تشفير بيانات شفاف لقاعدة بيانات SQL، ومثيل SQL المدار، وAzure Synapse Analytics

ينطبق على: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

يساعد تشفير البيانات الشفاف (TDE) في حماية قاعدة بيانات Azure SQL ومثيل Azure SQL المدار وAzure Synapse Analytics ضد تهديد النشاط غير المتصل الضار عن طريق تشفير البيانات الثابتة. فإنه ينفذ تشفير في الوقت الحقيقي وفك تشفير لقاعدة البيانات والنسخ الاحتياطية المقترنة وملفات سجل المعاملات الثابتة دون الحاجة إلى تغييرات على التطبيق. افتراضيًا، يتم تمكين TDE لجميع قواعد بيانات Azure SQL التي تم نشرها حديثًا ويجب تمكينها يدويًا لقواعد بيانات Azure SQL القديمة. بالنسبة لمثيل Azure SQL المدار، يتم تمكين TDE على مستوى المثيل وقواعد البيانات التي تم إنشاؤها حديثًا. يجب تمكين TDE يدويًا لـ Azure Synapse Analytics.

ملاحظة

تنطبق هذه المقالة على قاعدة بيانات Azure SQL ومثيل SQL Azure المدار وAzure Synapse Analytics (تجمعات SQL المخصصة ( المعروفة سابقًا بـ SQL DW)). للحصول على وثائق حول تشفير البيانات الشفاف لتجمعات SQL المخصصة داخل مساحات عمل Synapse، راجع تشفير Azure Synapse Analytics.

ملاحظة

قد يتم إرسال بعض العناصر التي تأخذ محتوى العميل بعين الاعتبار، مثل أسماء الجداول وأسماء الكائنات وأسماء الفهارس، في ملفات السجل للحصول على الدعم واستكشاف الأخطاء وإصلاحها بواسطة Microsoft.

TDE ينفذ في الوقت الحقيقي الإدخال / إخراج التشفير وفك تشفير البيانات على مستوى الصفحة. يتم فك تشفير كل صفحة عند قراءتها في الذاكرة ثم تشفيرها قبل كتابتها على القرص. يقوم TDE بتشفير تخزين قاعدة البيانات بأكملها باستخدام مفتاح متماثل يسمى مفتاح تشفير قاعدة البيانات (DEK). عند بدء تشغيل قاعدة البيانات، يتم فك تشفير DEK المشفر ثم يُستخدم لفك تشفير وإعادة تشفير ملفات قاعدة البيانات في عملية محرك قاعدة بيانات SQL Server. يُعد DEK محمياً بواسطة حامي TDE. حامي TDE عبارة عن شهادة مُدارة بواسطة الخدمة (خدمة تشفير بيانات شفاف مُدارة) أو مفتاح غير متماثل مخزن في Azure Key Vault (تشفير بيانات شفاف مُدار بواسطة العميل).

بالنسبة إلى قاعدة بيانات Azure SQL وAzure Synapse Analytics، يتم تعيين حامي TDE على مستوى الخادم ويتم توريثه بواسطة جميع قواعد البيانات المشفرة المرتبطة بهذا الخادم. بالنسبة إلى Azure SQL المثيل المدار، يتم تعيين حامي TDE على مستوى المثيل ويتم توريثه بواسطة جميع قواعد البيانات المشفرة على هذا المثيل. يشير مصطلح الخادم إلى كل من الخادم والمثيل في جميع أنحاء هذه الوثيقة، ما لم يذكر بشكل مختلف.

هام

يتم تشفير جميع قواعد البيانات التي تم إنشاؤها حديثًا في قاعدة بيانات SQL بشكل افتراضي باستخدام خدمة تشفير البيانات الشفافة المُدارة. تكون قواعد بيانات SQL الموجودة التي تم إنشاؤها قبل مايو 2017 وقواعد البيانات SQL التي تم إنشاؤها من خلال الاستعادة والنسخ المتماثل الجغرافي ونسخة قاعدة البيانات غير مشفرة بشكل افتراضي. لا يتم تشفير قواعد بيانات مثيل SQL المُدار الموجودة التي تم إنشاؤها قبل فبراير 2019 بشكل افتراضي. ترث قواعد بيانات مثيل SQL المُدار التي تم إنشاؤها من خلال استعادة حالة التشفير من المصدر. لاستعادة قاعدة بيانات TDE مشفرة موجودة، يجب أولاً استيراد شهادة TDE المطلوبة إلى مثيل SQL المُدار.

ملاحظة

لا يمكن استخدام TDE لتشفير قواعد بيانات النظام، مثل قاعدة البيانات master، في قاعدة بيانات Azure SQL ومثيل Azure SQL المُدار. تحتوي قاعدة البيانات master على كائنات مطلوبة لتنفيذ عمليات TDE على قواعد بيانات المستخدم. يُستحسن عدم تخزين أي بيانات حساسة في قواعد بيانات النظام. ويجري الآن تعميم تشفير البنية الأساسية الذي يشفر قواعد بيانات النظام بما في ذلك قاعدة البيانات "master".

تشفير البيانات الشفافة الذي تديره الخدمة

في Azure، الإعداد الافتراضي لـ TDE هو أن DEK محمي بواسطة شهادة خادم مضمن. شهادة الخادم المضمنة فريدة لكل خادم وخوارزمية التشفير المستخدمة هي AES 256. إذا كانت قاعدة بيانات في علاقة النسخ المتماثل الجغرافية، فيتم حماية كل من قواعد البيانات الأساسية والثانوية الجغرافية بواسطة مفتاح الخادم الأصل لقاعدة البيانات الأساسية. إذا كانت قاعدتا البيانات متصلتين بنفس الخادم، فإنهما تشتركان أيضاً في نفس الشهادة المضمنة. تقوم Microsoft تلقائيًا بتدوير هذه الشهادات وفقًا لسياسة الأمان الداخلي، كما تتم حماية المفتاح الجذر بواسطة مخزن سري داخلي توفره Microsoft. يمكن للعملاء التحقق من توافق قاعدة بيانات SQL ومثيل SQL المُدار مع نهج الأمان الداخلي في تقارير تدقيق جهات الأمان الأخرى المستقلة المتوفر على مركز توثيق Microsoft.

كما تقوم Microsoft بنقل المفاتيح وإدارتها بسهولة حسب الحاجة للنسخ المتماثل الجغرافي والاستعادة.

تشفير البيانات الشفاف الذي يديره العميل -Bring Your Own Key

كما يُشار إلى هذا بمصطلح دعم إنشاء مفتاحك (BYOK) لـTDE. في هذا السيناريو، يكون "حامي TDE" الذي يقوم بتشفير DEK مفتاحًا غير متماثل يديره العميل، ويتم تخزينه في Azure Key Vault المملوك والمدار بواسطة العميل (نظام إدارة المفاتيح الخارجية المستند إلى السحابة من Azure) ولا يترك استخراجه من Key Vault مرة أخرى. يمكن إنشاء حامي TDE بواسطة key vault أو نقله إلى key vault من جهاز وحدة أمان الأجهزة المحلية (HSM). تحتاج قاعدة بيانات SQL ومثيل SQL المُدار و Azure Synapse إلى منح أذونات إلى key vault المملوك بواسطة العميل لفك تشفير وتشفير DEK. إذا تم إبطال أذونات الخادم إلى المخزن الرئيسي، فستكون قاعدة البيانات غير قابلة للوصول، ويتم تشفير جميع البيانات.

مع TDE مع تكامل Azure Key Vault، يمكن للمستخدمين التحكم في مهام الإدارة الرئيسية بما في ذلك تناوب المفاتيح وأذونات الخزنة الرئيسية والنسخ الاحتياطية الرئيسية وتمكين التدقيق / الإبلاغ عن جميع حماة TDE باستخدام وظائف Azure Key Vault. يوفر Key Vault إدارة مركزية للمفاتيح، ويعزز وحدات HSM الخاضعة للمراقبة بإحكام، ويتيح فصل المهام بين إدارة المفاتيح والبيانات للمساعدة في تلبية الامتثال لنُهج الأمان. لمعرفة المزيد حول BYOK لقاعدة بيانات Azure SQL وAzure Synapse، راجع تشفير البيانات الشفاف باستخدام التكامل مع Azure Key Vault.

لبدء استخدام TDE باستخدام التكامل معAzure Key Vault، راجع الدلائل الإرشادية تشغيل تشفير البيانات الشفاف باستخدام مفتاحك من Key Vault.

نقل قاعدة بيانات محمية بتشفير البيانات الشفاف

لا تحتاج إلى فك تشفير قواعد البيانات للعمليات داخل Azure. يتم توريث إعدادات TDE في قاعدة البيانات المصدر أو قاعدة البيانات الأولية بشفافية على الهدف. تتضمن العمليات المضمنة ما يلي:

• الاستعادة الجغرافية
• الاستعادة في نقطة زمنية ذاتية الخدمة
• استعادة قاعدة بيانات محذوفة
• النسخ المتماثل الجغرافي النشط
• إنشاء نسخة من قاعدة بيانات
• استعادة ملف النسخ الاحتياطي إلى مثيل Azure SQL المُدار

هام

لا يتم دعم النسخ الاحتياطي اليدوي للنسخة فقط لقاعدة البيانات المشفرة بواسطة خدمة TDE المُدار في مثيل Azure SQL المُدار حيث لا يمكن الوصول إلى الشهادة المستخدمة للتشفير. في مثل هذه الحالة، استخدم ميزة الاستعادة إلي نقطة معينة من الوقت لنقل هذا النوع من قاعدة البيانات إلى مثيل SQL المُدار الآخر، أو التبديل إلى المفتاح المُدار بواسطة العميل.

وعند تصدير قاعدة بيانات محمية بواسطة TDE، لا يتم تشفير المحتوى المُصدّر من قاعدة البيانات. يتم تخزين هذا المحتوى المُصدّر في ملفات BACPAC غير المشفرة. تأكد من حماية ملفات BACPAC بشكل مناسب وتمكين TDE بعد انتهاء استيراد قاعدة البيانات الجديدة.

على سبيل المثال، إذا تم تصدير الملف BACPAC من مثيل SQL Server، لا يتم تشفير المحتوى المستورد لقاعدة البيانات الجديدة تلقائيًا. وبالمثل، إذا تم استيراد ملف BACPAC إلى مثيل SQL Server، لا تكون قاعدة البيانات الجديدة مشفرة تلقائيًا.

الاستثناء الوحيد هو عند تصدير قاعدة بيانات من وإلى نفس قاعدة بيانات SQL. يتم تمكين TDE على قاعدة البيانات الجديدة، ولكن ملف BACPAC نفسه لا يزال غير مشفر.

إدارة تشفير البيانات الشفاف

مدخل Microsoft Azure

إدارة TDE في مدخل Microsoft Azure.

لتكوين TDE من خلال مدخل Microsoft Azure، يجب أن تكون متصلاً من خلال الدور كمالك لحساب Azure أو مساهم أو مدير أمان SQL.

قم بتمكين TDE على مستوى قاعدة البيانات أو تعطيله. بالنسبة لمثيل Azure SQL المُدار، استخدم Transact-SQL (T-SQL) لتشغيل TDE على قاعدة بيانات أو إيقاف تشغيله. بالنسبة لقاعدة بيانات Azure SQL وAzure Synapse، يمكنك إدارة TDE لقاعدة البيانات في مدخل Microsoft Azure بعد تسجيل الدخول باستخدام حساب مسؤول Azure أو حساب المساهم. ابحث عن إعدادات TDE ضمن قاعدة بيانات المستخدم. بشكل افتراضي، يتم استخدام تشفير البيانات الشفافة المدارة بواسطة الخدمة. يتم إنشاء شهادة TDE تلقائياً للخادم الذي يحتوي على قاعدة البيانات.

تقوم بتعيين المفتاح الرئيسي TDE، والمعروفة باسم حامي TDE، على مستوى الخادم أو المثيل. لاستخدام TDE مع دعم BYOK وحماية قواعد البيانات الخاصة بك باستخدام مفتاح من Key Vault، افتح إعدادات TDE ضمن إعدادات خادمك.

PowerShell

إدارة TDE باستخدام PowerShell.

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

هام

لا تزال الوحدة النمطية PowerShell Azure Resource Manager مدعومة، ولكن كل التطوير المستقبلي مخصص للوحدة النمطية Az.Sql. بالنسبة إلى أوامر cmdlets، راجع AzureRM.Sql. تتطابق وسائط الأوامر في الوحدة النمطية Az وفي الوحدات النمطية AzureRm بشكل كبير.

لتكوين TDE من خلال PowerShell، يجب أن تكون متصلاً من خلال الدور كمالك لحساب Azure أو مساهم أو مدير أمان SQL.

Cmdlets لقاعدة بيانات SQL Azure وAzure Synapse

استخدم cmdlets التالية لقاعدة بيانات SQL Azure وAzure Synapse:

Cmdlet	الوصف
Set-AzSqlDatabaseTransparentDataEncryption	يُمكن تشفير البيانات الشفاف لقاعدة بيانات أو يعطله.
Get-AzSqlDatabaseTransparentDataEncryption	يُمكنك من الحصول على حالة تشفير البيانات الشفافة لقاعدة بيانات.
Get-AzSqlDatabaseTransparentDataEncryptionActivity	يُمكنك من التحقق من تقدم التشفير لقاعدة بيانات.
Add-AzSqlServerKeyVaultKey	يُمكنك من إضافة مفتاح Key Vault إلى خادم.
Get-AzSqlServerKeyVaultKey	يُمكنك من الحصول على مفاتيح Key Vault لخادم
Set-AzSqlServerTransparentDataEncryptionProtector	يُمكنك من تعيين حامي تشفير البيانات الشفافة لخادم.
Get-AzSqlServerTransparentDataEncryptionProtector	يُمكنك من الحصول على حامي تشفير البيانات الشفاف
Remove-AzSqlServerKeyVaultKey	يُمكنك من إزالة مفتاح Key Vault من الخادم.

هام

بالنسبة لمثيل Azure SQL المُدار، استخدم الأمر T-SQL ALTER DATABASE لتشغيل TDE وإيقاف تشغيله على مستوى قاعدة البيانات، والتحقق من عينة برنامج PowerShell النصي لإدارة TDE على مستوى المثيل.

Transact-SQL

إدارة TDE باستخدام Transact-SQL.

الاتصال بقاعدة البيانات باستخدام تسجيل دخول مسؤول أو عضو في دور dbmanager في قاعدة بيانات "master".

الأمر	الوصف
ALTER DATABASE (قاعدة بيانات Azure SQL)	يُمكنك من تعيين "تشغيل/إيقاف التشفير" لتشفير قاعدة البيانات أو فك تشفيرها
sys.dm_database_encryption_keys	يُمكنك من إرجاع معلومات حول حالة التشفير لقاعدة بيانات ومفاتيح تشفير قاعدة البيانات المقترنة بها
sys.dm_pdw_nodes_database_encryption_keys	يُمكنك من إرجاع معلومات حول حالة التشفير لكل عقدة Azure Synapse ومفاتيح تشفير قاعدة البيانات المقترنة بها

لا يمكنك تبديل حامي TDE إلى مفتاح من Key Vault باستخدام Transact-SQL. استخدم PowerShell أو مدخل Microsoft Azure.

REST API

إدارة TDE باستخدام واجهة برمجة تطبيقات REST.

لتكوين TDE من خلال واجهة برمجة تطبيقات REST، يجب أن تكون متصلاً من خلال الدور كمالك لحساب Azure أو مساهم أو مدير أمان SQL. استخدم مجموعة الأوامر التالية لقاعدة بيانات Azure SQL وAzure Synapse:

الأمر	الوصف
إنشاء الخادم أو تحديثه	إنشاء هوية Microsoft Azure Active Directory إلى الخادم. (تُستخدم لمنح الوصول إلى Key Vault)
إنشاء مفتاح الخادم أو تحديثه	يُمكنك من إضافة مفتاح Key Vault إلى خادم.
حذف مفتاح الخادم	يُمكنك من إزالة مفتاح Key Vault من الخادم.
الحصول على مفاتيح الخادم	يُمكنك من الحصول على مفتاح Key Vault معين من خادم.
قائمة مفاتيح الخادم حسب الخادم	يُمكنك من الحصول على مفاتيح Key Vault لخادم.
إنشاء حامي التشفير أو تحديثه	يُمكنك من تعيين حامي TDE لخادم.
الحصول على حامي التشفير	يُمكنك من الحصول على حامي TDE لخادم.
قائمة حماة التشفير حسب الخادم	يُمكنك من الحصول على حُماة التشفير لخادم
إنشاء تكوين تشفير بيانات شفاف أو تحديثه	يُمكنك من تمكين TDE لقاعدة بيانات أو تعطيله.
الحصول على تكوين تشفير البيانات الشفاف	يُمكنك من الحصول على تكوين TDE لقاعدة بيانات.
سرد نتائج تكوين تشفير البيانات الشفاف	يُمكنك من الحصول على نتائج التشفير لقاعدة بيانات.

الخطوات التالية

تعرف على المزيد عن المفاهيم ذات الصلة في المقالات التالية:

• يمكنك استخدام مفتاح غير متماثل من Key Vault لـ SQL Server قيد التشغيل على جهاز Azure الظاهري. تختلف خطوات التكوين عن استخدام مفتاح غير متماثل في قاعدة بيانات SQL ومثيل SQL المُدار. لمزيد من المعلومات، راجع إدارة المفتاح القابلة للتوسعة باستخدام Azure Key Vault (SQL Server).
• للحصول على وصف عام لتشفير البيانات الشفاف TDE، راجع تشفير البيانات الشفاف.
• لمعرفة المزيد حول تشفير البيانات الشفاف TDE مع دعم BYOK لقاعدة بيانات Azure SQL ومثيلAzure SQL المُدار وAzure Synapse، راجع تشفير البيانات الشفاف مع دعم "إنشاء مفتاحك".
• لبدء استخدام تشفير البيانات الشفاف TDE مع دعم إنشاء مفتاحك، راجع الدلائل الإرشادية تشغيل تشفير البيانات الشفاف باستخدام مفتاحك من Key Vault.
• لمزيد من المعلومات حول Key Vault، راجع الوصول الآمن إلى Key Vault.