Tutorial: Introducción al uso de Always Encrypted con enclaves de VBS en Azure SQL Database

Artículo
11/16/2023

En este tutorial se explica cómo empezar a trabajar con Always Encrypted con enclaves seguros en Azure SQL Database mediante enclaves de seguridad basada en virtualización (VBS). En él encontrará:

Cómo crear un entorno para probar y evaluar Always Encrypted con enclaves de VBS.
Cómo cifrar datos en contexto y emitir consultas confidenciales enriquecidas en columnas cifradas mediante SQL Server Management Studio (SSMS).

Prerrequisitos

Una suscripción de Azure activa. En caso de no tener ninguna, cree una cuenta gratuita. Debe ser miembro del rol Colaborador o del rol Propietario de la suscripción para poder crear recursos.
Aunque es opcional, se recomienda para almacenar la clave maestra de columna para Always Encrypted: un almacén de claves en Azure Key Vault. Para información sobre cómo crear un almacén de claves, consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal.
- Si el almacén de claves usa el modelo de permisos de directiva de acceso, asegúrese de que tiene los siguientes permisos de clave en el almacén de claves: get, list, create, unwrap key, wrap key, verify y sign. Consulte Asignación de una directiva de acceso de Key Vault.
- Si usa el modelo de permisos de control de acceso basado en rol (RBAC) de Azure, asegúrese de que es miembro del rol Agente criptográfico de Key Vault en el almacén de claves. Consulte Acceso a las claves, los certificados y los secretos de Key Vault con un control de acceso basado en rol de Azure.

Requisitos de la herramienta

Para este tutorial, se necesita SQL Server Management Studio (SSMS). Puede optar por usar PowerShell o la CLI de Azure para habilitar enclaves de VBS.

Descargue la última versión de SQL Server Management Studio (SSMS).

Se necesita el módulo Az de PowerShell versión 9.3.0 o posterior. Para detalles sobre cómo instalar el módulo Az PowerShell, consulte Instalación del módulo Azure Az PowerShell. Para determinar la versión del módulo Az de PowerShell que está instalado en la máquina, ejecute el siguiente comando desde PowerShell.

Get-InstalledModule -Name Az

Asegúrese de que la CLI de Azure 2.44.0 o posterior esté instalada en el equipo. Para detalles sobre cómo instalar la CLI de Azure, consulte Instalación de la CLI de Azure. Para averiguar la versión instalada y ver si tiene que actualizar, ejecute az version.

az version

Paso 1: Creación y configuración de un servidor y una base de datos

En este paso, creará un nuevo servidor lógico de Azure SQL Database y una nueva base de datos.

Vaya a Inicio rápido: Creación de una base de datos única: Azure SQL Database y siga las instrucciones de la sección Crear una base de datos única para crear un nuevo servidor lógico de Azure SQL Database y una base de datos nueva.

Importante

Asegúrese de crear una base de datos vacía con el nombre ContosoHR (y no una base de datos de ejemplo).

Paso 2: Habilitación de un enclave de VBS

En este paso, habilitará un enclave de VBS en la base de datos, que es necesario para Always Encrypted con enclaves seguros. Para habilitar los enclaves de VBS en la base de datos, debe establecer la propiedad de base de datos preferredEnclaveType en VBS.

Abra el Azure Portal y localice la base de datos para la que desea habilitar enclaves seguros.
En Configuración de seguridad, seleccione Cifrado de datos.
En el menú Cifrado de datos, seleccione la pestaña Always Encrypted.
Establezca Habilitar enclaves seguros en ON. Si ya está establecido en ON, continúe con el paso siguiente.
Seleccione Guardar para guardar su configuración Always Encrypted.

Abra una consola de PowerShell e importe la versión necesaria del módulo Az de PowerShell.
```
Import-Module "Az" -MinimumVersion "9.3.0"
```

Inicie sesión en Azure. Si es necesario, cambie a la suscripción que está utilizando en este tutorial.

Connect-AzAccount
$subscriptionId = "<your subscription ID>"
$context = Set-AzContext -Subscription $subscriptionId

Habilite un enclave de VBS en la base de datos.

$resourceGroupName = "<your resource group name>"
$serverName = "<your server name>"
$databaseName = "ContosoHR"

Set-AzSqlDatabase -ResourceGroupName $resourceGroupName -ServerName $serverName -DatabaseName $databaseName -PreferredEnclaveType VBS

Abra un símbolo del sistema de Windows (CMD) o PowerShell e inicie sesión en Azure. Si es necesario, cambie a la suscripción que está utilizando en este tutorial.
```
az login
$subscriptionId = "<your subscription ID>"
az account set --subscription $subscriptionId
```

Habilite un enclave de VBS en la base de datos.

$resourceGroupName = "<your resource group name>"
$serverName = "<your server name>"
$databaseName = "ContosoHR"

az sql db update -g $resourceGroupName `
    -s $serverName `
    -n $databaseName `
    --preferred-enclave-type VBS

Paso 3: Relleno de la base de datos

En este paso, creará una tabla y la rellenará con algunos datos que más adelante cifrará y consultará.

Abra SSMS y conéctese a la base de datos ContosoHR en el servidor lógico de Azure SQL que creó sin Always Encrypted habilitado en la conexión de base de datos.
1. En el cuadro de diálogo Conectar con el servidor, especifique el nombre completo del servidor (por ejemplo, myserver135.database.windows.net) y escriba el nombre de usuario del administrador y la contraseña que especificó al crear el servidor.
2. Seleccione Opciones>> y elija la pestaña Propiedades de conexión. Asegúrese de seleccionar la base de datos ContosoHR (no la base de datos master predeterminada).
3. Seleccione la pestaña Always Encrypted.
4. Asegúrese de que la casilla Habilitar Always Encrypted (cifrado de columna)no esté activada.
5. Seleccione Conectar.

Cree una tabla denominada Empleados.

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL,
    [SSN] [char](11) NOT NULL,
    [FirstName] [nvarchar](50) NOT NULL,
    [LastName] [nvarchar](50) NOT NULL,
    [Salary] [money] NOT NULL
) ON [PRIMARY];
GO

Agregue a esta tabla algunos registros de empleados.

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692);

INSERT INTO [HR].[Employees]
        ([SSN]
        ,[FirstName]
        ,[LastName]
        ,[Salary])
    VALUES
        ('990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415);

Paso 4: Aprovisionar claves habilitadas para el enclave

En este paso, creará una clave de columna maestra y una clave de cifrado de columna que admiten los cálculos de enclave.

Con la instancia de SSMS del paso anterior, en el Explorador de objetos, expanda la base de datos y vaya a Seguridad>Claves de Always Encrypted.
Aprovisione una nueva clave maestra de columna habilitada para el enclave:
1. Haga clic con el botón derecho en Claves de Always Encrypted y seleccione Nueva clave maestra de columna… .
2. Escriba un nombre para la nueva clave maestra de columna: CMK1.
3. Compruebe que la opción Permitir cálculos de enclave está seleccionada. (Se selecciona de forma predeterminada si un enclave seguro está habilitado para la base de datos; debe habilitarse, ya que la base de datos usa la configuración de hardware de la serie DC).
4. Seleccione Azure Key Vault (recomendado) o Almacén de certificados de Windows (Usuario actual o Máquina local).
  - Si selecciona Azure Key Vault, inicie sesión en Azure, seleccione una suscripción de Azure que contenga un almacén de claves que quiera usar y seleccione el almacén de claves. Seleccione Generar clave para crear una nueva clave.
  - Si selecciona Almacén de certificados de Windows, seleccione el botón Generar certificado para crear un nuevo certificado.
5. Seleccione Aceptar.
Cree una nueva clave de cifrado de columnas habilitada para el enclave:
1. Haga clic con el botón derecho en Claves de Always Encrypted y seleccione Nueva clave maestra de columna.
2. Escriba un nombre para la nueva clave de cifrado de columnas: CEK1.
3. En la lista desplegable Clave maestra de columna, seleccione la clave maestra de columna que creó en los pasos anteriores.
4. Seleccione Aceptar.

Paso 5: Cifrar algunas columnas en contexto

En este paso, va a cifrar los datos almacenados en las columnas SSN y Salario dentro del enclave del lado servidor y después podrá probar una consulta SELECT de los datos.

Abra una nueva instancia de SSMS y conéctese a la base de datos con Always Encrypted habilitado para la conexión de base de datos.
1. Inicie una nueva instancia de SSMS.
2. En el cuadro de diálogo Conectar con el servidor, especifique el nombre completo del servidor (por ejemplo, myserver135.database.windows.net) y escriba el nombre de usuario del administrador y la contraseña que especificó al crear el servidor.
3. Seleccione Opciones>> y elija la pestaña Propiedades de conexión. Asegúrese de seleccionar la base de datos ContosoHR (no la base de datos master predeterminada).
4. Seleccione la pestaña Always Encrypted.
5. Active la casilla Habilitar Always Encrypted (cifrado de columna).
6. Seleccione Habilitar enclaves seguros.
7. Establezca Protocolo en Ninguno. Vea la siguiente captura de pantalla.
8. Seleccione Conectar.
9. Si se le pide que habilite la parametrización para las consultas Always Encrypted, haga clic en Habilitar.
Con la misma instancia de SSMS (con Always Encrypted habilitado), abra una nueva ventana de consulta y cifre las columnas SSN y Salario mediante la ejecución de las instrucciones siguientes.
```
ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
```
Nota:

La instrucción ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE borra la memoria caché del plan de consulta para la base de datos en el script anterior. Después de modificar la tabla, deberá borrar los planes de todos los lotes y procedimientos almacenados que tengan acceso a la tabla con el fin de actualizar la información de cifrado de los parámetros.
Para comprobar que las columnas SSN y Salario ahora están cifradas, abra una nueva ventana de consulta en la instancia de SSMS sin Always Encrypted habilitado para la conexión de base de datos y ejecute la siguiente instrucción. La ventana de consulta debe devolver valores cifrados de las columnas SSN y Salario. Si ejecuta la misma consulta mediante la instancia SSMS con Always Encrypted habilitado, verá los datos descifrados.
```
SELECT * FROM [HR].[Employees];
```

Paso 6: Ejecutar consultas completas sobre columnas cifradas

Puede ejecutar consultas completas sobre columnas cifradas. Se realizará algún procesamiento de consulta dentro del enclave del lado del servidor.

En la instancia de SSMS con Always Encrypted habilitado, asegúrese de que también está habilitada la parametrización para Always Encrypted.
1. Seleccione Herramientas en el menú principal de SSMS.
2. Seleccione Opciones... .
3. Vaya a Ejecución de consulta>SQL Server>Avanzadas.
4. Asegúrese de que la opción Habilitar parametrización para Always Encrypted esté activada.
5. Seleccione Aceptar.
Abra una nueva ventana de consulta y pegue y ejecute la siguiente consulta. La consulta debe devolver los valores de texto no cifrado y las filas que cumplan los criterios de búsqueda especificados.
```
DECLARE @SSNPattern [char](11) = '%6818';
DECLARE @MinSalary [money] = $1000;
SELECT * FROM [HR].[Employees]
WHERE SSN LIKE @SSNPattern AND [Salary] >= @MinSalary;
```
Pruebe de nuevo la misma consulta en la instancia de SSMS que no tiene habilitado Always Encrypted. Debe producirse un error.

Pasos siguientes

Después de completar este tutorial, puede ir a uno de los siguientes tutoriales:

Vea también

Configuración y uso de Always Encrypted con enclaves seguros

Compartir a través de