TDE (Transparent Data Encryption) für SQL-Datenbank, SQL Managed Instance und Azure Synapse AnalyticsTransparent data encryption for SQL Database, SQL Managed Instance, and Azure Synapse Analytics

GILT FÜR: JaAzure SQL-Datenbank JaAzure SQL Managed Instance JaAzure Synapse Analytics (SQL DW) APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Transparente Datenverschlüsselung (Transparent Data Encryption, TDE) trägt durch die Verschlüsselung von ruhenden Daten zum Schutz von Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics vor der Bedrohung durch schädliche Offlineaktivitäten bei.Transparent data encryption (TDE) helps protect Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics against the threat of malicious offline activity by encrypting data at rest. TDE ver- und entschlüsselt die Datenbank, die zugehörigen Sicherungen und die Transaktionsprotokolldateien im Ruhezustand in Echtzeit, ohne dass Änderungen an der Anwendung erforderlich sind.It performs real-time encryption and decryption of the database, associated backups, and transaction log files at rest without requiring changes to the application. TDE ist standardmäßig für alle neu bereitgestellten SQL-Datenbank-Instanzen aktiviert und muss für ältere Datenbanken in Azure SQL-Datenbank oder Azure SQL Managed Instance manuell aktiviert werden.By default, TDE is enabled for all newly deployed SQL Databases and must be manually enabled for older databases of Azure SQL Database, Azure SQL Managed Instance. Für Azure Synapse Analytics muss TDE manuell aktiviert werden.TDE must be manually enabled for Azure Synapse Analytics.

Die TDE führt die E/A-Verschlüsselung und -Entschlüsselung der Daten und auf Seitenebene durch.TDE performs real-time I/O encryption and decryption of the data at the page level. Jede Seite wird entschlüsselt, wenn sie in den Speicher gelesen wird, und dann verschlüsselt, bevor sie auf den Datenträger geschrieben wird.Each page is decrypted when it's read into memory and then encrypted before being written to disk. TDE verschlüsselt den Speicher einer gesamten Datenbank mithilfe eines symmetrischen Schlüssels, der als Datenbank-Verschlüsselungsschlüssel (Database Encryption Key, DEK) bezeichnet wird.TDE encrypts the storage of an entire database by using a symmetric key called the Database Encryption Key (DEK). Beim Datenbankstart wird der verschlüsselte DEK entschlüsselt und dann für die Entschlüsselung und erneute Verschlüsselung der Datenbankdateien im Prozess der SQL Server-Datenbank-Engine verwendet.On database startup, the encrypted DEK is decrypted and then used for decryption and re-encryption of the database files in the SQL Server database engine process. Der DEK ist durch die TDE-Schutzvorrichtung geschützt.DEK is protected by the TDE protector. Beim TDE-Schutzvorrichtung handelt es sich entweder um ein von einem Dienst verwaltetes Zertifikat (dienstseitig verwaltete transparente Datenverschlüsselung) oder um einen asymmetrischen Schlüssel, der in Azure Key Vault gespeichert ist (kundenseitig verwaltete transparente Datenverschlüsselung).TDE protector is either a service-managed certificate (service-managed transparent data encryption) or an asymmetric key stored in Azure Key Vault (customer-managed transparent data encryption).

Bei Azure SQL-Datenbank und Azure Synapse ist der TDE-Schutz auf der Serverebene festgelegt und wird von allen Datenbanken übernommen, die diesem Server zugeordnet sind.For Azure SQL Database and Azure Synapse, the TDE protector is set at the server level and is inherited by all databases associated with that server. Bei der verwalteten Azure SQL-Instanz ist die TDE-Schutzvorrichtung auf Instanzebene festgelegt und wird von allen verschlüsselten Datenbanken für diese Instanz geerbt.For Azure SQL Managed Instance, the TDE protector is set at the instance level and it is inherited by all encrypted databases on that instance. In diesem Dokument bezieht sich der Begriff Server sowohl auf den Server als auch die Instanz (sofern nicht anders angegeben).The term server refers both to server and instance throughout this document, unless stated differently.

Wichtig

Alle neu erstellten Datenbanken in SQL-Datenbank werden standardmäßig mithilfe einer dienstseitig verwalteten transparenten Datenverschlüsselung verschlüsselt.All newly created databases in SQL Database are encrypted by default by using service-managed transparent data encryption. Vorhandene SQL-Datenbanken, die vor Mai 2017 erstellt wurden, und SQL-Datenbanken, die durch Wiederherstellung, Georeplikation und Datenbankkopie erstellt wurden, sind standardmäßig nicht verschlüsselt.Existing SQL databases created before May 2017 and SQL databases created through restore, geo-replication, and database copy are not encrypted by default. Vorhandene SQL Managed Instance-Datenbanken, die vor Februar 2019 erstellt wurden, sind standardmäßig nicht verschlüsselt.Existing SQL Managed Instance databases created before February 2019 are not encrypted by default. Azure SQL Managed Instance-Datenbanken, die durch Wiederherstellen erstellt wurden, erben den Verschlüsselungsstatus von der Quelle.SQL Managed Instance databases created through restore inherit encryption status from the source.

Hinweis

TDE kann nicht zum Verschlüsseln der master-Datenbank in SQL-Datenbank verwendet werden.TDE cannot be used to encrypt the master database in SQL Database. Die master-Datenbank enthält Objekte, die zum Ausführen der TDE-Vorgänge für die Benutzerdatenbanken erforderlich sind.The master database contains objects that are needed to perform the TDE operations on the user databases.

Von einem Dienst verwaltete transparente DatenverschlüsselungService-managed transparent data encryption

In Azure ist die TDE standardmäßig so eingerichtet, dass der DEK durch ein integriertes Serverzertifikat geschützt ist.In Azure, the default setting for TDE is that the DEK is protected by a built-in server certificate. Das integrierte Serverzertifikat ist für jeden Server eindeutig, und der verwendete Verschlüsselungsalgorithmus ist AES 256.The built-in server certificate is unique for each server and the encryption algorithm used is AES 256. Wenn sich eine Datenbank in einer Georeplikationsbeziehung befindet, werden sowohl die primäre als auch die sekundäre Geodatenbank vom übergeordneten Serverschlüssel der primären Datenbank geschützt.If a database is in a geo-replication relationship, both the primary and geo-secondary databases are protected by the primary database's parent server key. Sind zwei Datenbanken mit dem gleichen Server verbunden, verwenden sie auch das gleiche integrierte Zertifikat.If two databases are connected to the same server, they also share the same built-in certificate. Microsoft rotiert diese Zertifikate gemäß der internen Sicherheitsrichtlinie automatisch, und der Stammschlüssel wird von einem Microsoft-internen Geheimnisspeicher geschützt.Microsoft automatically rotates these certificates in compliance with the internal security policy and the root key is protected by a Microsoft internal secret store. Kunden können die Compliance von SQL-Datenbank und SQL Managed Instance mit internen Sicherheitsrichtlinien in Überwachungsberichten unabhängiger Drittanbieter überprüfen, die im Microsoft Trust Center zur Verfügung stehen.Customers can verify SQL Database and SQL Managed Instance compliance with internal security policies in independent third-party audit reports available on the Microsoft Trust Center.

Microsoft verschiebt und verwaltet auch die Schlüssel nahtlos, die für die Georeplikation und Wiederherstellung benötigt werden.Microsoft also seamlessly moves and manages the keys as needed for geo-replication and restores.

Vom Kunden verwaltete Transparent Data Encryption – BYOK (Bring Your Own Key)Customer-managed transparent data encryption - Bring Your Own Key

Die vom Kunden verwaltete transparente Datenverschlüsselung wird auch als BYOK-Unterstützung für TDE bezeichnet.Customer-managed TDE is also referred to as Bring Your Own Key (BYOK) support for TDE. In diesem Szenario ist die TDE-Schutzvorrichtung, die den DEK verschlüsselt, ein kundenseitig verwalteter asymmetrischer Schlüssel, der in einer kundeneigenen und kundenseitig verwalteten Azure Key Vault-Instanz – dem cloudbasierten externen Schlüsselverwaltungssystem von Azure – gespeichert ist und diesen Schlüsseltresor niemals verlässt.In this scenario, the TDE Protector that encrypts the DEK is a customer-managed asymmetric key, which is stored in a customer-owned and managed Azure Key Vault (Azure's cloud-based external key management system) and never leaves the key vault. Der TDE-Schutz kann vom Schlüsseltresor generiert oder von einem lokalen HSM-Gerät (Hardwaresicherheitsmodul) in den Schlüsseltresor übertragen werden.The TDE Protector can be generated by the key vault or transferred to the key vault from an on-premises hardware security module (HSM) device. SQL-Datenbank, SQL Managed Instance und Azure Synapse müssen Berechtigungen für den Schlüsseltresor des Kunden gewährt werden, damit der DEK ver- und entschlüsselt werden kann.SQL Database, SQL Managed Instance, and Azure Synapse need to be granted permissions to the customer-owned key vault to decrypt and encrypt the DEK. Wenn die Serverberechtigungen für den Schlüsseltresor widerrufen werden, ist kein Zugriff auf die Datenbank möglich, und alle Daten werden verschlüsselt.If permissions of the server to the key vault are revoked, a database will be inaccessible, and all data is encrypted

Mit TDE und Azure Key Vault-Integration können Benutzer Aufgaben der Schlüsselverwaltung steuern, z.B. Schlüsselrotationen, Schlüsseltresorberechtigungen und Schlüsselsicherungen. Außerdem können sie die Überwachung und Berichterstellung für alle TDE-Schutzvorrichtungen aktivieren, die Azure Key Vault-Funktionalität nutzen.With TDE with Azure Key Vault integration, users can control key management tasks including key rotations, key vault permissions, key backups, and enable auditing/reporting on all TDE protectors using Azure Key Vault functionality. Key Vault bietet eine zentrale Schlüsselverwaltung, verwendet streng überwachte HSMs und ermöglicht die Aufgabentrennung zwischen dem Verwalten von Schlüsseln und Daten, um Sicherheitsrichtlinien einzuhalten.Key Vault provides central key management, leverages tightly monitored HSMs, and enables separation of duties between management of keys and data to help meet compliance with security policies. Weitere Informationen zu BYOK für Azure SQL-Datenbank und Azure Synapse finden Sie unter Transparente Datenverschlüsselung mit Azure Key Vault-Integration.To learn more about BYOK for Azure SQL Database and Azure Synapse, see Transparent data encryption with Azure Key Vault integration.

Wenn Sie mit der Verwendung von TDE mit Azure Key Vault-Integration beginnen möchten, sehen Sie sich die Schrittanleitung Aktivieren der transparenten Datenverschlüsselung mithilfe Ihres eigenen Schlüssels aus Key Vault an.To start using TDE with Azure Key Vault integration, see the how-to guide Turn on transparent data encryption by using your own key from Key Vault.

Verschieben einer durch die transparente Datenverschlüsselung gesicherte DatenbankMove a transparent data encryption-protected database

Für Vorgänge in Azure müssen Datenbanken nicht entschlüsselt werden.You don't need to decrypt databases for operations within Azure. Die TDE-Einstellungen für die Quelldatenbank oder die primäre Datenbank werden transparent an das Ziel vererbt.The TDE settings on the source database or primary database are transparently inherited on the target. Dies gilt für folgende Vorgänge:Operations that are included involve:

  • GeowiederherstellungGeo-restore
  • Self-Service-Point-in-Time-WiederherstellungSelf-service point-in-time restore
  • Wiederherstellung einer gelöschten DatenbankRestoration of a deleted database
  • Aktive GeoreplikationActive geo-replication
  • Erstellung einer DatenbankkopieCreation of a database copy
  • Wiederherstellen einer Sicherungsdatei in der verwalteten Azure SQL-InstanzRestore of backup file to Azure SQL Managed Instance

Wichtig

Die manuelle COPY-ONLY-Sicherung einer Datenbank, die über einen vom Dienst verwalteten TDE-Vorgang verschlüsselt wurde, wird in Azure SQL Managed Instance nicht unterstützt, da nicht auf das für die Verschlüsselung genutzte Zertifikat zugegriffen werden kann.Taking manual COPY-ONLY backup of a database encrypted by service-managed TDE is not supported in Azure SQL Managed Instance, since the certificate used for encryption is not accessible. Verwenden Sie die Point-in-Time-Wiederherstellung, um diese Art von Datenbank auf eine andere SQL Managed Instance zu verschieben, oder wechseln Sie zu einem kundenseitig verwalteten Schlüssel.Use point-in-time-restore feature to move this type of database to another SQL Managed Instance, or switch to customer-managed key.

Wenn Sie eine TDE-geschützte Datenbank exportieren, wird der exportierte Inhalt der Datenbank nicht verschlüsselt.When you export a TDE-protected database, the exported content of the database isn't encrypted. Diese exportierten Inhalte werden in unverschlüsselten BACPAC-Dateien gespeichert.This exported content is stored in unencrypted BACPAC files. Achten Sie darauf, die BACPAC-Dateien in geeigneter Weise zu schützen und TDE zu aktivieren, sobald der Import der neuen Datenbank abgeschlossen ist.Be sure to protect the BACPAC files appropriately and enable TDE after import of the new database is finished.

Beispiel: Wenn die BACPAC-Datei von einer SQL Server-Instanz exportiert wird, wird der importierte Inhalt der neuen Datenbank nicht automatisch verschlüsselt.For example, if the BACPAC file is exported from a SQL Server instance, the imported content of the new database isn't automatically encrypted. Wenn die BACPAC-Datei in eine SQL Server-Instanz exportiert wird, wird die neue Datenbank auch nicht automatisch verschlüsselt.Likewise, if the BACPAC file is imported to a SQL Server instance, the new database also isn't automatically encrypted.

Eine Ausnahme besteht beim Exportieren einer Datenbank in und aus SQL-Datenbank.The one exception is when you export a database to and from SQL Database. TDE ist für die neue Datenbank aktiviert, die BACPAC-Datei selbst ist allerdings noch nicht verschlüsselt.TDE is enabled on the new database, but the BACPAC file itself still isn't encrypted.

Verwalten von Transparent Data EncryptionManage transparent data encryption

Verwalten Sie TDE im Azure-Portal.Manage TDE in the Azure portal.

Um TDE über das Azure-Portal zu konfigurieren, müssen Sie als Azure-Besitzer, Azure-Mitwirkender oder SQL-Sicherheitsmanager verbunden sein.To configure TDE through the Azure portal, you must be connected as the Azure Owner, Contributor, or SQL Security Manager.

Aktivieren und Deaktivieren Sie TDE auf Datenbankebene.Enable and disable TDE on the database level. Verwenden Sie für Azure SQL Managed Instance Transact-SQL (T-SQL), um TDE für eine Datenbank zu aktivieren oder zu deaktivieren.For Azure SQL Managed Instance use Transact-SQL (T-SQL) to turn TDE on and off on a database. Für Azure SQL-Datenbank und Azure Synapse können Sie TDE für die Datenbank im Azure-Portal verwalten, nachdem Sie sich mit einem Konto als Azure-Administrator oder Azure-Mitwirkender angemeldet haben.For Azure SQL Database and Azure Synapse, you can manage TDE for the database in the Azure portal after you've signed in with the Azure Administrator or Contributor account. Suchen Sie die TDE-Einstellungen in Ihrer Benutzerdatenbank.Find the TDE settings under your user database. Standardmäßig wird die von einem Dienst verwaltete transparente Datenverschlüsselung verwendet.By default, service-managed transparent data encryption is used. Für den Server, der die Datenbank enthält, wird automatisch ein TDE-Zertifikat generiert.A TDE certificate is automatically generated for the server that contains the database.

Von einem Dienst verwaltete transparente Datenverschlüsselung

Sie legen den TDE-Hauptschlüssel, der auch als TDE-Schutz bezeichnet wird, auf Server- oder Instanzebene fest.You set the TDE master key, known as the TDE protector, at the server or instance level. Öffnen Sie die TDE-Einstellungen in Ihrem Server, um TDE mit der BYOK-Unterstützung zu verwenden und Ihre Datenbanken mit einem Schlüssel aus Key Vault zu schützen.To use TDE with BYOK support and protect your databases with a key from Key Vault, open the TDE settings under your server.

Transparente Datenverschlüsselung mit Bring Your Own Key-Unterstützung