Gestion de clés extensible à l'aide d'Azure Key Vault (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

S’APPLIQUE À : ouiSQL Server nonAzure SQL Database nonAzure Synapse Analytics (SQL DW) nonParallel Data Warehouse APPLIES TO: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse

Le connecteur SQL ServerSQL Server pour MicrosoftMicrosoft Azure Key Vault permet au chiffrement SQL ServerSQL Server d’utiliser le service Azure Key Vault comme fournisseur de gestion de clés extensible (EKM) pour protéger les clés de chiffrement SQL ServerSQL Server.The SQL ServerSQL Server Connector for MicrosoftMicrosoft Azure Key Vault enables SQL ServerSQL Server encryption to use the Azure Key Vault service as an Extensible Key Management (EKM) provider to protect SQL ServerSQL Server encryption keys.

Cette rubrique décrit le connecteur SQL ServerSQL Server.This topic describes the SQL ServerSQL Server connector. Des informations supplémentaires sont disponibles dans les rubriques Étapes de la configuration de la gestion de clés extensible à l’aide d’Azure Key Vault, Utiliser le connecteur SQL Server avec les fonctionnalités de chiffrement SQLet Résolution des problèmes et maintenance du connecteur SQL Server.Additional information is available in Setup Steps for Extensible Key Management Using the Azure Key Vault, Use SQL Server Connector with SQL Encryption Features, and SQL Server Connector Maintenance & Troubleshooting.

Qu’est-ce que la gestion de clés extensible et pourquoi l’utiliser ?What is Extensible Key Management (EKM) and Why Use it?

SQL ServerSQL Server fournit plusieurs types de chiffrement qui permettent de protéger les données sensibles, notamment le chiffrement transparent des données (TDE), le chiffrement au niveau colonne (CLE) et le chiffrement de sauvegarde.provides several types of encryption that help protect sensitive data, including Transparent Data Encryption (TDE), Column Level Encryption (CLE), and Backup Encryption. Dans tous ces cas, dans cette hiérarchie de clés classique, les données sont chiffrées à l’aide d’une clé de chiffrement de données symétrique.In all of these cases, in this traditional key hierarchy, the data is encrypted using a symmetric data encryption key (DEK). La clé de chiffrement de données symétrique est ensuite protégée en la chiffrant avec une hiérarchie de clés stockées dans SQL ServerSQL Server.The symmetric data encryption key is further protected by encrypting it with a hierarchy of keys stored in SQL ServerSQL Server. Au lieu de ce modèle, l’alternative est le modèle de fournisseur EKM.Instead of this model, the alternative is the EKM Provider Model. L’utilisation de l’architecture du fournisseur EKM permet à SQL ServerSQL Server de protéger les clés de chiffrement de données à l’aide d’une clé asymétrique stockée en dehors de SQL ServerSQL Server , dans un fournisseur de services de chiffrement externe.Using the EKM provider architecture enables SQL ServerSQL Server to protect the data encryption keys by using an asymmetric key stored outside of SQL ServerSQL Server in an external cryptographic provider. Ce modèle ajoute une couche de sécurité supplémentaire et sépare la gestion des clés et des données.This model adds an additional layer of security and separates the management of keys and data.

L’illustration suivante compare la hiérarchie de clés de gestion de service classique au système Azure Key Vault.The following image compares the traditional service-manage key hierarchy with the Azure Key Vault system.

ekm-key-hierarchy-traditionalekm-key-hierarchy-traditional

Le connecteur SQL ServerSQL Server sert de pont entre SQL ServerSQL Server et Azure Key Vault. SQL ServerSQL Server peut donc optimiser l’extensibilité, les hautes performances et la haute disponibilité du service Azure Key Vault.The SQL ServerSQL Server Connector serves as a bridge between SQL ServerSQL Server and Azure Key Vault, so SQL ServerSQL Server can leverage the scalability, high performance, and highly availability of the Azure Key Vault service. L’illustration suivante représente le fonctionnement de la hiérarchie de clé dans l’architecture du fournisseur EKM avec Azure Key Vault et le connecteur SQL ServerSQL Server .The following image represents how the key hierarchy works in the EKM provider architecture with Azure Key Vault and SQL ServerSQL Server Connector.

Azure Key Vault peut être utilisé avec des installations de SQL ServerSQL Server sur des machines virtuelles MicrosoftMicrosoft Azure et sur des serveurs locaux.Azure Key Vault can be used with SQL ServerSQL Server installations on MicrosoftMicrosoft Azure Virtual Machines and for on-premises servers. Le service de coffre de clés offre également la possibilité d'utiliser des modules de sécurité matériels étroitement contrôlés et surveillés pour augmenter le niveau de protection des clés de chiffrement asymétriques.The key vault service also provides the option to use tightly controlled and monitored Hardware Security Modules (HSMs) for a higher level of protection for asymmetric encryption keys. Pour plus d’informations sur le coffre de clés, consultez Azure Key Vault.For more information about the key vault, see Azure Key Vault.

L'illustration suivante résume le flux du processus de la gestion de clés extensible à l'aide du coffre de clés.The following image summarizes the process flow of EKM using the key vault. (Les numéros des étapes du processus dans l’image ne correspondent pas aux numéros des étapes d’installation qui suivent l’image.)(The process step numbers in the image are not meant to match the setup step numbers that follow the image.)

Gestion de clés extensible (EKM) SQL Server avec Azure Key VaultSQL Server EKM using the Azure Key Vault

Notes

Les versions 1.0.0.440 et antérieures ont été remplacées et ne sont plus prises en charge dans les environnements de production.Versions 1.0.0.440 and older have been replaced and are no longer supported in production environments. Effectuez la mise à niveau vers la version 1.0.1.0 ou ultérieure en accédant au Centre de téléchargement Microsoft et en utilisant les instructions fournies dans la page Résolution des problèmes et maintenance du connecteur SQL Server sous « Mise à niveau du connecteur SQL Server ».Upgrade to version 1.0.1.0 or later by visiting the Microsoft Download Center and using the instructions on the SQL Server Connector Maintenance & Troubleshooting page under "Upgrade of SQL Server Connector."

Pour l’étape suivante, consultez Étapes de la configuration de la gestion de clés extensible à l’aide d’Azure Key Vault.For the next step, see Setup Steps for Extensible Key Management Using the Azure Key Vault.

Pour les scénarios d’utilisation, consultez Utiliser le connecteur SQL Server avec les fonctionnalités de chiffrement SQL.For use scenarios, see Use SQL Server Connector with SQL Encryption Features.

Voir aussiSee Also

Résolution des problèmes et maintenance du connecteur SQL ServerSQL Server Connector Maintenance & Troubleshooting