Configurar a criptografia de coluna in-loco usando o Always Encrypted com enclaves seguros

Aplica-se a: SQL Server 2019 (15.x) e versões posteriores (somente para Windows) Banco de Dados SQL do Azure

O Always Encrypted com enclaves seguros dá suporte a operações de criptografia em colunas de banco de dados in-loco em um enclave seguro no mecanismo de banco de dados. A criptografia in-loco elimina a necessidade de mover os dados dessas operações para fora do banco de dados, tornando as operações criptográficas mais rápidas e confiáveis.

Observação

Apesar dos benefícios de desempenho da criptografia in-loco, as operações criptográficas em tabelas grandes podem levar muito tempo e consumir recursos substanciais, podendo afetar e degradar o desempenho e a disponibilidade de seus aplicativos.

A criptografia in-loco também possibilita disparar operações criptográficas usando a instrução ALTER TABLE ALTER COLUMN (Transact-SQL), o que não é possível sem um enclave.

Pré-requisitos

As operações criptográficas com suporte e os requisitos para as chaves de criptografia de coluna, usadas para as operações, são:

  • Criptografando uma coluna de texto não criptografado. A chave de criptografia de coluna usada para criptografar a coluna precisa ser habilitada para enclave.
  • Criptografar novamente uma coluna criptografada criptografia usando um novo tipo de criptografia ou/e uma nova chave de criptografia de coluna. A chave de criptografia de coluna atual e a nova chave de criptografia de coluna (se forem diferentes da chave atual) precisam estar habilitadas para enclave.
  • Descriptografar uma coluna criptografada – a chave de criptografia da coluna, que protege a coluna, precisa estar habilitada para enclave.

Para obter informações sobre como garantir que as chaves de criptografia de coluna estejam habilitadas para enclave, confira Gerenciar chaves para Always Encrypted com enclaves seguros.

Também é necessário garantir que seu ambiente atenda aos pré-requisitos gerais para execução de instruções usando enclaves seguros.

Um usuário ou um aplicativo que dispara operações criptográficas deve ter permissões para fazer alterações de esquema na tabela que contém as colunas afetadas e acessar as chaves mestras de coluna envolvidas nas operações, bem como os metadados de chave relevantes no banco de dados.

Você pode acionar a criptografia in-loco usando um destes métodos:

Próximas etapas

Confira também