Tento článek popisuje, jak můžete spravovat vlastní klíče transparentní šifrování dat (TDE) pro spravované instance SQL ve skupině automatického převzetí služeb při selhání napříč oblastmi pomocí služby Azure Key Vault.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Kvůli větší redundanci klíčů transparentního šifrování dat je služba Azure SQL Managed Instance nakonfigurovaná tak, aby používala trezor klíčů ve své vlastní oblasti jako primární a trezor klíčů ve vzdálené oblasti jako sekundární.
Sekundární instance trezoru klíčů má ve vzdálené oblasti privátní koncový bod ve stejné oblasti jako spravovaná instance SQL. Pokud tedy jde o spravovanou instanci SQL, požadavky prováděné do primárního i sekundárního trezoru klíčů se logicky nacházejí ve stejné virtuální síti a oblasti. Tento návrh umožňuje jednodušší pravidla brány firewall nebo skupiny zabezpečení sítě. Mnoho organizací používá privátní koncový bod místo přístupu k veřejnému koncovému bodu. Doporučujeme použít privátní koncový bod.
Tok dat
Každých 10 minut služba SQL Managed Instance zkontroluje, jestli má přístup k obálkě transparentního šifrování dat v trezoru klíčů, který je definovaný jako primární.
Pokud se primární trezor klíčů služby SQL Managed Instance stane nedostupným, zkontroluje tato instance trezor klíčů nastavený jako sekundární. Pokud je tento trezor klíčů také nedostupný, služba SQL Managed Instance označí databáze jako nedostupné.
Komponenty
- Key Vault je cloudová služba pro ukládání tajných kódů a přístup k nim s vylepšeným zabezpečením. V této architektuře se používá k ukládání klíčů používaných transparentním šifrováním dat. Můžete ho také použít k vytvoření klíčů.
- SQL Managed Instance je spravovaná instance v Azure, která je založená na nejnovější stabilní verzi SQL Serveru. V této architektuře se proces správy klíčů použije na data uložená ve službě SQL Managed Instance.
- Azure Private Link umožňuje přístup ke službám Azure PaaS a službám hostovaným v Azure přes privátní koncový bod ve vaší virtuální síti.
Alternativy
Místo použití klíčů transparentního šifrování dat spravovaných zákazníkem můžete použít klíče transparentního šifrování dat spravované službou. Když používáte klíče spravované službou, Microsoft zpracovává zabezpečení a obměnu klíčů. Celý proces se od vás abstrahuje.
Alternativou k tomu, že trezory klíčů ve dvou oblastech jsou jen jedna v jedné oblasti. Služba SQL Managed Instance má přístup k klíčům z trezoru, který je v jiné oblasti. Stále můžete používat privátní koncový bod. Provoz do služby Key Vault je nízký a občasný, takže žádná latence není patrná. SQL Managed Instance se dotazuje pouze na trezor, aby zjistil, jestli klíč existuje. Nezkopíruje materiál.
Podrobnosti scénáře
Pokud používáte klíče spravované zákazníkem (CMK), označované také jako přineste si vlastní klíč (BYOK), zodpovídáte za zabezpečení, dostupnost a volitelnou obměnu klíčů. Tyto odpovědnosti jsou důležité, protože pokud dojde ke ztrátě klíče, databáze a zálohy se také trvale ztratí. Tento článek popisuje proces správy klíčů a poskytuje možnosti, abyste měli informace, které potřebujete k informovanému rozhodování o nejlepším procesu pro vaši firmu.
Potenciální případy použití
Mnoho organizací má zásady, které vyžadují, aby se certifikáty nebo šifrovací klíče vytvářely a spravovaly interně. Pokud má vaše organizace podobné zásady, může se na vás tato architektura vztahovat. Pokud vaši zákazníci vyžadují interní správu těchto položek, může se na vás tato architektura také vztahovat. Pokud se žádná z těchto situací nepoužije, zvažte použití klíčů spravovaných systémem.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Obecná doporučení
Podívejte se na tyto články:
- Doporučení ke konfiguraci transparentního šifrování dat spravovaného zákazníkem
- Doporučení ke konfiguraci ochrany transparentním šifrováním dat
Správa klíčů
Vaše metoda obměně klíčů se bude lišit v závislosti na tom, co používáte k vytvoření asymetrických klíčů transparentního šifrování dat. Při používání vlastního klíče obálky transparentního šifrování dat musíte rozhodnout, jak tento klíč vytvoříte. Máte následující možnosti:
Pomocí služby Key Vault vytvořte klíče. Tato možnost zajistí, že materiál privátního klíče nikdy neopustí službu Key Vault a nebude ji moct vidět žádný člověk ani systém. Privátní klíče se nedají exportovat, ale je možné je zálohovat a obnovit do jiného trezoru klíčů. Tento bod je důležitý. Pokud chcete mít stejný materiál klíče ve více trezorech klíčů, jak to vyžaduje tento návrh, musíte použít funkci zálohování a obnovení. Tato možnost má několik omezení. Oba trezory klíčů musí být ve stejné zeměpisné oblasti Azure a předplatném. Pokud ne, obnovení nebude fungovat. Jediným způsobem, jak toto omezení obejít, je zachovat trezory klíčů v samostatných předplatných a přesunout jedno předplatné do jiné oblasti.
Vygenerujte asymetrického klíče offline pomocí nástroje, jako je OpenSSL, a pak klíče naimportujte do služby Key Vault. Když naimportujete klíč do služby Key Vault, můžete ho označit jako exportovatelný. Pokud to uděláte, můžete klíče po importu do služby Key Vault buď vyhodit, nebo je můžete uložit někam jinam, například místně nebo do jiného trezoru klíčů. Tato možnost vám dává největší flexibilitu. Pokud ale správně nezajistíte, že se klíče nedostanou do nesprávných rukou, může to být nejméně bezpečné. Azure neřídí systém generující klíče a metodu použitou k umístění klíčů do služby Key Vault. Tento proces můžete automatizovat pomocí Azure DevOps, Azure Automation nebo jiného nástroje pro orchestraci.
K vygenerování klíčů použijte podporovaný místní modul hardwarového zabezpečení (HSM). Pomocí podporovaného HSM můžete klíče importovat do služby Key Vault s vylepšeným zabezpečením. Omezení stejné zeměpisné oblasti popsané výše se nevztahuje při použití modulu HSM. Tato možnost poskytuje vysokou úroveň bezpečnosti vašich klíčů, protože materiál klíče je na třech samostatných místech (dva trezory klíčů v Azure a v místním prostředí). Tato možnost také poskytuje stejnou úroveň flexibility, pokud používáte podporovaný HSM.
Dostupnost
Když do architektury přidáte key Vault, stane se důležitou součástí. Musí být přístupná alespoň jedna z trezorů klíčů v návrhu. Kromě toho musí být klíče potřebné pro transparentní šifrování dat přístupné. Azure Monitor Přehledy poskytuje komplexní monitorování služby Key Vault. Další informace najdete v tématu Monitorování služby trezoru klíčů.
Provozní dokonalost
Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Při přechodu z klíčů spravovaných službou na klíče spravované zákazníkem budou vaše operace:
- Generování klíčů nebo jejich import do služby Key Vault
- Rotující klávesy
- Zálohování a obnovení klíčů
- Monitorování transparentního šifrování dat spravovaného zákazníkem
DevOps
Azure Pipelines v Azure DevOps můžete použít k automatizaci procesu obměny klíčů.
Efektivita výkonu
Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.
Spravovaná instance SQL kontroluje jenom to, jestli klíč existuje, a dělá to jenom každých 10 minut. Proto spravované instance SQL nevyžadují spřažení oblastí se službou Key Vault. Umístění klíčů transparentního šifrování dat nemá žádný vliv na výkon.
Škálovatelnost
Pokud jde o správu klíčů transparentního šifrování dat, škálování se netýká. Velikost a frekvence požadavků jsou tak malé, že nebudete muset škálovat.
Zabezpečení
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Nejdůležitějším aspektem zabezpečení je zajistit, aby byl klíč obálky transparentního šifrování dat bezpečný a vždy dostupný pro spravované instance SQL. Jakákoli databáze zašifrovaná prostřednictvím transparentního šifrování dat je nepřístupná, pokud nemá přístup k požadovanému klíči ve službě Key Vault. Pokud používáte klíče spravované službou, nemusíte se starat o tuto skutečnost.
Odolnost
Každá spravovaná instance SQL je nakonfigurovaná tak, aby používala dva trezory klíčů. Pokud primární klíč transparentního šifrování dat spravované instance SQL není dostupný nebo nepřístupný, instance se pokusí najít klíč s odpovídajícím kryptografickým otiskem v sekundárním trezoru klíčů.
Optimalizace nákladů
Informace o dalších nákladech na správu vlastních klíčů transparentního šifrování dat mimo přidané provozní náklady najdete v těchto zdrojích informací:
Informace o volitelných součástech najdete v těchto zdrojích informací:
Nasazení tohoto scénáře
Tento scénář můžete nasadit pomocí těchto šablon ARM:
Přispěvatelé
Tento článek aktualizuje a udržuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Ahmet Arsan | Vedoucí architekt cloudových řešení
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
- Šifrování zálohovaných dat s využitím klíčů spravovaných zákazníkem
- Co je Azure SQL Managed Instance?
- Základní koncepty služby Azure Key Vault