Chiffrement transparent des données pour SQL Database, SQL Managed Instance et Azure Synapse AnalyticsTransparent data encryption for SQL Database, SQL Managed Instance, and Azure Synapse Analytics

S’APPLIQUE À : Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics (SQL DW)

Transparent Data Encryption (TDE) est une technologie de chiffrement transparent des données qui contribue à protéger Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics contre les menaces d’activités hors connexion malveillantes en chiffrant les données au repos.Transparent data encryption (TDE) helps protect Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics against the threat of malicious offline activity by encrypting data at rest. Il assure le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions au repos, sans que cela nécessite de modifier l’application.It performs real-time encryption and decryption of the database, associated backups, and transaction log files at rest without requiring changes to the application. Par défaut, TDE est activé pour toutes les bases de données SQL déployées récemment et doit être activé manuellement pour les anciennes bases de données d’Azure SQL Database et d’Azure SQL Managed Instance.By default, TDE is enabled for all newly deployed SQL Databases and must be manually enabled for older databases of Azure SQL Database, Azure SQL Managed Instance. TDE doit être activé manuellement pour Azure Synapse Analytics.TDE must be manually enabled for Azure Synapse Analytics.

TDE effectue le chiffrement et le déchiffrement des données d’E/S en temps réel au niveau de la page.TDE performs real-time I/O encryption and decryption of the data at the page level. Chaque page est déchiffrée lorsqu’elle est lue en mémoire, puis chiffrée avant d’être écrite sur le disque.Each page is decrypted when it's read into memory and then encrypted before being written to disk. TDE chiffre le stockage d’une base de données entière à l’aide d’une clé symétrique appelée clé de chiffrement de la base de données (« clé DEK »).TDE encrypts the storage of an entire database by using a symmetric key called the Database Encryption Key (DEK). Au démarrage de la base de données, la clé DEK chiffrée est déchiffrée, puis elle est utilisée pour déchiffrer et rechiffrer les fichiers de la base de données dans le processus du moteur de base de données SQL Server.On database startup, the encrypted DEK is decrypted and then used for decryption and re-encryption of the database files in the SQL Server database engine process. La clé de chiffrement DEK est protégée par le protecteur TDE.DEK is protected by the TDE protector. Le protecteur TDE est soit un certificat géré par le service (chiffrement transparent des données géré par le service), soit une clé asymétrique stockée dans Azure Key Vault (chiffrement transparent des données géré par le client).TDE protector is either a service-managed certificate (service-managed transparent data encryption) or an asymmetric key stored in Azure Key Vault (customer-managed transparent data encryption).

Pour Azure SQL Database et Azure Synapse, le protecteur TDE est défini au niveau du serveur logique SQL et est hérité par toutes les bases de données associées à ce serveur.For Azure SQL Database and Azure Synapse, the TDE protector is set at the server level and is inherited by all databases associated with that server. Pour Azure SQL Managed Instance, le protecteur TDE est défini au niveau de l’instance et il est hérité par toutes les bases de données chiffrées sur cette instance.For Azure SQL Managed Instance, the TDE protector is set at the instance level and it is inherited by all encrypted databases on that instance. Le terme serveur fait référence à la fois au serveur et à l’instance tout au long de ce document, sauf indication contraire.The term server refers both to server and instance throughout this document, unless stated differently.

Important

Toutes les bases de données SQL Database nouvellement créées sont chiffrées par défaut à l’aide du chiffrement transparent des données géré par le service.All newly created databases in SQL Database are encrypted by default by using service-managed transparent data encryption. Les bases de données SQL existantes créées avant mai 2017 et les bases de données SQL créées via restauration, géoréplication et copie de base de données, ne sont pas chiffrées par défaut.Existing SQL databases created before May 2017 and SQL databases created through restore, geo-replication, and database copy are not encrypted by default. Les bases de données SQL Managed Instance existantes créées avant février 2019 ne sont pas chiffrées par défaut.Existing SQL Managed Instance databases created before February 2019 are not encrypted by default. Les bases de données SQL Managed Instance créées par le biais de la restauration héritent de l’état de chiffrement de la source.SQL Managed Instance databases created through restore inherit encryption status from the source.

Notes

TDE ne peut pas être utilisé pour chiffrer la base de données MASTER dans Azure SQL Database et Azure SQL Managed Instance.TDE cannot be used to encrypt the master database in Azure SQL Database and Azure SQL Managed Instance. La base de données MASTER contient les objets nécessaires à l’exécution des opérations TDE sur les bases de données utilisateur.The master database contains objects that are needed to perform the TDE operations on the user databases.

Chiffrement transparent des données géré par le serviceService-managed transparent data encryption

Dans Azure, la configuration par défaut de TDE spécifie que la clé de chiffrement de la base de données (DEK) est protégée par un certificat de serveur intégré.In Azure, the default setting for TDE is that the DEK is protected by a built-in server certificate. Le certificat de serveur intégré est unique pour chaque serveur et l’algorithme de chiffrement utilisé est AES 256.The built-in server certificate is unique for each server and the encryption algorithm used is AES 256. Si une base de données figure dans une relation de géoréplication, la base de données primaire et les base de données géo-secondaires sont protégées par la clé du serveur parent de la base de données primaire.If a database is in a geo-replication relationship, both the primary and geo-secondary databases are protected by the primary database's parent server key. Si deux bases de données sont connectées au même serveur, elles partagent également le même certificat intégré.If two databases are connected to the same server, they also share the same built-in certificate. Microsoft fait alterner automatiquement ces certificats conformément à la stratégie de sécurité interne et la clé racine est protégée par un magasin des secrets interne Microsoft.Microsoft automatically rotates these certificates in compliance with the internal security policy and the root key is protected by a Microsoft internal secret store. Les clients peuvent vérifier la conformité de SQL Database et SQL Managed Instance avec des stratégies de sécurité internes, dans des rapports d’audit tiers indépendants disponibles dans le Centre de gestion de la confidentialité Microsoft.Customers can verify SQL Database and SQL Managed Instance compliance with internal security policies in independent third-party audit reports available on the Microsoft Trust Center.

En outre, Microsoft déplace et gère en toute transparence les clés en fonction des besoins en matière de géoréplication et de restaurations.Microsoft also seamlessly moves and manages the keys as needed for geo-replication and restores.

Chiffrement transparent des données géré par le client - Bring Your Own KeyCustomer-managed transparent data encryption - Bring Your Own Key

Le chiffrement TDE géré par le client est également appelé prise en charge de Bring Your Own Key (BYOK) pour TDE.Customer-managed TDE is also referred to as Bring Your Own Key (BYOK) support for TDE. Dans ce scénario, le protecteur TDE qui chiffre la clé DEK est une clé asymétrique managée par le client, stockée dans une solution Azure Key Vault du client, qui la gère (système d'administration de clés externe d’Azure) et il ne quitte jamais le coffre de clés.In this scenario, the TDE Protector that encrypts the DEK is a customer-managed asymmetric key, which is stored in a customer-owned and managed Azure Key Vault (Azure's cloud-based external key management system) and never leaves the key vault. Le protecteur TDE peut être généré par le coffre de clés ou transféré vers le coffre de clés à partir d’un appareil HSM local d’un module de sécurité matériel.The TDE Protector can be generated by the key vault or transferred to the key vault from an on-premises hardware security module (HSM) device. SQL Database, SQL Managed Instance et Azure Synapse doivent être autorisés à déchiffrer et chiffrer la DEK dans le coffre de clés appartenant au client.SQL Database, SQL Managed Instance, and Azure Synapse need to be granted permissions to the customer-owned key vault to decrypt and encrypt the DEK. Si des autorisations d’accès du serveur au coffre de clés sont supprimées, une base de données devient inaccessible alors que toutes les données sont chiffréesIf permissions of the server to the key vault are revoked, a database will be inaccessible, and all data is encrypted

Avec l’intégration de TDE à Azure Key Vault, les utilisateurs peuvent contrôler les tâches de gestion de clés, y compris les rotations de clés, les autorisations de coffre de clés, les sauvegardes de clés, ainsi que l’audit et le rapport sur tous les protecteurs TDE à l’aide de la fonctionnalité Azure Key Vault.With TDE with Azure Key Vault integration, users can control key management tasks including key rotations, key vault permissions, key backups, and enable auditing/reporting on all TDE protectors using Azure Key Vault functionality. Key Vault centralise la gestion des clés, utilise des modules de sécurité matériels étroitement surveillés (HSM) et permet la séparation des responsabilités entre la gestion de clés et des données pour aider à répondre aux exigences des stratégies de sécurité.Key Vault provides central key management, leverages tightly monitored HSMs, and enables separation of duties between management of keys and data to help meet compliance with security policies. Pour en savoir plus sur BYOK pour Azure SQL Database et Azure Synapse, consultez Chiffrement transparent des données avec l’intégration d’Azure Key Vault.To learn more about BYOK for Azure SQL Database and Azure Synapse, see Transparent data encryption with Azure Key Vault integration.

Pour commencer à utiliser TDE avec l’intégration d’Azure Key Vault, consultez le guide pratique Activer le chiffrement transparent des données avec votre propre clé Key Vault.To start using TDE with Azure Key Vault integration, see the how-to guide Turn on transparent data encryption by using your own key from Key Vault.

Déplacer une base de données protégée par le chiffrement transparent des donnéesMove a transparent data encryption-protected database

Vous n’avez pas besoin de déchiffrer les bases de données pour leur appliquer des opérations dans Azure.You don't need to decrypt databases for operations within Azure. La base de données cible hérite de façon transparente des paramètres de TDE sur la base de données source ou sur la base de données principale.The TDE settings on the source database or primary database are transparently inherited on the target. Les opérations incluses sont les suivantes :Operations that are included involve:

  • La géorestaurationGeo-restore
  • Restauration à un moment donné en libre-serviceSelf-service point-in-time restore
  • Restauration d’une base de données suppriméeRestoration of a deleted database
  • La géoréplication activeActive geo-replication
  • Création d’une copie de base de donnéesCreation of a database copy
  • Restauration du fichier de sauvegarde vers Azure SQL Managed InstanceRestore of backup file to Azure SQL Managed Instance

Important

La sauvegarde manuelle COPY-ONLY d’une base de données chiffrée par un TDE géré par le service n’est pas prise en charge dans Azure SQL Managed Instance, car le certificat utilisé pour le chiffrement n’est pas accessible.Taking manual COPY-ONLY backup of a database encrypted by service-managed TDE is not supported in Azure SQL Managed Instance, since the certificate used for encryption is not accessible. Utilisez la fonctionnalité de restauration dans le temps pour déplacer ce type de base de données vers un autre service SQL Managed Instance ou basculer vers une clé gérée par le client.Use point-in-time-restore feature to move this type of database to another SQL Managed Instance, or switch to customer-managed key.

Quand vous exportez une base de données protégée par TDE, le contenu exporté de la base de données n’est pas chiffré.When you export a TDE-protected database, the exported content of the database isn't encrypted. Ce contenu exporté est stocké dans des fichiers BACPAC non chiffrés.This exported content is stored in unencrypted BACPAC files. Vous devez donc protéger les fichiers BACPAC de façon appropriée et activer TDE après avoir terminé l’importation de la nouvelle base de données.Be sure to protect the BACPAC files appropriately and enable TDE after import of the new database is finished.

Par exemple, si le fichier BACPAC est exporté à partir d’une instance SQL Server, le contenu importé de la nouvelle base de données n’est pas chiffré automatiquement.For example, if the BACPAC file is exported from a SQL Server instance, the imported content of the new database isn't automatically encrypted. De même, si le fichier BACPAC est exporté vers une instance SQL Server, la nouvelle base de données n’est pas chiffrée automatiquement.Likewise, if the BACPAC file is imported to a SQL Server instance, the new database also isn't automatically encrypted.

La seule exception survient lorsque vous procédez à une exportation de base de données à destination ou en provenance de SQL Database.The one exception is when you export a database to and from SQL Database. TDE est activé dans la nouvelle base de données, mais le fichier BACPAC proprement dit n’est toujours pas chiffré.TDE is enabled on the new database, but the BACPAC file itself still isn't encrypted.

Gérer Transparent Data EncryptionManage transparent data encryption

Gérer TDE dans le portail Azure.Manage TDE in the Azure portal.

Pour configurer TDE par le biais du portail Azure, vous devez être connecté en tant que Propriétaire, Collaborateur ou Gestionnaire de sécurité SQL Azure.To configure TDE through the Azure portal, you must be connected as the Azure Owner, Contributor, or SQL Security Manager.

Activez et désactivez TDE au niveau de la base de données.Enable and disable TDE on the database level. Pour Azure SQL Managed Instance, utilisez Transact-SQL (T-SQL) pour activer et désactiver TDE sur une base de données.For Azure SQL Managed Instance use Transact-SQL (T-SQL) to turn TDE on and off on a database. Pour Azure SQL Database et Azure Synapse, vous pouvez gérer TDE pour la base de données dans le portail Azure après vous être connecté avec le compte administrateur ou contributeur Azure.For Azure SQL Database and Azure Synapse, you can manage TDE for the database in the Azure portal after you've signed in with the Azure Administrator or Contributor account. Accédez aux paramètres TDE pour votre base de données utilisateur.Find the TDE settings under your user database. Le chiffrement transparent des données géré par le service est utilisé par défaut.By default, service-managed transparent data encryption is used. Un certificat TDE est automatiquement généré pour le serveur qui contient la base de données.A TDE certificate is automatically generated for the server that contains the database.

Chiffrement transparent des données géré par le service

Vous définissez la clé principale TDE, également appelée protecteur TDE, au niveau du serveur ou de l’instance.You set the TDE master key, known as the TDE protector, at the server or instance level. Pour utiliser TDE avec BYOK et protéger vos bases de données à l’aide d’une clé fournie par Key Vault, ouvrez les paramètres TDE définis pour votre serveur.To use TDE with BYOK support and protect your databases with a key from Key Vault, open the TDE settings under your server.

Chiffrement transparent des données avec prise en charge de Bring Your Own Key