Tutorial: Desenvolver um aplicativo .NET Framework usando o Always Encrypted com enclaves seguros

Aplica-se a:yes Começando com SQL Server 2019 (15.x) – Windows apenas YesBanco de Dados SQL do Azure

Este tutorial ensina como desenvolver um aplicativo que emite consultas de banco de dados que usam um enclave seguro no lado do servidor para o Always Encrypted com enclaves seguros.

Pré-requisitos

Conclua um dos tutoriais abaixo antes de seguir as etapas deste tutorial:

Você também precisará ter o Visual Studio (a versão 2019 é recomendada). Baixe-o de https://visualstudio.microsoft.com/. O computador de desenvolvimento de aplicativo precisa executar o .NET Framework 4.7.2 ou posterior.

Etapa 1: Configure seu projeto do Visual Studio

Para usar o Always Encrypted com enclaves seguros em um aplicativo .NET Framework, você precisa verificar se seu aplicativo foi compilado no .NET Framework 4.7.2 e está integrado ao NuGet Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders. Além disso, se armazenar a chave mestra da coluna no Azure Key Vault, você também precisará integrar o aplicativo ao Microsoft.SqlServer.Management.AlwaysEncrypted.AzureKeyVaultProvider NuGet, versão 2.2.0 ou posterior.

  1. Abra o Visual Studio.

  2. Crie um projeto de Aplicativo de Console de C# (.NET Framework).

  3. Certifique-se de que seu projeto tenha como destino pelo menos o .NET Framework 4.7.2. Clique com o botão direito do mouse no projeto no Gerenciador de Soluções, selecione Propriedades e defina Estrutura de destino como .NET Framework 4.7.2.

  4. Instale o seguinte pacote NuGet acessando Ferramentas (menu principal) >Gerenciador de Pacotes NuGet>Console do Gerenciador de Pacotes. Execute o seguinte código no Console do Gerenciador de Pacotes.

    Install-Package Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders -IncludePrerelease
    
  5. Se você usa o Azure Key Vault para armazenar chaves mestras de coluna, instale os seguintes pacotes NuGet acessando Ferramentas (menu principal) >Gerenciador de Pacotes NuGet>Console do Gerenciador de Pacotes. Execute o seguinte código no Console do Gerenciador de Pacotes.

    Install-Package Microsoft.SqlServer.Management.AlwaysEncrypted.AzureKeyVaultProvider -IncludePrerelease -Version 2.2.0
    Install-Package Microsoft.IdentityModel.Clients.ActiveDirectory
    
  6. Abra o arquivo de configuração do aplicativo do projeto.

  7. Localize a seção <configuration> e adicione ou atualize as seções <configSections>.

    1. Se a seção de <configuration>não contiver a seção <configSections>, adicione o conteúdo a seguir imediatamente abaixo de <configuration>.

      <configSections>
        <section name="SqlColumnEncryptionEnclaveProviders" type="System.Data.SqlClient.SqlColumnEncryptionEnclaveProviderConfigurationSection, System.Data, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
      </configSections>
      
    2. Se a seção <configuration> já contiver a seção <configSections>, adicione a seguinte linha dentro da seção <configSections>:

      <section name="SqlColumnEncryptionEnclaveProviders"  type="System.   Data.SqlClient.   SqlColumnEncryptionEnclaveProviderConfigurationSection, System.   Data,  Version=4.0.0.0, Culture=neutral,    PublicKeyToken=b77a5c561934e089" />
      
  8. Na seção <configuration>, abaixo de </configSections>, adicione uma nova seção, que especifica um provedor de enclave a ser usado para atestar o enclave seguro no lado do servidor e interagir com ele.

    1. Se você estiver usando o SQL Server e o HGS (Serviço Guardião de Host) (ou seja, usando o banco de dados do Tutorial: introdução ao Always Encrypted com enclaves seguros no SQL Server), adicione a seção abaixo.

      <SqlColumnEncryptionEnclaveProviders>
        <providers>
          <add name="VBS"  type="Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders.HostGuardianServiceEnclaveProvider,  Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders,    Version=15.0.0.0, Culture=neutral, PublicKeyToken=89845dcd8080cc91"/>
        </providers>
      </SqlColumnEncryptionEnclaveProviders>
      

      Veja um exemplo completo de um arquivo app.config de um aplicativo de console simples.

      <?xml version="1.0" encoding="utf-8" ?>
      <configuration>
        <configSections>
          <section name="SqlColumnEncryptionEnclaveProviders" type="System.Data.SqlClient.SqlColumnEncryptionEnclaveProviderConfigurationSection, System.Data, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
        </configSections>
        <SqlColumnEncryptionEnclaveProviders>
          <providers>
            <add name="VBS"  type="Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders.HostGuardianServiceEnclaveProvider,  Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders,    Version=15.0.0.0, Culture=neutral, PublicKeyToken=89845dcd8080cc91"/>
          </providers>
        </SqlColumnEncryptionEnclaveProviders>
        <startup> 
         <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.7.2" />
        </startup>
      </configuration>
      
    2. Se você estiver usando o Banco de Dados SQL do Azure e o Atestado do Microsoft Azure (ou seja, usando o banco de dados do Tutorial: introdução ao Always Encrypted com enclaves seguros no Banco de Dados SQL do Azure), adicione a seção abaixo.

      <SqlColumnEncryptionEnclaveProviders>
        <providers>
          <add name="SGX" type="Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders.AzureAttestationEnclaveProvider, Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders, Version=15.0.0.0, Culture=neutral, PublicKeyToken=89845dcd8080cc91" />
        </providers>
      </SqlColumnEncryptionEnclaveProviders>
      

      Veja um exemplo completo de um arquivo app.config de um aplicativo de console simples.

      <?xml version="1.0" encoding="utf-8" ?>
      <configuration>
        <configSections>
          <section name="SqlColumnEncryptionEnclaveProviders" type="System.Data.SqlClient.SqlColumnEncryptionEnclaveProviderConfigurationSection, System.Data, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
        </configSections>
        <SqlColumnEncryptionEnclaveProviders>
          <providers>
            <add name="SGX" type="Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders.AzureAttestationEnclaveProvider, Microsoft.SqlServer.Management.AlwaysEncrypted.EnclaveProviders, Version=15.0.0.0, Culture=neutral, PublicKeyToken=89845dcd8080cc91" />
          </providers>
        </SqlColumnEncryptionEnclaveProviders>
        <startup> 
         <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.7.2" />
        </startup>
      </configuration>
      

Etapa 2: Implementar a lógica do aplicativo

Seu aplicativo se conectará ao banco de dados ContosoHR do Tutorial: Introdução ao Always Encrypted com enclaves seguros no SQL Server ou do Tutorial: Introdução ao Always Encrypted com enclaves seguros no Banco de Dados SQL do Azure e executará uma consulta que contém o predicado LIKE na coluna SSN e uma comparação de intervalo na coluna Salário.

  1. Substitua o conteúdo do arquivo Program.cs (gerado pelo Visual Studio) pelo código abaixo. Atualize a cadeia de conexão de banco de dados com o nome do servidor, as configurações de autenticação do banco de dados e a URL de atestado de enclave do seu ambiente.

    using System;
    using System.Data.SqlClient;
    using System.Data;
    
    namespace ConsoleApp1
    {
        class Program
        {
            static void Main(string[] args)
            {
    
                string connectionString = "Data Source = myserver; Initial Catalog = ContosoHR; Column Encryption Setting = Enabled;Enclave Attestation Url = http://hgs.bastion.local/Attestation; Integrated Security = true";
    
                //string connectionString = "Data Source = myserver.database.windows.net; Initial Catalog = ContosoHR; Column Encryption Setting = Enabled;Enclave Attestation Url = https://myattestationprovider.uks.attest.azure.net/attest/SgxEnclave; User ID=user; Password=password";
    
                using (SqlConnection connection = new SqlConnection(connectionString))
                {
                    connection.Open();
    
                    SqlCommand cmd = connection.CreateCommand();
                    cmd.CommandText = @"SELECT [SSN], [FirstName], [LastName], [Salary] FROM [HR].[Employees] WHERE [SSN] LIKE @SSNPattern AND [Salary] > @MinSalary;";
    
                    SqlParameter paramSSNPattern = cmd.CreateParameter();
    
                    paramSSNPattern.ParameterName = @"@SSNPattern";
                    paramSSNPattern.DbType = DbType.AnsiStringFixedLength;
                    paramSSNPattern.Direction = ParameterDirection.Input;
                    paramSSNPattern.Value = "%9838";
                    paramSSNPattern.Size = 11;
    
                    cmd.Parameters.Add(paramSSNPattern);
    
                    SqlParameter MinSalary = cmd.CreateParameter();
    
                    MinSalary.ParameterName = @"@MinSalary";
                    MinSalary.DbType = DbType.Currency;
                    MinSalary.Direction = ParameterDirection.Input;
                    MinSalary.Value = 20000;
    
                    cmd.Parameters.Add(MinSalary);
                    cmd.ExecuteNonQuery();
    
                    SqlDataReader reader = cmd.ExecuteReader();
                    while (reader.Read())
    
                    {
                        Console.WriteLine(reader[0] + ", " + reader[1] + ", " + reader[2] + ", " + reader[3]);
                    }   
                    Console.ReadKey();
                }
            }
        }
    }
    
  2. Criar e executar o aplicativo.

Consulte Também