[データ暗号化] メニューの [Always Encrypted] タブを選択します。
[セキュリティで保護されたエンクレーブを有効にする] を [オン] に設定します。既に ON に設定されている場合は、次の手順に進みます。
[保存] を選択して、Always Encryptedの構成を保存します。

PowerShell コンソールを開き、必要なバージョンの Az PowerShell モジュールをインポートします。
```
Import-Module "Az" -MinimumVersion "9.3.0"
```
Azure にサインインします。必要に応じて、このチュートリアルに使用するサブスクリプションに切り替えます。
```
Connect-AzAccount
$subscriptionId = "<your subscription ID>"
$context = Set-AzContext -Subscription $subscriptionId
```

データベースで VBS エンクレーブを有効にします。

$resourceGroupName = "<your resource group name>"
$serverName = "<your server name>"
$databaseName = "ContosoHR"

Set-AzSqlDatabase -ResourceGroupName $resourceGroupName -ServerName $serverName -DatabaseName $databaseName -PreferredEnclaveType VBS

Windows コマンドプロンプト (CMD) または PowerShell を開いて、Azure にサインインします。必要に応じて、このチュートリアルに使用するサブスクリプションに切り替えます。
```
az login
$subscriptionId = "<your subscription ID>"
az account set --subscription $subscriptionId
```

データベースで VBS エンクレーブを有効にします。

$resourceGroupName = "<your resource group name>"
$serverName = "<your server name>"
$databaseName = "ContosoHR"

az sql db update -g $resourceGroupName `
    -s $serverName `
    -n $databaseName `
    --preferred-enclave-type VBS

手順 3: データベースを設定する

この手順では、テーブルを作成し、後で暗号化してクエリを実行するデータを設定します。

SSMS を開き、データベース接続で Always Encrypted を有効にせずに、作成した Azure SQL 論理サーバーの ContosoHR データベースに接続します。
1. [サーバーに接続] ダイアログで、サーバーの完全修飾名 (例: myserver135.database.windows.net) を指定し、サーバーの作成時に指定した管理者のユーザー名とパスワードを入力します。
2. [オプション >>] を選択し、[接続プロパティ] タブを選択します。(既定の master データベースではなく) 必ず ContosoHR データベースを選択します。
3. [Always Encrypted] タブを選択します。
4. [Always Encrypted を有効にする (列の暗号化)] チェックボックスがオンになっていないことを確認します。
5. 接続を選択します。

Employees という名前の新しいテーブルを作成します。

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
    [SSN] [char](11) NOT NULL,
    [FirstName] [nvarchar](50) NOT NULL,
    [LastName] [nvarchar](50) NOT NULL,
    [Salary] [money] NOT NULL
) ON [PRIMARY];
GO

いくつかの従業員レコードを Employees テーブルに追加します。

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692);

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415);

手順 4:エンクレーブ対応キーをプロビジョニングする

この手順では、エンクレーブ計算を可能にする列マスターキーと列暗号化キーを作成します。

前の手順の SSMS インスタンスを使用し、オブジェクトエクスプローラーでデータベースを展開して、 [セキュリティ]>[Always Encrypted キー] に移動します。
エンクレーブ対応の列マスターキーをプロビジョニングします。
1. [Always Encrypted キー] を右クリックし、 [新しい列マスターキー...] を選択します。
2. 新しい列のマスターキーの名前を入力します: CMK1。
3. [エンクレーブ計算を許可する] が選択されていることを確認します。 (セキュリティで保護されたエンクレーブがデータベースに対して有効になっている場合は、既定でこれが選択されます。データベースでは DC シリーズのハードウェア構成が使用されるため、有効にする必要があります。)
4. [Azure Key Vault] (推奨) または [Windows 証明書ストア] ([現在のユーザー] または [ローカルマシン]) を選択します。
  - Azure Key Vault を選択した場合は、Azure にサインインし、使用するキーコンテナーを含む Azure サブスクリプションを選択し、キーコンテナーを選択します。 [キーの生成] を選択して、新しいキーを作成します。
  - Windows 証明書ストアを選択した場合は、[証明書の生成] ボタンを選択して新しい証明書を作成します。
5. [OK] を選択します。
新しいエンクレーブ対応の列暗号化キーを作成します。
1. [Always Encrypted キー] を右クリックし、 [新しい列の暗号化キー] を選択します。
2. 新しい列暗号化キーの名前「CEK1」を入力します。
3. [列マスターキー] ドロップダウンで、前の手順で作成した列マスターキーを選択します。
4. [OK] を選択します。

手順 5:一部の列のインプレース暗号化を行う

この手順では、サーバー側エンクレーブ内の SSN および Salary 列に格納されたデータを暗号化し、そのデータに対して SELECT クエリをテストします。

新しい SSMS インスタンスを開き、データベース接続で Always Encrypted を有効にしてデータベースに接続します。
1. SSMS の新しいインスタンスを開始します。
2. [サーバーに接続] ダイアログで、サーバーの完全修飾名 (例: myserver135.database.windows.net) を指定し、サーバーの作成時に指定した管理者のユーザー名とパスワードを入力します。
3. [オプション >>] を選択し、[接続プロパティ] タブを選択します。(既定の master データベースではなく) 必ず ContosoHR データベースを選択します。
4. [Always Encrypted] タブを選択します。
5. [Always Encrypted を有効にする (列の暗号化)] チェックボックスをオンにします。
6. [Enable secure enclaves] (セキュリティで保護されたエンクレーブを有効にする) を選択します。
7. [プロトコル] を [なし] に設定します。次のスクリーンショットを参照してください。
8. 接続を選択します。
9. Always Encrypted クエリのパラメーター化を有効にするよう求められたら、 [有効] を選択します。
同じ SSMS インスタンス (Always Encrypted が有効) を使用して、新しいクエリウィンドウを開き、次のステートメントを実行して SSN および Salary 列を暗号化します。
```
ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
```
Note

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE ステートメントは、上記のスクリプトでのデータベース用のクエリプランキャッシュをクリアします。テーブルを変更したら、テーブルにアクセスするすべてのバッチおよびストアドプロシージャのプランをクリアして、パラメーター暗号化情報を更新する必要があります。
SSN 列と Salary 列が暗号化されたことを確認するには、データベース接続の Always Encrypted が有効になっていない SSMS インスタンスで新しいクエリウィンドウを開き、下のステートメントを実行します。クエリウィンドウで、SSN 列と Salary 列に暗号化された値が返される必要があります。 Always Encrypted が有効な SSMS インスタンスを使用して同じクエリを実行した場合は、復号化されたデータが表示されます。
```
SELECT * FROM [HR].[Employees];
```

手順 6:暗号化された列に対して高度なクエリを実行する

暗号化された列に対して高度なクエリを実行できます。いくつかのクエリ処理は、サーバー側エンクレーブ内で実行されます。

Always Encrypted が有効になっている SSMS インスタンスで、Always Encrypted のパラメーター化も有効になっていることを確認します。
1. SSMS のメインメニューから [ツール] を選択します。
2. [オプション...] を選択します。
3. [クエリ実行]>[SQL Server]>[詳細] の順に移動します。
4. [Always Encrypted のパラメーター化を有効にする] がオンであることを確認します。
5. [OK] を選択します。
新しいクエリウィンドウを開き、下のクエリを貼り付けて実行します。クエリでは、指定した検索条件を満たすプレーンテキスト値と行が返されます。
```
DECLARE @SSNPattern [char](11) = '%6818';
DECLARE @MinSalary [money] = $1000;
SELECT * FROM [HR].[Employees]
WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
```
Always Encrypted が有効になっていない SSMS インスタンスで同じクエリをもう一度試します。エラーが発生します。

次の手順

このチュートリアルを完了すると、次のいずれかのチュートリアルに進むことができます。

Share via