Otočení ochrany transparentního šifrování dat (TDE)

Platí pro:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (pouze vyhrazené fondy SQL)

Tento článek popisuje obměnu klíčů pro server pomocí ochrany transparentním šifrováním dat ze služby Azure Key Vault. Obměně logické ochrany transparentním šifrováním dat pro server znamená přepnutí na nový asymetrický klíč, který chrání databáze na serveru. Obměny klíčů je online operace, která by měla trvat jenom několik sekund, protože se tím dešifruje a znovu zašifruje šifrovací klíč databáze, ne celá databáze.

Tento článek popisuje automatizované i ruční metody obměna ochrany transparentním šifrováním dat na serveru.

Důležité aspekty při otáčení ochrany transparentním šifrováním dat

• Při změně nebo obměně ochrany transparentním šifrováním dat se neaktualizují staré zálohy databáze, včetně zálohovaných souborů protokolu, aby používaly nejnovější ochranu transparentním šifrováním dat. Pokud chcete obnovit zálohu zašifrovanou pomocí ochrany transparentním šifrováním dat ze služby Key Vault, ujistěte se, že je pro cílový server k dispozici materiál klíče. Proto doporučujeme zachovat všechny staré verze ochrany transparentním šifrováním dat ve službě Azure Key Vault (AKV), aby bylo možné obnovit zálohy databáze.
• I když přecházíte z klíče spravovaného zákazníkem (CMK) na klíč spravovaný službou, ponechte všechny dříve použité klíče v AKV. Tím se zajistí, že zálohy databáze, včetně zálohovaných souborů protokolu, je možné obnovit pomocí ochrany transparentním šifrováním dat uloženými v AKV.
• Kromě starých záloh můžou soubory transakčních protokolů vyžadovat také přístup ke starší ochraně transparentním šifrováním dat. Pokud chcete zjistit, jestli existují nějaké zbývající protokoly, které stále vyžadují starší klíč, po provedení obměna klíčů použijte zobrazení sys.dm_db_log_info dynamické správy (DMV). Toto zobrazení dynamické správy vrací informace o souboru virtuálního protokolu (VLF) transakčního protokolu spolu s kryptografickým otiskem šifrovacího klíče VLF.
• Starší klíče je potřeba uchovávat v AKV a dostupné pro server na základě doby uchovávání záloh nakonfigurované jako zásady uchovávání záloh v databázi. To pomáhá zajistit, aby se všechny zálohy dlouhodobého uchovávání (LTR) na serveru stále daly obnovit pomocí starších klíčů.

Poznámka:

Před obměnami klíčů se musí obnovit pozastavený vyhrazený fond SQL ve službě Azure Synapse Analytics.

Tento článek se týká vyhrazených fondů SQL Azure SQL Database, Azure SQL Managed Instance a Azure Synapse Analytics (dříve SQL DW). Dokumentaci k transparentnímu šifrování dat (TDE) pro vyhrazené fondy SQL v pracovních prostorech Synapse najdete v tématu Šifrování služby Azure Synapse Analytics.

Důležité

Po přechodu neodstraňovat předchozí verze klíče. Při převrácených klíčích se některá data stále šifrují s předchozími klíči, jako jsou starší zálohy databáze, zálohované soubory protokolů a soubory transakčních protokolů.

Požadavky

• Tento průvodce postupy předpokládá, že už používáte klíč ze služby Azure Key Vault jako ochranu transparentním šifrováním dat pro Azure SQL Database nebo Azure Synapse Analytics. Viz Transparentní šifrování dat s podporou BYOK.
• Musíte mít nainstalovaný a spuštěný Azure PowerShell.

Tip

Doporučeno, ale volitelné – nejprve vytvořte materiál klíče pro ochranu transparentním šifrováním dat v modulu hardwarového zabezpečení (HSM) nebo místním úložišti klíčů a importujte materiál klíče do služby Azure Key Vault. Další informace najdete v pokynech k použití modulu hardwarového zabezpečení (HSM) a služby Key Vault.

Azure Portal

Přejděte na web Azure Portal.

PowerShell

Pokyny k instalaci modulu Az PowerShell najdete v tématu Instalace Azure PowerShellu. Konkrétní rutiny najdete v tématu AzureRM.Sql. Použijte nový modul Az Azure PowerShellu.

The Azure CLI

Informace o instalaci najdete v tématu Instalace Azure CLI.

Automatická obměně klíčů

Automatickou obměnu ochrany transparentním šifrováním dat je možné povolit při konfiguraci ochrany transparentním šifrováním dat pro server nebo databázi na webu Azure Portal nebo pomocí následujících příkazů PowerShellu nebo Azure CLI. Po povolení bude server nebo databáze nepřetržitě kontrolovat trezor klíčů pro všechny nové verze klíče, které se používají jako ochrana transparentním šifrováním dat. Pokud se zjistí nová verze klíče, ochrana transparentním šifrováním dat na serveru nebo databázi se během 24 hodin automaticky otočí na nejnovější verzi klíče.

Automatickou obměnu serveru, databáze nebo spravované instance je možné použít s automatickou obměnou klíčem ve službě Azure Key Vault, která umožňuje kompletní nulovou obměnu dotyku pro klíče transparentního šifrování dat.

Poznámka:

Pokud má server nebo spravovaná instance nakonfigurovanou geografickou replikaci, před povolením automatické obměně je potřeba dodržovat další pokyny, jak je popsáno tady.

Azure Portal

Pomocí webu Azure Portal:

1. Přejděte do části Transparentní šifrování dat pro existující server nebo spravovanou instanci.
2. Vyberte možnost Klíč spravovaný zákazníkem a vyberte trezor klíčů a klíč, které se mají použít jako ochrana transparentním šifrováním dat.
3. Zaškrtněte políčko Automaticky otočit klíč.
4. Zvolte Uložit.

PowerShell

Pokyny k instalaci modulu Az PowerShell najdete v tématu Instalace Azure PowerShellu. Konkrétní rutiny najdete v tématu AzureRM.Sql.

Pokud chcete povolit automatickou obměnu ochrany transparentním šifrováním dat pomocí PowerShellu, přečtěte si následující skript. Dá <keyVaultKeyId> se načíst ze služby Key Vault.

Azure SQL Database

Použijte příkaz Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Spravovaná instance Azure SQL

Použijte příkaz Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

The Azure CLI

Informace o instalaci aktuální verze Azure CLI najdete v článku Instalace Azure CLI .

Pokud chcete povolit automatickou obměnu ochrany transparentním šifrováním dat pomocí Azure CLI, prohlédněte si následující skript.

Azure SQL Database

Použijte příkaz az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Spravovaná instance Azure SQL

Použijte příkaz az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Automatická obměně klíčů na úrovni databáze

Automatické obměně klíčů je také možné povolit na úrovni databáze pro Azure SQL Database. To je užitečné, když chcete povolit automatickou obměnu klíčů jenom pro jednu nebo podmnožinu databází na serveru. Další informace najdete v tématu Správa identit a klíčů pro transparentní šifrování dat s využitím klíčů spravovaných zákazníkem na úrovni databáze.

Azure Portal

Informace o nastavení automatické obměně klíčů na úrovni databáze najdete v tématu Aktualizace existující služby Azure SQL Database pomocí klíčů spravovaných zákazníkem na úrovni databáze.

PowerShell

Pokud chcete povolit automatickou obměnu ochrany transparentním šifrováním dat na úrovni databáze pomocí PowerShellu, přečtěte si následující příkaz. Pomocí parametru -EncryptionProtectorAutoRotation a nastavením $true povolíte automatické obměně klíčů nebo $false zakážete automatické obměně klíčů.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

The Azure CLI

Pokud chcete povolit automatickou obměnu ochrany transparentním šifrováním dat na úrovni databáze pomocí Azure CLI, přečtěte si následující příkaz. Pomocí parametru --encryption-protector-auto-rotation a nastavením True povolíte automatické obměně klíčů nebo False zakážete automatické obměně klíčů.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Automatická obměny klíčů pro konfigurace geografické replikace

V konfiguraci geografické replikace služby Azure SQL Database, kde je primární server nastavený tak, aby používal transparentní šifrování dat s cmK, je potřeba sekundární server nakonfigurovat také tak, aby povoloval transparentní šifrování dat pomocí cmK se stejným klíčem použitým v primárním serveru.

Azure Portal

Pomocí webu Azure Portal:

1. Přejděte do části Transparentní šifrování dat pro primární server.

2. Vyberte možnost Klíč spravovaný zákazníkem a vyberte trezor klíčů a klíč, které se mají použít jako ochrana transparentním šifrováním dat.

3. Zaškrtněte políčko Automaticky otočit klíč.

4. Zvolte Uložit.

   

5. Přejděte do části Transparentní šifrování dat pro sekundární server.

6. Vyberte možnost Klíč spravovaný zákazníkem a vyberte trezor klíčů a klíč, které se mají použít jako ochrana transparentním šifrováním dat. Použijte stejný klíč, jako jste použili pro primární server.

7. Zrušte zaškrtnutí políčka Nastavit tento klíč jako výchozí ochranu transparentním šifrováním dat.

8. Zvolte Uložit.

   

Když se klíč otočí na primárním serveru, automaticky se přenese na sekundární server.

PowerShell

Dá <keyVaultKeyId> se načíst ze služby Key Vault.

1. Pomocí příkazu Add-AzSqlServerKeyVaultKey přidejte nový klíč na sekundární server.

   # add the key from Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Přidejte stejný klíč v prvním kroku na primární server.

   # add the key from Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Pomocí Set-AzSqlInstanceTransparentDataEncryptionProtector nastavte klíč jako primární ochranu na primárním serveru s automatickou obměnou klíčem nastavenou na true.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Otočte klíč trezoru klíčů ve službě Key Vault pomocí příkazu Get-AzKeyVaultKey a Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Zkontrolujte, jestli má SQL Server (primární i sekundární) nový klíč nebo verzi klíče:

   Poznámka:

   Obměně klíčů může trvat až hodinu, než se použije na server. Před spuštěním tohoto příkazu počkejte aspoň hodinu.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Použití různých klíčů pro každý server

Při konfiguraci transparentního šifrování dat pomocí cmK na webu Azure Portal je možné nakonfigurovat primární a sekundární servery s jiným klíčem trezoru klíčů. Na webu Azure Portal není zřejmé, že klíč použitý k ochraně primárního serveru je také stejný klíč, který chrání primární databázi replikovanou na sekundární server. K získání podrobností o klíčích používaných na serveru ale můžete použít PowerShell, Azure CLI nebo rozhraní REST API. To ukazuje, že klíče s automatickým obměnami se přenesou z primárního serveru na sekundární server.

Tady je příklad použití příkazů PowerShellu ke kontrole klíčů přenášených z primárního serveru na sekundární server po obměně klíčů.

1. Spuštěním následujícího příkazu na primárním serveru zobrazte podrobnosti o klíči serveru:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Měly by se zobrazit podobné výsledky jako následující:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Na sekundárním serveru spusťte stejný Get-AzSqlServerKeyVaultKey příkaz:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Pokud má sekundární server výchozí ochranu transparentním šifrováním dat pomocí jiného klíče než primární server, měli byste vidět dva (nebo více) klíčů. Prvním klíčem je výchozí ochrana transparentním šifrováním dat a druhým klíčem je klíč použitý na primárním serveru sloužícím k ochraně replikované databáze.

5. Když se klíč otočí na primárním serveru, automaticky se přenese na sekundární server. Pokud byste znovu spustili Get-AzSqlServerKeyVaultKey na primárním serveru, měli byste vidět dva klíče. První klíč je původní klíč a druhý klíč, což je aktuální klíč, který se vygeneroval v rámci obměně klíčů.

6. Get-AzSqlServerKeyVaultKey Spuštěním příkazu na sekundárním serveru by se měly zobrazit také stejné klíče, které jsou přítomné na primárním serveru. Tím potvrdíte, že otočené klíče na primárním serveru se automaticky přenesou na sekundární server a použijí se k ochraně repliky databáze.

Ruční obměně kláves

Ruční obměně klíčů používá následující příkazy k přidání nového klíče, který může být pod novým názvem klíče nebo pod jiným trezorem klíčů. Použití tohoto přístupu podporuje přidání stejného klíče do různých trezorů klíčů pro zajištění vysoké dostupnosti a scénářů geografického zotavení po havárii. Ruční obměně klíčů je také možné provést pomocí webu Azure Portal.

Při ruční obměně klíčů se při generování nové verze klíče v trezoru klíčů (buď ručně, nebo prostřednictvím zásad automatické obměny klíčů v trezoru klíčů), musí být stejná jako ochrana transparentním šifrováním dat na serveru nastavená ručně.

Poznámka:

Celková délka názvu trezoru klíčů a názvu klíče nesmí překročit 94 znaků.

Azure Portal

Pomocí webu Azure Portal:

1. Přejděte do nabídky transparentního šifrování dat pro existující server nebo spravovanou instanci.
2. Vyberte možnost Klíč spravovaný zákazníkem a vyberte trezor klíčů a klíč, které se mají použít jako nová ochrana transparentním šifrováním dat.
3. Zvolte Uložit.

PowerShell

Pomocí příkazu Add-AzKeyVaultKey přidejte do trezoru klíčů nový klíč.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Pro Azure SQL Database použijte:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Pro azure SQL Managed Instance použijte:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

The Azure CLI

Pomocí příkazu az keyvault key create přidejte do trezoru klíčů nový klíč.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Pro Azure SQL Database použijte:

• az sql server key create
• az sql server tde-key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Pro azure SQL Managed Instance použijte:

• az sql mi key create
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Přepnutí režimu ochrany transparentním šifrováním dat

Azure Portal

Přepnutí ochrany transparentním šifrováním dat ze spravovaného Microsoftem do režimu BYOK pomocí webu Azure Portal:

1. Přejděte do nabídky transparentního šifrování dat pro existující server nebo spravovanou instanci.
2. Vyberte možnost klíč spravovaný zákazníkem.
3. Vyberte trezor klíčů a klíč, který se má použít jako ochrana transparentním šifrováním dat.
4. Zvolte Uložit.

PowerShell

Azure SQL Database

• Pokud chcete přepnout ochranu transparentním šifrováním dat ze spravovaného Microsoftem do režimu BYOK, použijte příkaz Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Pokud chcete přepnout ochranu transparentním šifrováním dat z režimu BYOK do spravovaného Microsoftem , použijte příkaz Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Spravovaná instance Azure SQL

• K přepnutí ochrany transparentním šifrováním dat ze spravovaného Microsoftem do režimu BYOK použijte příkaz Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Pokud chcete přepnout ochranu transparentním šifrováním dat z režimu BYOK do spravovaného Microsoftem , použijte příkaz Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

The Azure CLI

Azure SQL Database

Následující příklady používají az sql server tde-key set.

• Přepnutí ochrany transparentním šifrováním dat ze spravovaného Microsoftem do režimu BYOK:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Přepnutí ochrany transparentním šifrováním dat z režimu BYOK na spravované Microsoftem:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Spravovaná instance Azure SQL

Následující příklady používají az sql mi tde-key set.

• Přepnutí ochrany transparentním šifrováním dat ze spravovaného Microsoftem do režimu BYOK:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Přepnutí ochrany transparentním šifrováním dat z režimu BYOK na spravované Microsoftem:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Související obsah

• Pokud existuje bezpečnostní riziko, zjistěte, jak odebrat potenciálně ohrožený ochranu transparentním šifrováním dat: Odeberte potenciálně ohrožený klíč.

• Začínáme s integrací služby Azure Key Vault a podporou funkce Přineste si vlastní klíč pro transparentní šifrování dat: Zapněte transparentní šifrování dat pomocí vlastního klíče ze služby Key Vault pomocí PowerShellu.