Krüptovõtmete haldamine

Kehtib rakenduses Dynamics 365 (veebiversioon), versioon 8.x

Kõik Microsoft Dynamics 365 (veebiversioon)’i eksemplarid kasutavad reaalajas andmete krüptimiseks SQL Serveri läbipaistvat andmete krüptimist (TDE), kui andmed on kirjutatud kettale (tuntud ka puhkava krüptimisena).

Vaikimisi salvestab ja haldab Microsoft teie Dynamics 365 (veebiversioon)’i eksemplaride andmebaasi krüptovõtmeid nii, et teie ei pea seda tegema. Võtmete haldamise funktsioon rakenduses Dynamics 365 halduskeskus annab administraatoritele võimaluse Dynamics 365 (veebiversioon)’i andmebaasi krüptovõtmeid ise hallata.

Oluline

Isehallatavad andmebaasi krüptovõtmed on saadaval ainult 2016. aasta detsembrikuu Dynamics 365 värskendus (veebiversioon)’is ja need ei pruugi olla saadaval hilisemates versioonides.

Sissejuhatus võtmehaldusesse

Rakenduse Dynamics 365 (veebiversioon) võtmehaldusega saavad administraatorid sisestada enda krüptovõtme või luuakse krüptovõti nende eest ja seda kasutatakse eksemplari andmebaasi kaitsmiseks.

Võtmehalduse funktsioon toetab nii PFX-i kui ka BYOK-i krüptovõtme faile (nt riistvara turbemudelisse (HSM) salvestatud failid). Krüptovõtme üleslaadimise valiku kasutamiseks vajate nii avalikku kui ka privaatset krüptovõtit.

Võtmehalduse funktsioon lihtsustab krüptovõtme haldust, kasutades krüptovõtmete turvaliseks talletamiseks rakendust Azure Key Vault. Azure Key Vault aitab kaitsta pilverakenduste ja -teenuste kasutatavaid krüptovõtmeid ja saladusi. Võtmehalduse funktsioon ei nõua Azure Key Vaulti tellimust ja enamike olukordade korral ei ole vajadust Dynamics 365 (veebiversioon)’i jaoks kasutatavatele krüptovõtmetele hoidla kaudu juurde pääseda.

Võtme haldamise funktsioon võimaldab teha järgmisi ülesandeid.

  • Lubada Dynamics 365 (veebiversioon)’i eksemplaridega seotud andmebaasi krüptovõtmete isehaldamise võime.

  • Luua uusi krüptovõtmeid või laadida üles olemasolevaid PFX- või BYOK-vormingus krüptovõtme faile.

  • Lukustada Dynamics 365 (veebiversioon)’i eksemplari.

    Ettevaatust!

    Te ei peaks kunagi lukustama eksemplari osana teie tavapärasest äriprotsessist. Kui rakenduse Dynamics 365 (veebiversioon) eksemplar on lukus, viib see eksemplari täiesti võrguühenduseta olekusse ja sellele ei pääse keegi juurde, sealhulgas Microsoft. Lisaks seisatatakse kõik teenused, nagu sünkroonimine ja hooldus. Sobiv põhjus eksemplari lukustamiseks on siis, kui liigutate andmebaasi veebiversioonist asutusesiseseks. Eksemplari lukustamine võib tagada, et teie veebiandmetele ei saa keegi kunagi juurdepääsu.

    Lukustatud eksemplari ei saa varundusest taastada.

  • Avage Dynamics 365 (veebiversioon)’i eksemplar lukust. Rakenduse Dynamics 365 (veebiversioon) lukustatud eksemplari lukust avamiseks peate laadima üles krüptovõtme, mida kasutati selle lukustamiseks. Kui Dynamics 365 (veebiversioon)’i eksemplar on lukustatud, ei saa keegi sellele juurdepääsu.

Võtmete haldamisega seotud võimaliku ohu mõistmine

Nagu mis tahes äriliselt kriitilise tähtsusega rakenduse puhul peab organisatsioonisisene personal, kellel on administraatoritasemel juurdepääs, olema usaldusväärne. Enne võtmehalduse funktsiooni kasutamist peate mõistma andmebaasi krüptovõtmete haldamisega seotud ohtu. On mõeldav, et teie organisatsioonis töötav pahatahtlik administraator (isik, kellele antakse või kes on saanud administraatoritasemel juurdepääsu kavatsusega kahjustada organisatsiooni turbe- ja äriprotsesse) võib kasutada võtmete haldamise funktsiooni, et luua võti ja kasutada sedaDynamics 365 (veebiversioon)’i eksemplari lukustamiseks. Kaaluge järgmist sündmuste jada.

  1. Pahatahtlik administraator logib sisse rakendusse Dynamics 365 halduskeskus, avab redigeerimiseks eksemplari lehe ja loob seejärel uue krüptovõtme, mida saab kasutada eksemplari krüptimiseks. Osana võtme loomisest laadib pahatahtlik Dynamics 365’i administraator alla krüptovõtme.

  2. Pahatahtlik administraator lukustab seotud Dynamics 365 (veebiversioon) eksemplari ja võtab või kustutab eksemplari krüptovõtme, mida kasutati eksemplari lukustamiseks.

Oluline

Selleks et takistada pahatahtlikul administraatoril äritegevuse segamist andmebaasi lukustamise teel, ei luba hallatud võtmete funktsioon 72 tunni jooksul pärast krüptovõtme muutmist andmebaasi lukustada. Peale selle saavad kõik Dynamics 365 (veebiversioon) administraatorid iga kord, kui Dynamics 365 (veebiversioon) eksemplari krüptovõtit muudetakse, meilisõnumi, mis teavitab neid võtme muutmisest. See võimaldab teistel administraatoritel mis tahes volituseta võtmemuudatused kuni 72 tunni jooksul tagasi pöörata.

Võtmehalduse nõuded

Nõutavad õigused

Võtmete haldamise funktsiooni kasutamiseks vajate üht järgmistest õigustest.

  • Office 365 üldadministraatori liikmestaatus.

  • Office 365 teenuseadministraatorite rühma liikmelisus.

  • Selle Dynamics 365 (veebiversioon)’i eksemplari süsteemiadministraatori turberoll, mille krüptovõtit soovite hallata.

Tellimuse nõuded

Andmebaasi krüptovõtmete isehaldamise võime nõuab Dynamics 365 Customer Engagementi lepingut või Dynamics 365 lepingut.

Krüptovõtme nõuded

Kui sisestate enda krüptovõtme, peab võti vastama nendele Azure Key Vaulti heakskiidetud nõuetele.

  • Krüptovõtme faili vorming peab olema PFX või BYOK.

  • 2048-bitine RSA või RSA-HSMi võtme tüüp.

  • PFX krüptovõtme failid peavad olema parooliga kaitstud.

Lisateavet võtmehoidlas toetatavate võtmetüüpide kohta saate, laadides faili asukohta Dynamics 365 halduskeskus üles. Ainult teie võtme krüptitud versioon väljub algsest tööjaamast. HSM-i kaitsega võtme Interneti kaudu loomise ja üleviimise kohta leiate lisateavet teemast Kuidas Azure Key Vaulti puhul luua ja viia üle HSM-i kaitsega võtmeid.

Võtmehalduse ülesanded

Järgmised jaotised kirjeldavad ülesandeid, mida saate teha, kui valite ühe või mitme eksemplari puhul andmebaasi krüptovõtme isehaldamise.

Eksemplari krüptovõtme määramine või muutmine

Kasutage seda protseduuri, et määrata eksemplarile esimest korda võtme haldamise funktsioon või muuta juba isehallatava eksemplari krüptovõtit.

  1. Logige Office 365 halduskeskusse sisse.

  2. Laiendage valikut Administreerimiskeskused ja klõpsake seejärel valikut Dynamics 365.

  3. Klõpsake valikut Eksemplar, valige eksemplar, kus soovite andmebaasi krüptovõtit hallata, ja klõpsake seejärel valikut Redigeeri.

  4. Jaotises Andmebaasi krüptimissätted klõpsake valikut Halda võtit.

    Nupp Võtme haldamine

  5. Vaadake kuvatav sõnum üle ja kui soovite eksemplari puhul enda andmebaasi krüptovõtit hallata, klõpsake OK.

  6. Vaikimisi on võtme nimi InstanceName Encryption Key. Jätke võtme nimi olemasolevale kujule või muutke seda ja klõpsake seejärel nuppu Uus või Laadi üles.

    Uue võtme loomine või üleslaadimine

uus
Klõpsake nuppu Uus, et teie eest loodaks PFX-vormingus krüptovõti, mida kasutatakse andmebaasi haldamiseks.

1.  Kui teile kuvatakse vastav viip, sisestage krüptovõtme puhul kasutatav parool.  

2.  Eksemplari puhul võtme kasutamiseks klõpsake nuppu **Jah**.  

3.  Kui teile kuvatakse viip privaatvõtme salvestamiseks, salvestage see turvalisse kohta. Loodud võti on 2048-bitine RSA SHA256. Soovitame tungivalt, et varundaksite võtme ja salvestaksite parooli turvalisse kohta.  

4.  Klõpsake nuppu **Sule**, et sulgeda andmebaasi krüptovõtme dialoogiboksi haldamine.  

laadi üles
Klõpsake nuppu Laadi üles, et sisestada oma parooliga kaitstud PFX- või BYOK-vormingus krüptovõti.

1.  Sirvige ja lisage oma võti, mis on eksporditud teie kohalikust riistvara turbemoodulist (HSM) või krüptovõtme rakendusest. BYOK-vormingus krüptofailide puhul veenduge, et kasutate krüptovõtme kohalikust HSM-ist eksportimisel tellimuse ID-d. Klõpsake nuppu **Kas laadite üles BYOK-faili?** dialoogiboksis **Hallake andmebaasi krüptovõtit**, et leida oma tellimuse ID.  

2.  Kui olete kindel, et soovite krüptovõtit muuta, klõpsake nuppu **Jah**.  

3.  Sisestage võtme parool ja klõpsake **OK**.  

4.  Klõpsake nuppu **Sule**, et sulgeda andmebaasi krüptovõtme dialoogiboksi haldamine.  

5.  Meilisõnum saadetakse kõigile teie organisatsiooni [!INCLUDE[pn_crm_online_shortest](../includes/pn-crm-online-shortest.md)]’i administraatoritele. See juhtub iga kord, kui eksemplari võtit muudetakse.  

Pange tähele, et andmebaasi krüptimise sätete haldamiseks määratud võtme nimi ilmub nüüd jaotises Praegune krüptovõti.

Hallatava võtme märge

Hallatava krüptovõtme ennistamine

Hallatava võtme ennistamine konfigureerib eksemplari tagasi vaikekäitumisele, kus Microsoft haldab krüptovõtit teie eest.

  • Keskusest Dynamics 365 halduskeskus klõpsake nuppu Eksemplar, valige eksemplar, mida soovite ennistada, ja klõpsake nuppu Redigeeri.

  • Jaotises Andmebaasi krüptimissätted klõpsake valikut Halda võtit.

  • Klõpsake nuppu Ennista.

  • Eksemplari ennistamiseks uuesti Microsofti hallatavaks võtme krüptimiseks klõpsake nuppu Jah.

  • Klõpsake nuppu Sule, et sulgeda andmebaasi krüptovõtme dialoogiboksi haldamine.

Eksemplari lukustamine

Lukustatud eksemplar jääb kõigile juurdepääsetamatuks (sh Microsoft), kuni teie organisatsiooni rentniku administraator avab selle lukust, kasutades võtit, mida kasutati selle lukustamiseks.

Ettevaatust!

Kui rakenduse Dynamics 365 (veebiversioon) eksemplar on lukus, viib see eksemplari täiesti võrguühenduseta olekusse ja sellele ei pääse keegi juurde, sealhulgas Microsoft. Lisaks seisatatakse kõik teenused, nagu sünkroonimine ja hooldus. Te ei peaks kunagi lukustama eksemplari osana teie tavapärasest äriprotsessist. Levinud põhjus eksemplari lukustamiseks on see, kui liigutate andmebaasi veebiversioonist asutusesiseseks. Eksemplari lukustamine võib tagada, et teie veebiandmetele ei saa keegi kunagi juurdepääsu.

Lukustatud eksemplari ei saa varundusest taastada.

  1. Keskusest Dynamics 365 halduskeskus klõpsake nuppu Eksemplar, valige eksemplar, mida soovite lukustada, ja klõpsake nuppu Redigeeri.

  2. Jaotises Andmebaasi krüptimissätted klõpsake valikut Halda võtit.

  3. Klõpsake nuppu Lukusta eksemplar.

  4. Sisestage nimi nii, nagu see kuvatakse dialoogiboksis, kinnitamaks, et mõistate eksemplari lukustamisega seotud riske ja klõpsake seejärel nuppu Laadi üles.

  5. Sirvige ja valige krüptovõtme fail, mida kasutati eksemplari krüptimiseks, ja klõpsake seejärel nuppu Ava.

  6. Sisestage võtme parool ja klõpsake seejärel OK.

  7. Eksemplari lukustamiseks klõpsake nuppu Jah.

  8. Klõpsake nuppu Sule, et sulgeda andmebaasi krüptovõtme dialoogiboksi haldamine.

Lukustatud eksemplari lukust avamine

Eksemplari lukust avamiseks peate sisestama krüptovõtme ja parooli, mida kasutati eksemplari lukustamiseks.

  1. Keskusest Dynamics 365 halduskeskus klõpsake nuppu Eksemplar, valige eksemplar, mida soovite lukust avada, ja klõpsake nuppu Redigeeri.

  2. Jaotises Andmebaasi krüptimissätted klõpsake valikut Halda võtit.

  3. Klõpsake nuppu Ava eksemplar.

    Eksemplari avamine

  4. Sirvige ja valige krüptovõti, mida kasutati eksemplari krüptimiseks, ja klõpsake seejärel nuppu Ava.

  5. Sisestage võtme parool ja klõpsake seejärel OK.

  6. Klõpsake nuppu Sule, et sulgeda andmebaasi krüptovõtme dialoogiboksi haldamine.

Vt ka

SQL Server: läbipaistev andmete krüptimine (TDE)