إدارة مفاتيح التشفير

تستخدم جميع مثيلات Microsoft Dynamics 365 (على الإنترنت) ميزة SQL Server تشفير البيانات الشفاف (TDE) لإجراء عملية تشفير البيانات وفك تشفيرها في الوقت الحقيقي عند كتابتها إلى القرص، التي تُعرف أيضًا باسم تشفير البيانات غير المتنقلة عبر الشبكات.

بشكل افتراضي، يقوم Microsoft بتخزين وإدارة مفاتيح تشفير قاعدة بيانات لمثيلات Dynamics 365 (عبر الإنترنت) بحيث لن تحتاج إلى القيام بذلك. توفر ميزة إدارة المفاتيح في مركز إدارة Dynamics 365 للمسؤولين القدرة على الإدارة الذاتية لمفاتيح تشفير قاعدة البيانات المقترنة مع مثيلات Dynamics 365 (عبر الإنترنت).

مقدمة إلى إدارة المفاتيح

باستخدام وظيفة إدارة المفاتيح في Dynamics 365 (عبر الإنترنت)، بإمكان المسؤولين توفير مفتاح تشفير خاص بهم أو طلب إنشاء مفتاح تشفير لهم، والذي يستخدم لتشفير قاعدة البيانات التابعة لمثيل.

تدعم ميزة إدارة المفاتيح ملفات مفاتيح التشفير PFX وBYOK، كتلك التي تم تخزينها في وحدة نمطية لأمان الأجهزة (HSM). لاستخدام خيار تحميل مفتاح التشفير، يجب أن يتوفر لديك مفتاح التشفير العام ومفتاح التشفير الخاص على حدٍ سواء.

بفضل ميزة إدارة المفاتيح، ستزال التعقيدات من عملية إدارة مفاتيح التشفير باستخدام مخزن Azure الأساسي لتخزين مفاتيح التشفير بشكل آمن. يساعد مخزن Azure الأساسيفي حماية أسرار ومفاتيح التشفير التي تستخدمها التطبيقات والخدمات السحابية. لا تتطلب ميزة إدارة المفاتيح أن يكون لديك اشتراك مخزن Azure الأساسي ولمعظم الحالات لا حاجة إلى الوصول إلى مفاتيح التشفير المستخدمة لتطبيق Dynamics 365 (عبر الإنترنت) داخل المخزن.

تسمح لك ميزة إدارة المفاتيح بتنفيذ المهام التالية.

  • تمكين المرونة التي تسمح بالإدارة الذاتية لمفاتيح تشفير قاعدة البيانات المقترنة بمثيلات Dynamics 365 (عبر الإنترنت).

  • إنشاء مفاتيح تشفير جديدة أو موجودة أو تحميل ملفات مفاتيح تشفير موجودة .PFX أو .BYOK.

  • تأمين مثيل Dynamics 365 (عبر الإنترنت).

    تنبيه

    يجب ألا تقوم إطلاقًا بتأمين مثيل كجزء من إجراءات العمل العادية. عندما يكون مثيل Dynamics 365 (عبر الإنترنت) مؤمنًا، سوف يأخذ المثيل تمامًا إلى وضع عدم الاتصال وسيتعذر الوصول إليه من قِبل أي شخص، بما في ذلك Microsoft. بالإضافة إلى ذلك، سيتوقف عمل خدمات بكاملها مثل المزامنة والصيانة. هناك سبب معقول لتأمين المثيل وهو عندما تنقل قاعدة بياناتك من وضع الاتصال إلى الموقع المحلي. من شأن تأمين المثيل أن يضمن عدم إمكانية الوصول إلى بياناتك عبر الإنترنت إطلاقًا من قِبل أي كان.

    لا يمكن استعادة مثيل مؤمن من النسخة الاحتياطية.

  • إلغاء تأمين مثيل Dynamics 365 (عبر الإنترنت). لإلغاء تأمين مثيل Dynamics 365 (عبر الإنترنت) مؤمن، يجب تحميل مفتاح التشفير الذي تم استخدامه لتأمينه. عندما يكون مثيل Dynamics 365 (عبر الإنترنت) مؤمنًا، فسيتعذر الوصول إليه من قِبل أي شخص.

فهم المخاطر المحتملة عند إدارة المفاتيح

كما هو الحال مع أي تطبيق مهم للأعمال، يجب الوثوق بالعاملين داخل المؤسسة الذين لديهم حق الوصول على مستوى المسؤول. وقبل استخدام ميزة إدارة المفاتيح، يجب فهم المخاطر المحتملة عند إدارة مفاتيح تشفير قاعدة البيانات. وليس من المستبعد أن يقوم مسؤول ضار (شخص تم منحه حق الوصول على مستوى المسؤول أو اكتسب هذا الحق بقصد إلحاق الضرر بأمان المؤسسة أو إجراءات العمل فيها) يعمل داخل مؤسستك باستخدام ميزة إدارة المفاتيح لإنشاء مفتاح واستخدامه لتأمين مثيل Dynamics 365 (عبر الإنترنت). خذ بعين الاعتبار التسلسل التالي للأحداث.

  1. يسجل المسؤول الضار الدخول إلى مركز إدارة Dynamics 365، وينتقل إلى صفحة التحرير لمثيل، ثم يقوم بإنشاء مفتاح تشفير جديد لاستخدامه لتشفير المثيل. كجزء من عملية إنشاء المفتاح، يقوم مسؤول Dynamics 365 الضار بتحميل مفتاح التشفير.

  2. يقوم المسؤول الضار بتأمين مثيل Dynamics 365 (عبر الإنترنت) المقترن ويأخذ مفتاح التشفير الذي تم استخدامه لتأمين المثيل أو يحذفه.

    لاحظ أن استكمال التغييرات على مفتاح التشفير تستغرق 72 ساعة. بالإضافة إلى ذلك، في أي وقت يتم فيه تغيير مفتاح تشفير لمثيل Dynamics 365 (عبر الإنترنت)، فإم جميع مسؤولي Dynamics 365 (عبر الإنترنت) سيتلقون رسالة بريد إلكتروني لتحذيرهم من تغيير المفتاح. ويحتاج التراجع عن كل تغييرات المفاتيح غير المخوّلة إلى ما يصل لغاية 72 ساعة.

    ومع ذلك، إذا لم يتم التراجع عن تغييرات المفتاح بعد مرور 72 ساعة، سيبقى مثيل Dynamics 365 (عبر الإنترنت) في حالة التأمين حتى يمكن استرداد مفتاح التشفير الذي تم استخدامه لتأمينه لإلغاء تأمينه.

متطلبات إدارة المفاتيح

الامتيازات المطلوبة

لاستخدام ميزة إدارة المفاتيح تحتاج إلى أحد الامتيازات التالية:

  • عضوية المسؤولين العموميين في Office 365.

  • عضوية مجموعة مسؤولي خدمة Office 365.

  • دور أمان مسؤول النظام لمثيل Dynamics 365 (عبر الإنترنت) الذي تريد إدارة مفتاح التشفير له.

متطلبات الاشتراك

تتطلب القدرة على الإدارة الذاتية لمفاتيح تشفير قاعدة البيانات Dynamics 365 الخطة 1 أو Dynamics 365 الخطة 2.

دعم إصدار Dynamics 365

ستتوفر مفاتيح تشفير قاعدة البيانات المدارة ذاتيًا فقط في تحديث شهر يناير 2017 لبرنامج Microsoft Dynamics 365 (على الإنترنت) وقد لا تتوفر للإصدارات الأحدث.

متطلبات مفاتيح التشفير

إذا قمت بتوفير مفتاح تشفير خاص بك، فيجب أن يلبي مفتاحك هذه المتطلبات التي يقبلها مخزن Azure الأساسي.

  • يجب أن يكون تنسيق ملف مفتاح التشفير PFX أو BYOK.

  • نوع المفتاح 2048-bit RSA أو RSA-HSM

  • يجب أن تكون ملفات مفاتيح التشفير PFX محمية بكلمة مرور.

    لمزيد من المعلومات حول أنواع المفاتيح التي يدعمها المخزن الرئيسي بتحميل الملف في مركز إدارة Dynamics 365. وحده الإصدار المشفر لمفتاحك يغادر محطة العمل الأصلية. لمزيد من المعلومات حول إنشاء مفتاح محمي بواسطة HSM ونقله عبر الإنترنت، راجع كيفية إنشاء مفاتيح محمية بواسطة HSM لمخزن Azure الأساسي ونقلها.

مهام إدارة المفاتيح

تصف الأقسام التالية المهام التي يمكنك تنفيذها عند اختيار إدارة مفتاح تشفير قاعدة البيانات بطريقة ذاتية لمثيل واحد أو أكثر.

تعيين مفتاح التشفير لمثيل أو تغييره

استخدم هذا الإجراء لإعداد ميزة إدارة المفاتيح للمرة الأولى لمثيل أو لتغيير مفتاح التشفير لمثيل مدار ذاتيًا.

  1. سجل دخولك إلى مركز إدارة Office 365.

  2. قم بتوسيع مراكز الإدارة، ثم انقر فوق Dynamics 365.

  3. انقر فوق مثيل، وحدد المثيل حيث تريد إدارة مفتاح تشفير قاعدة البيانات، ثم انقر فوق تحرير.

  4. تحت إعدادات تشفير قاعدة البيانات، انقر فوق إدارة المفتاح.

    زر إدارة المفتاح

  5. راجع الرسالة التي تظهر، وإذا أردت إدارة مفتاح تشفير قاعدة البيانات الخاص بك للمثيل، انقر فوق موافق.

  6. يتم بشكل افتراضي، يكون اسم المفتاح مفتاح تشفير InstanceName. اترك اسم المفتاح كما هو أو قم بتغييره، وانقر فوق جديد أو تحميل.

    إنشاء مفتاح جديد أو تحميل مفتاح‬

    جديد. انقر فوق جديد لكي يتم إنشاء مفتاح التشفير .PFX المنشأ لك والذي سيتم استخدامه لتشفير قاعدة البيانات.

    1. عند المطالبة، أدخل كلمة المرور التي سيتم استخدامها لمفتاح التشفير.

    2. لاستخدام المفتاح للمثيل، انقر فوق نعم.

    3. عند مطالبتك بحفظ المفتاح الخاص، احفظه في موقع أمن. يتم إنشاء المفتاح RSA SHA256 2048-bit نحن ننصح بشدة بإجراء نسخة احتياطية للمفتاح وحفظ كلمة المرور في مكان آمن.

    4. انقر فوق إغلاق لإغلاق مربع حوار إدارة مفتاح تشفير قاعدة البيانات.

    تحميل. انقر فوق تحميل لتوفير ملف مفتاح التشفير PFX أو BYOK الخاص بك المحمي بكلمة مرور.

    1. استعرض بحثًا عن مفتاحك الخاص الذي تم تصديره من الوحدة النمطية لأمان الأجهزة (HSM) المحلية أو تطبيق مفتاح التشفير وأضفه. بالنسبة إلى ملفات مفاتيح التشفير BYOK، تأكد من استخدام معرف الاشتراك عند تصدير مفتاح التشفير من وحدة HSM المحلية. انقر فوق تحميل ملف BYOK؟ في مربع الحوار إدارة مفتاح تشفير قاعدة بيانات للعثور على معرف الاشتراك.

    2. إذا كنت تريد بالتأكيد تغيير مفتاح التشفير، فانقر فوق نعم.

    3. أدخل كلمة مرور للمفتاح، وانقر فوق موافق.

    4. انقر فوق إغلاق لإغلاق مربع حوار إدارة مفتاح تشفير قاعدة البيانات.

    5. يتم إرسال رسالة بريد إلكتروني إلى جميع مسؤولي Dynamics 365 (عبر الإنترنت) في مؤسستك. يحدث هذا الأمر كما تغيّر مفتاح لمثيل.

    لاحظ أن اسم المفتاح الذي حددته لإدارة إعدادات تشفير قاعدة البيانات يظهر الآن تحت مفتاح التشفير الحالي.

    الإشارة إلى مفتاح مُدار‬

عكس مفتاح تشفير مُدار

تؤدي عملية عكس مفتاح مُدار إلى تكوين المثيل بحيث يعود إلى السلوك الافتراضي حيث يقوم Microsoft بإدارة مفتاح التشفير نيابة عنك.

  • من مركز إدارة Dynamics 365، انقر فوق مثيل، وحدد المثيل الذي تريد عكسه، ثم انقر فوق تحرير.

  • تحت إعدادات تشفير قاعدة البيانات، انقر فوق إدارة المفتاح.

  • انقر فوق عكس.

  • لإرجاع المثيل مرة أخرى إلى تشفير المفاتيح المُدار في Microsoft، انقر فوق نعم.

  • انقر فوق إغلاق لإغلاق مربع حوار إدارة مفتاح تشفير قاعدة البيانات.

تأمين مثيل

تبقى إمكانية الوصول إلى المثيل المؤمن غير متاحة للجميع، بمن فيهم Microsoft، حتى يقوم مسؤول المستأجر في المؤسسة بإلغاء تأمينه باستخدام المفتاح الذي تم استخدامه لتأمينه.

تنبيه

عندما يكون مثيل Dynamics 365 (عبر الإنترنت) مؤمنًا، سوف يأخذ المثيل تمامًا إلى وضع عدم الاتصال وسيتعذر الوصول إليه من قِبل أي شخص، بما في ذلك Microsoft. بالإضافة إلى ذلك، سيتوقف عمل خدمات بكاملها مثل المزامنة والصيانة. يجب ألا تقوم إطلاقًا بتأمين مثيل كجزء من إجراءات العمل العادية. هناك سبب شائع لتأمين المثيل وهو عندما تنقل قاعدة بياناتك من وضع الاتصال إلى الموقع المحلي. من شأن تأمين المثيل أن يضمن عدم إمكانية الوصول إلى بياناتك عبر الإنترنت إطلاقًا من قِبل أي كان.

لا يمكن استعادة مثيل مؤمن من النسخة الاحتياطية.

  1. من مركز إدارة Dynamics 365، انقر فوق مثيل، وحدد المثيل الذي تريد تأمينه، ثم انقر فوق تحرير.

  2. تحت إعدادات تشفير قاعدة البيانات، انقر فوق إدارة المفتاح.

  3. انقر فوق تأمين المثيل.

  4. أدخل الاسم كما يظهر في مربع الحوار لكي تؤكد أنك تدرك مخاطر تأمين مثيل، ثم انقر فوق تحميل.

  5. استعرض بحثًا عن ملف مفتاح التشفير الذي تم استخدامه لتشفير المثيل وحدده، ثم انقر فوق فتح.

  6. أدخل كلمة مرور للمفتاح، ثم انقر فوق موافق.

  7. لتأمين المثل، انقر فوق نعم.

  8. انقر فوق إغلاق لإغلاق مربع حوار إدارة مفتاح تشفير قاعدة البيانات.

إلغاء تأمين مثيل مؤمن

لإلغاء تأمين مثيل، يجب توفير مفتاح التشفير وكلمة المرور اللذين تم استخدامهما لتأمين المثيل.

  1. من مركز إدارة Dynamics 365، انقر فوق مثيل، وحدد المثيل الذي تريد إلغاء تأمينه، ثم انقر فوق تحرير.

  2. تحت إعدادات تشفير قاعدة البيانات، انقر فوق إدارة المفتاح.

  3. انقر فوق إلغاء تأمين المثيل.

    إلغاء تأمين مثيل

  4. استعرض بحثًا عن مفتاح التشفير الذي تم استخدامه لتشفير المثيل وحدده، ثم انقر فوق فتح.

  5. أدخل كلمة مرور للمفتاح، ثم انقر فوق موافق.

  6. انقر فوق إغلاق لإغلاق مربع حوار إدارة مفتاح تشفير قاعدة البيانات.

(راجع أيضاً )

SQL Server: تشفير البيانات الشفاف (TDE)