Configuración del cifrado de columna en contexto mediante Always Encrypted con enclaves seguros

Se aplica a: SQL Server 2019 (15.x) y versiones posteriores: solo Windows Base de datos de Azure SQL

Always Encrypted con enclaves seguros admite operaciones cifradas en columnas de bases de datos locales, dentro de un enclave seguro en el motor de base de datos. El cifrado en contexto elimina la necesidad de trasladar los datos fuera de la base de datos en operaciones de este tipo, lo que hace que las operaciones criptográficas sean más rápidas y confiables.

Nota:

A pesar de las ventajas de rendimiento del cifrado en contexto, las operaciones criptográficas en tablas muy grandes pueden tardar mucho tiempo y consumir recursos esenciales, lo que puede afectar al rendimiento y la disponibilidad de las aplicaciones.

El cifrado en contexto también permite desencadenar operaciones criptográficas con la instrucción ALTER TABLE ALTER COLUMN (Transact-SQL), lo que no es posible sin un enclave.

Requisitos previos

Estas son las operaciones criptográficas admitidas y los requisitos de las claves de cifrado de columnas que se usan en esas operaciones:

  • Cifrar una columna de texto no cifrado. La clave de cifrado de columna usada para cifrar la columna debe estar habilitada para el enclave.
  • Volver a cifrar una columna cifrada con un tipo de cifrado o una clave de cifrado de columna nuevos. Tanto la clave de cifrado de columna actual como la clave de cifrado de columna nueva (si es distinta de la actual) deben estar habilitadas para el enclave.
  • Descifrar una columna cifrada. La clave de cifrado de columna que protege la columna debe estar habilitada para el enclave.

Para obtener información sobre cómo asegurarse de que sus claves de cifrado de columna están habilitadas para enclaves, vea Administrar claves para Always Encrypted con enclaves seguros.

También debe asegurarse de que su entorno cumple los Requisitos previos generales para ejecutar instrucciones mediante enclaves seguros.

Un usuario o una aplicación que desencadena operaciones criptográficas debe tener permisos para realizar cambios de esquema en la tabla que contiene las columnas afectadas, así como para acceder a las claves maestras de columna implicadas en las operaciones y a los metadatos de clave relevantes en la base de datos.

Puede desencadenar el cifrado local mediante uno de los siguientes métodos:

Pasos siguientes

Consulte también