Настройка шифрования столбцов на месте с помощью Always Encrypted с безопасными анклавами
Область применения: 
SQL Server 2019 (15.x) и более поздних версий — Windows только База данных SQL Azure
Always Encrypted с безопасными анклавами поддерживает криптографические операции на столбцах базы данных на месте - внутри безопасного анклава в ядро СУБД. Шифрование на месте устраняет необходимость перемещения данных для таких операций за пределы базы данных, что делает криптографические операции более быстрыми и надежными.
Примечание.
Несмотря на преимущества шифрования на месте в плане производительности, криптографические операции в больших таблицах могут занимать много времени и потреблять значительные ресурсы и потенциально влиять на производительность и доступность приложений.
Шифрование на месте позволяет также активировать операции шифрования с помощью инструкции ALTER TABLE ALTER COLUMN (Transact-SQL), что невозможно без анклава.
Необходимые компоненты
Ниже приведены поддерживаемые криптографические операции и требования для ключей шифрования столбцов, используемых для этих операций.
- Шифрование столбца с открытым текстом. Ключ шифрования столбца, используемый для шифрования столбца, должен поддерживать анклав.
- Повторное шифрование зашифрованного столбца с помощью нового типа шифрования или (и) нового ключа шифрования столбца. Ключ шифрования текущего столбца и новый ключ шифрования столбца (если он отличается от текущего) оба должны поддерживать анклав.
- Расшифровка зашифрованного столбца. Ключ шифрования столбца, защищающий столбец, должен поддерживать анклав.
Сведения о том, как убедиться, что ключи шифрования столбцов включены в анклава, см. в разделе "Управление ключами для Always Encrypted с безопасными анклавами".
Кроме того, необходимо убедиться, что среда соответствует общим предварительным требованиям для выполнения инструкций с помощью безопасных анклавах.
Пользователь или приложение, запускающее криптографические операции, должны иметь разрешения на внесение изменений схемы в таблицу, содержащую затрагиваемые столбцы, и на доступ к главным ключам столбцов, используемым в операции, и к соответствующим метаданным ключа в базе данных.
Вы можете активировать шифрование на месте с помощью одного из следующих методов:
- ALTER TABLE ALTER COLUMN (Transact-SQL) из SQL Server Management Studio или пользовательского приложения. См. Настройка шифрования столбцов на месте с помощью Transact-SQL.
- Мастер Always Encrypted
- Командлет Set-SqlColumnEncryption. См. статью "Настройка шифрования столбцов на месте с помощью PowerShell".
- Пакет приложения уровня данных (DAC). См. раздел "Настройка шифрования столбцов на месте с помощью пакета DAC".
Следующие шаги
- Настройка шифрования столбцов на месте с помощью Transact-SQL
- Создание и использование индексов в столбце с помощью Always Encrypted с безопасными анклавами
- Разработка приложений с помощью Always Encrypted с безопасными анклавами