Spravovaná instance SQL s klíči spravovanými zákazníkem

Tento článek popisuje, jak můžete spravovat vlastní klíče transparentní šifrování dat (TDE) pro spravované instance SQL ve skupině automatického převzetí služeb při selhání napříč oblastmi pomocí služby Azure Key Vault.

Architektura

Stáhněte si soubor aplikace Visio s touto architekturou.

Kvůli větší redundanci klíčů transparentního šifrování dat je služba Azure SQL Managed Instance nakonfigurovaná tak, aby používala trezor klíčů ve své vlastní oblasti jako primární a trezor klíčů ve vzdálené oblasti jako sekundární.

Sekundární instance trezoru klíčů má ve vzdálené oblasti privátní koncový bod ve stejné oblasti jako spravovaná instance SQL. Pokud tedy jde o spravovanou instanci SQL, požadavky prováděné do primárního i sekundárního trezoru klíčů se logicky nacházejí ve stejné virtuální síti a oblasti. Tento návrh umožňuje jednodušší pravidla brány firewall nebo skupiny zabezpečení sítě. Mnoho organizací používá privátní koncový bod místo přístupu k veřejnému koncovému bodu. Doporučujeme použít privátní koncový bod.

Tok dat

1. Každých 10 minut služba SQL Managed Instance zkontroluje, jestli má přístup k obálkě transparentního šifrování dat v trezoru klíčů, který je definovaný jako primární.

2. Pokud se primární trezor klíčů služby SQL Managed Instance stane nedostupným, zkontroluje tato instance trezor klíčů nastavený jako sekundární. Pokud je tento trezor klíčů také nedostupný, služba SQL Managed Instance označí databáze jako nedostupné.

Komponenty

• Key Vault je cloudová služba pro ukládání tajných kódů a přístup k nim s vylepšeným zabezpečením. V této architektuře se používá k ukládání klíčů používaných transparentním šifrováním dat. Můžete ho také použít k vytvoření klíčů.
• SQL Managed Instance je spravovaná instance v Azure, která je založená na nejnovější stabilní verzi SQL Serveru. V této architektuře se proces správy klíčů použije na data uložená ve službě SQL Managed Instance.
• Azure Private Link umožňuje přístup ke službám Azure PaaS a službám hostovaným v Azure přes privátní koncový bod ve vaší virtuální síti.

Alternativy

• Místo použití klíčů transparentního šifrování dat spravovaných zákazníkem můžete použít klíče transparentního šifrování dat spravované službou. Když používáte klíče spravované službou, Microsoft zpracovává zabezpečení a obměnu klíčů. Celý proces se od vás abstrahuje.

• Alternativou k tomu, že trezory klíčů ve dvou oblastech jsou jen jedna v jedné oblasti. Služba SQL Managed Instance má přístup k klíčům z trezoru, který je v jiné oblasti. Stále můžete používat privátní koncový bod. Provoz do služby Key Vault je nízký a občasný, takže žádná latence není patrná. SQL Managed Instance se dotazuje pouze na trezor, aby zjistil, jestli klíč existuje. Nezkopíruje materiál.

Podrobnosti scénáře

Pokud používáte klíče spravované zákazníkem (CMK), označované také jako přineste si vlastní klíč (BYOK), zodpovídáte za zabezpečení, dostupnost a volitelnou obměnu klíčů. Tyto odpovědnosti jsou důležité, protože pokud dojde ke ztrátě klíče, databáze a zálohy se také trvale ztratí. Tento článek popisuje proces správy klíčů a poskytuje možnosti, abyste měli informace, které potřebujete k informovanému rozhodování o nejlepším procesu pro vaši firmu.

Potenciální případy použití

Mnoho organizací má zásady, které vyžadují, aby se certifikáty nebo šifrovací klíče vytvářely a spravovaly interně. Pokud má vaše organizace podobné zásady, může se na vás tato architektura vztahovat. Pokud vaši zákazníci vyžadují interní správu těchto položek, může se na vás tato architektura také vztahovat. Pokud se žádná z těchto situací nepoužije, zvažte použití klíčů spravovaných systémem.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Obecná doporučení

Podívejte se na tyto články:

• Doporučení ke konfiguraci transparentního šifrování dat spravovaného zákazníkem
• Doporučení ke konfiguraci ochrany transparentním šifrováním dat

Správa klíčů

Vaše metoda obměně klíčů se bude lišit v závislosti na tom, co používáte k vytvoření asymetrických klíčů transparentního šifrování dat. Při používání vlastního klíče obálky transparentního šifrování dat musíte rozhodnout, jak tento klíč vytvoříte. Máte následující možnosti:

• Pomocí služby Key Vault vytvořte klíče. Tato možnost zajistí, že materiál privátního klíče nikdy neopustí službu Key Vault a nebude ji moct vidět žádný člověk ani systém. Privátní klíče se nedají exportovat, ale je možné je zálohovat a obnovit do jiného trezoru klíčů. Tento bod je důležitý. Pokud chcete mít stejný materiál klíče ve více trezorech klíčů, jak to vyžaduje tento návrh, musíte použít funkci zálohování a obnovení. Tato možnost má několik omezení. Oba trezory klíčů musí být ve stejné zeměpisné oblasti Azure a předplatném. Pokud ne, obnovení nebude fungovat. Jediným způsobem, jak toto omezení obejít, je zachovat trezory klíčů v samostatných předplatných a přesunout jedno předplatné do jiné oblasti.

• Vygenerujte asymetrického klíče offline pomocí nástroje, jako je OpenSSL, a pak klíče naimportujte do služby Key Vault. Když naimportujete klíč do služby Key Vault, můžete ho označit jako exportovatelný. Pokud to uděláte, můžete klíče po importu do služby Key Vault buď vyhodit, nebo je můžete uložit někam jinam, například místně nebo do jiného trezoru klíčů. Tato možnost vám dává největší flexibilitu. Pokud ale správně nezajistíte, že se klíče nedostanou do nesprávných rukou, může to být nejméně bezpečné. Azure neřídí systém generující klíče a metodu použitou k umístění klíčů do služby Key Vault. Tento proces můžete automatizovat pomocí Azure DevOps, Azure Automation nebo jiného nástroje pro orchestraci.

• K vygenerování klíčů použijte podporovaný místní modul hardwarového zabezpečení (HSM). Pomocí podporovaného HSM můžete klíče importovat do služby Key Vault s vylepšeným zabezpečením. Omezení stejné zeměpisné oblasti popsané výše se nevztahuje při použití modulu HSM. Tato možnost poskytuje vysokou úroveň bezpečnosti vašich klíčů, protože materiál klíče je na třech samostatných místech (dva trezory klíčů v Azure a v místním prostředí). Tato možnost také poskytuje stejnou úroveň flexibility, pokud používáte podporovaný HSM.

Dostupnost

Když do architektury přidáte key Vault, stane se důležitou součástí. Musí být přístupná alespoň jedna z trezorů klíčů v návrhu. Kromě toho musí být klíče potřebné pro transparentní šifrování dat přístupné. Azure Monitor Přehledy poskytuje komplexní monitorování služby Key Vault. Další informace najdete v tématu Monitorování služby trezoru klíčů.

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Při přechodu z klíčů spravovaných službou na klíče spravované zákazníkem budou vaše operace:

• Generování klíčů nebo jejich import do služby Key Vault
• Rotující klávesy
• Zálohování a obnovení klíčů
• Monitorování transparentního šifrování dat spravovaného zákazníkem

DevOps

Azure Pipelines v Azure DevOps můžete použít k automatizaci procesu obměny klíčů.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

Skupiny automatického převzetí služeb při selhání služby SQL Managed Instance fungují výrazně lépe při použití spárovaných oblastí.

Spravovaná instance SQL kontroluje jenom to, jestli klíč existuje, a dělá to jenom každých 10 minut. Proto spravované instance SQL nevyžadují spřažení oblastí se službou Key Vault. Umístění klíčů transparentního šifrování dat nemá žádný vliv na výkon.

Škálovatelnost

Pokud jde o správu klíčů transparentního šifrování dat, škálování se netýká. Velikost a frekvence požadavků jsou tak malé, že nebudete muset škálovat.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Nejdůležitějším aspektem zabezpečení je zajistit, aby byl klíč obálky transparentního šifrování dat bezpečný a vždy dostupný pro spravované instance SQL. Jakákoli databáze zašifrovaná prostřednictvím transparentního šifrování dat je nepřístupná, pokud nemá přístup k požadovanému klíči ve službě Key Vault. Pokud používáte klíče spravované službou, nemusíte se starat o tuto skutečnost.

Odolnost

Každá spravovaná instance SQL je nakonfigurovaná tak, aby používala dva trezory klíčů. Pokud primární klíč transparentního šifrování dat spravované instance SQL není dostupný nebo nepřístupný, instance se pokusí najít klíč s odpovídajícím kryptografickým otiskem v sekundárním trezoru klíčů.

Optimalizace nákladů

Informace o dalších nákladech na správu vlastních klíčů transparentního šifrování dat mimo přidané provozní náklady najdete v těchto zdrojích informací:

• Ceník služby Azure Key Vault
• Ceny privátních koncových bodů

Informace o volitelných součástech najdete v těchto zdrojích informací:

• Ceny Azure DevOps
• Ceny služby Azure Automation

Nasazení tohoto scénáře

Tento scénář můžete nasadit pomocí těchto šablon ARM:

• Spravovaná instance SQL
• Azure Key Vault

Přispěvatelé

Tento článek aktualizuje a udržuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Ahmet Arsan | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Šifrování zálohovaných dat s využitím klíčů spravovaných zákazníkem
• Co je Azure SQL Managed Instance?
• Základní koncepty služby Azure Key Vault

Související prostředky

• Vysoká dostupnost pro Azure SQL Database a spravovanou instanci SQL