transparentní šifrování dat pro SQL Database, SQL spravovanou instanci a Azure Synapse Analytics
PLATÍ PRO: 
Azure SQL Database Azure SQL Managed Instance
Azure Synapse Analytics
transparentní šifrování dat (TDE) pomáhá chránit Azure SQL Database, azure SQL Managed Instance a azure Synapse Analytics s hrozbou neoprávněné offline aktivity šifrováním dat v klidovém stavu. Šifruje a dešifruje databáze, související zálohy a soubory transakčních protokolů v reálném čase, a přitom nevyžaduje změny v aplikaci. ve výchozím nastavení je TDE povolený pro všechny nově nasazené databáze Azure SQL a musí se ručně povolit pro starší databáze Azure SQL Database. pro Azure SQL Managed Instance je TDE povolená na úrovni Instance a nově vytvořených databází. TDE se musí ručně povolit pro Azure synapse Analytics.
Poznámka
tento článek se týká Azure SQL Database, azure SQL Managed Instance a azure Synapse Analytics (vyhrazené SQL fondy (dřív SQL DW)). dokumentaci k transparentní šifrování dat pro vyhrazené fondy SQL v pracovních prostorech Synapse najdete v tématu šifrování Azure Synapse Analytics.
TDE provádí šifrování v/v v reálném čase a dešifrování dat na úrovni stránky. Každá stránka se při načtení do paměti dešifruje a pak se před zápisem na disk zašifruje. TDE šifruje úložiště celé databáze pomocí symetrického klíče, který se nazývá šifrovací klíč databáze (klíč DEK). při spuštění databáze se šifrované klíč dek dešifrují a potom se používají k dešifrování a opětovnému šifrování souborů databáze v procesu SQL Server databázového stroje. KLÍČ DEK je chráněn ochranou TDE. TDE Protector je buď certifikát spravovaný službou (transparentní šifrování dat spravovaný službou), nebo asymetrický klíč uložený v Azure Key Vault (transparentní šifrování dat spravované zákazníkem).
pro Azure SQL Database a Azure Synapse se ochrana TDE nastaví na úrovni serveru a děděna všemi databázemi přidruženými k tomuto serveru. pro službu Azure SQL Managed Instance je ochrana TDE nastavena na úrovni Instance a zděděna všemi šifrovanými databázemi v této instanci. Pojem Server v celém tomto dokumentu odkazuje na server i na instanci, pokud není uvedeno jinak.
Důležité
Všechny nově vytvořené databáze služby SQL Database jsou automaticky šifrované transparentním šifrováním dat spravovaným službou. Stávající databáze vytvořené do května 2017 a databáze SQL vytvořené obnovením, geografickou replikací nebo zkopírováním databáze automaticky zašifrované nejsou. existující databáze spravované Instance SQL vytvořené před únorem 2019 nejsou ve výchozím nastavení šifrované. SQL Databáze spravované instance vytvořené prostřednictvím obnovení dědí stav šifrování ze zdroje. k obnovení stávající databáze šifrované v TDE musí být nejprve importován požadovaný certifikát TDE do spravované Instance SQL.
Poznámka
TDE se nedá použít k šifrování systémových databází, jako je hlavní databáze, v Azure SQL Database a Azure SQL Managed Instance. Hlavní databáze obsahuje objekty, které jsou potřebné k provedení operací TDE v uživatelských databázích. Proto se nedoporučuje do systémových databází ukládat citlivá data. Zavedlo se šifrování infrastruktury , které šifruje systémové databáze, včetně hlavní lokality.
Transparentní šifrování dat spravované službou
V Azure je výchozím nastavením pro TDE, že klíč DEK je chráněn integrovaným certifikátem serveru. Integrovaný certifikát serveru je pro každý server jedinečný. Používá šifrovací algoritmus AES 256. Pokud je databáze geograficky replikovaná do jiné databáze, jsou obě databáze (primární i geograficky replikovaná) chráněny klíčem nadřazeného serveru primární databáze. Pokud jsou obě databáze připojeny ke stejnému serveru, mají také společný integrovaný certifikát. Microsoft tyto certifikáty automaticky přetočí v souladu se zásadami interního zabezpečení a kořenový klíč je chráněný úložištěm interního tajného klíče Microsoftu. zákazníci mohou ověřit SQL Database a SQL dodržování předpisů spravované Instance pomocí zásad zabezpečení v nezávislých sestavách auditu třetích stran, které jsou k dispozici na webu Microsoft Trust Center.
Microsoft také bez problémů přesouvá a spravuje klíče podle potřeby pro geografickou replikaci a obnovení.
Transparentní šifrování dat spravované zákazníkem – Bring Your Own Key
TDE spravovaná zákazníkem se také označuje jako podpora služby Bring Your Own Key (BYOK) pro TDE. V tomto scénáři TDE ochrana šifrování klíč DEK je asymetrický klíč spravovaný zákazníkem, který je uložený ve Azure Key Vault ve vlastnictví a spravovaném zákazníkovi (cloudový externí systém správy klíčů Azure) a nikdy neopouští Trezor klíčů. Ochranu TDE můžete vygenerovat pomocí trezoru klíčů nebo přenést do trezoru klíčů z místního zařízení modulu hardwarového zabezpečení (HSM). SQL Database, SQL spravované Instance a Azure Synapse musí mít udělená oprávnění k trezoru klíčů vlastněné zákazníkem k dešifrování a šifrování klíč dek. Pokud jsou oprávnění serveru k trezoru klíčů odvolána, databáze nebude přístupná a všechna data budou zašifrována.
Pomocí TDE s integrací Azure Key Vault můžou uživatelé řídit úlohy správy klíčů, včetně střídání klíčů, oprávnění trezoru klíčů, záloh klíčů a povolit auditování nebo vytváření sestav pro všechny TDE ochrany pomocí funkcí Azure Key Vault. Key Vault poskytuje správu centrálních klíčů, využívá úzce monitorovanou HSM a umožňuje oddělení povinností mezi správou klíčů a dat, aby bylo možné splnit dodržování zásad zabezpečení. další informace o BYOK pro Azure SQL Database a Azure Synapse najdete v tématu transparentní šifrování dat pomocí Azure Key Vault integration.
Pokud chcete začít používat TDE s integrací Azure Key Vault, přečtěte si téma Průvodce postupy Zapnutí transparentního šifrování dat pomocí vlastního klíče z Key Vault.
Přesunutí transparentní databáze chráněné šifrováním dat
Nemusíte dešifrovat databáze pro operace v rámci Azure. Nastavení TDE ve zdrojové databázi nebo primární databázi jsou transparentně děděna v cíli. Zahrnuté operace zahrnují:
- Geografické obnovení
- Samoobslužné obnovení k bodu v čase
- Obnovení odstraněné databáze
- Aktivní geografická replikace
- Vytvoření kopie databáze
- obnovení záložního souboru do Azure SQL Managed Instance
Důležité
ruční kopírování databáze šifrované pomocí TDE spravovaného službou není ve službě Azure SQL managed Instance podporované, protože certifikát použitý k šifrování není dostupný. pomocí funkce obnovení k bodu v čase můžete tento typ databáze přesunout do jiné SQL spravované Instance nebo přepnout na klíč spravovaný zákazníkem.
Pokud exportujete databázi chráněnou TDE, exportovaný obsah databáze nebude zašifrovaný. Tento exportovaný obsah je uložený v nešifrovaných souborech BACPAC. Nezapomeňte vhodně chránit soubory BACPAC a po dokončení importu nové databáze povolte TDE.
například pokud je soubor BACPAC exportován z instance SQL Server, importovaný obsah nové databáze není automaticky šifrován. podobně platí, že pokud je soubor BACPAC importován do instance SQL Server, nová databáze také není automaticky šifrována.
Jedinou výjimkou je při exportu databáze do a z SQL Database. TDE je povolena v nové databázi, ale samotný soubor BACPAC ještě není zašifrovaný.
Správa transparentního šifrování dat
Správa TDE v Azure Portal.
pokud chcete nakonfigurovat TDE prostřednictvím Azure Portal, musíte být připojeni jako vlastník Azure, přispěvatel nebo správce zabezpečení SQL.
Povolí a zakáže TDE na úrovni databáze. pro Azure SQL spravovaná Instance použijte příkaz Transact-SQL (T-SQL) k zapnutí a vypnutí TDE v databázi. pro Azure SQL Database a Azure Synapse můžete spravovat TDE pro databázi v Azure Portal po přihlášení pomocí správce Azure nebo účtu přispěvatele. V uživatelské databázi vyhledejte nastavení TDE. Ve výchozím nastavení se používá transparentní šifrování dat spravované službou. Certifikát TDE se automaticky vygeneruje pro server, který obsahuje databázi.
Hlavní klíč TDE, který se označuje jako ochrana TDE, se nastavuje na úrovni serveru nebo instance. Pokud chcete používat TDE s podporou BYOK a chránit své databáze klíčem z Key Vault, otevřete nastavení TDE v rámci vašeho serveru.
