Transzparens adattitkosítás az SQL Database-hez, az SQL Managed Instance-hez és az Azure Synapse Analyticshez

A KÖVETKEZŐKRE VONATKOZIK: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

A transzparens adattitkosítás (TDE) az inaktív adatok titkosításával segít megvédeni Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analyticset a rosszindulatú offline tevékenységek veszélyével szemben. Valós időben titkosítja és fejti vissza az adatbázist, a hozzá tartozó biztonsági másolatokat és a tranzakciónapló-fájlokat anélkül, hogy ehhez módosítani kellene az alkalmazást. Alapértelmezés szerint a TDE engedélyezve van az összes újonnan üzembe helyezett Azure SQL-adatbázishoz, és manuálisan kell engedélyezni a Azure SQL Database régebbi adatbázisaihoz. A Azure SQL Managed Instance esetében a TDE engedélyezve van a példányok és az újonnan létrehozott adatbázisok szintjén. A TDE-t manuálisan kell engedélyezni az Azure Synapse Analyticshez.

Megjegyzés

Ez a cikk a Azure SQL Database, a Azure SQL Managed Instance és a Azure Synapse Analyticsre (dedikált SQL készletekre (korábban SQL DW)) vonatkozik. A Synapse-munkaterületeken belüli dedikált SQL-készletek transzparens adattitkosítás dokumentációját lásd: Azure Synapse Analytics-titkosítás.

Megjegyzés

Egyes ügyféltartalomnak tekintett elemeket, például a táblaneveket, az objektumneveket és az indexneveket a Microsoft a naplófájlokban továbbíthatja támogatás és hibaelhárítás céljából.

A TDE valós idejű I/O-titkosítást és -visszafejtést végez az adatok oldalszinten. Az egyes lapok visszafejtése a memóriába történő beolvasáskor történik, a titkosítás pedig a lemezre írás előtt. A TDE egy teljes adatbázis tárolását titkosítja az Adatbázis-titkosítási kulcs (DEK) nevű szimmetrikus kulccsal. Az adatbázis indításakor a titkosított DEK vissza lesz fejtve, majd az adatbázisfájlok visszafejtésére és újratitkosítására szolgál az SQL Server adatbázismotor folyamatában. A DEK-t a TDE-védő védi. A TDE-védő szolgáltatás által felügyelt tanúsítvány (szolgáltatás által felügyelt transzparens adattitkosítás) vagy az Azure Key Vault -ban tárolt aszimmetrikus kulcs (ügyfél által felügyelt transzparens adattitkosítás).

A Azure SQL Database és a Azure Synapse esetében a TDE-védő a kiszolgáló szintjén van beállítva, és a kiszolgálóhoz társított összes adatbázis örökli. A Azure SQL Managed Instance esetében a TDE-védő a példány szintjén van beállítva, és a példány összes titkosított adatbázisa örökli. A kiszolgáló kifejezés a jelen dokumentumban a kiszolgálóra és a példányra is vonatkozik, hacsak másként nem jelez.

Fontos

Az SQL Database-ben újonnan létrehozott összes adatbázis alapértelmezés szerint titkosítva van a szolgáltatás által kezelt, transzparens adattitkosítással. A 2017 májusa előtt létrehozott, meglévő SQL-adatbázisok, illetve a visszaállítással, georeplikációval és adatbázis-másolással létrehozott SQL-adatbázisok alapértelmezés szerint nem titkosítottak. A 2019 februárja előtt létrehozott meglévő SQL Managed Instance-adatbázisok alapértelmezés szerint nincsenek titkosítva. SQL Managed Instance visszaállítással létrehozott adatbázisok öröklik a titkosítási állapotot a forrástól. Meglévő TDE-titkosítású adatbázis visszaállításához először importálnia kell a szükséges TDE-tanúsítványt a SQL Managed Instance.

Megjegyzés

A TDE nem használható a rendszeradatbázisok, például a master adatbázis titkosítására Azure SQL Database és Azure SQL Managed Instance. A master adatbázis olyan objektumokat tartalmaz, amelyek szükségesek a TDE-műveletek felhasználói adatbázisokon való végrehajtásához. A rendszeradatbázisokban semmilyen bizalmas adat tárolása nem javasolt. Az infrastruktúra-titkosítás bevezetése folyamatban van, amely titkosítja a rendszeradatbázisokat, beleértve a főkiszolgálót is.

Szolgáltatás által kezelt transzparens adattitkosítás

Az Azure-ban a TDE alapértelmezett beállítása az, hogy a DEK-t egy beépített kiszolgálótanúsítvány védi. A beépített kiszolgálói tanúsítvány minden kiszolgáló esetében egyedi, az alkalmazott titkosítási algoritmus pedig az AES 256. Ha az adatbázis georeplikációs kapcsolatban áll, az elsődleges és a földrajzilag másodlagos adatbázisokat egyaránt az elsődleges adatbázis szülőkiszolgálójának kulcsa védi. Ha két adatbázis ugyanahhoz a kiszolgálóhoz csatlakozik, esetükben a beépített tanúsítvány is közös. A Microsoft a belső biztonsági szabályzatnak megfelelően automatikusan elforgatja ezeket a tanúsítványokat, és a főkulcsot egy belső Microsoft-titkoskód-tároló védi. Az ügyfelek a Microsoft Adatvédelmi központban elérhető független külső auditjelentésekben ellenőrizhetik SQL Database és SQL Managed Instance belső biztonsági szabályzatoknak való megfelelésüket.

A Microsoft emellett zökkenőmentesen áthelyezi és kezeli a kulcsokat a georeplikáláshoz és a visszaállításhoz szükséges módon.

Ügyfél által felügyelt transzparens adattitkosítás – Saját kulcs használata

Az ügyfél által felügyelt TDE-t a TDE Saját kulcs használata (BYOK) támogatásának is nevezik. Ebben a forgatókönyvben a DEK-t titkosító TDE-védő egy ügyfél által felügyelt aszimmetrikus kulcs, amely egy ügyfél tulajdonában lévő és felügyelt Azure Key Vault (az Azure felhőalapú külső kulcskezelő rendszere) tárolja, és soha nem hagyja el a kulcstartót. A TDE-védőt létrehozhatja a kulcstartó, vagy átadhatja a kulcstartóba egy helyszíni hardveres biztonsági modul (HSM) eszközről. SQL Database, SQL Managed Instance és Azure Synapse engedélyt kell adni az ügyfél tulajdonában lévő kulcstartónak a DEK visszafejtéséhez és titkosításához. Ha visszavonja a kiszolgáló kulcstartóhoz való engedélyeit, az adatbázis nem lesz elérhető, és minden adat titkosítva lesz.

Az Azure Key Vault-integrációval rendelkező TDE-vel a felhasználók vezérelhetik a kulcskezelési feladatokat, beleértve a kulcsrotálásokat, a kulcstartó engedélyeit, a kulcsok biztonsági mentését, valamint az Összes TDE-védő naplózását/jelentéskészítését az Azure Key Vault funkcióval. Key Vault központi kulcskezelést biztosít, szorosan figyelt HSM-eket használ, és lehetővé teszi a kulcsok és az adatok kezelése közötti feladatok elkülönítését a biztonsági szabályzatoknak való megfelelés érdekében. Az Azure SQL Database és a Azure Synapse BYOK-ról az Azure Key Vault-integrációval történő transzparens adattitkosítás című témakörben olvashat bővebben.

A TDE Azure Key Vault-integrációval való használatához tekintse meg a transzparens adattitkosítás bekapcsolását ismertető útmutatót a Key Vault saját kulcsával.

Transzparens adattitkosítással védett adatbázis áthelyezése

Az Azure-beli műveletekhez nem kell visszafejtenie az adatbázisokat. A forrásadatbázis vagy az elsődleges adatbázis TDE-beállításai transzparens módon öröklődnek a célon. A belefoglalt műveletek a következőket foglalják magukban:

• Georedundáns visszaállítás
• Önkiszolgáló időponthoz kötött visszaállítás
• Törölt adatbázis visszaállítása
• Aktív georeplikáció
• Adatbázispéldány létrehozása
• Biztonsági mentési fájl visszaállítása Azure SQL Managed Instance

Fontos

A szolgáltatás által felügyelt TDE által titkosított adatbázisok manuális COPY-ONLY biztonsági mentése nem támogatott a Azure SQL Managed Instance, mivel a titkosításhoz használt tanúsítvány nem érhető el. Az időponthoz kötött visszaállítás funkcióval áthelyezheti az ilyen típusú adatbázisokat egy másik SQL Managed Instance, vagy átválthat az ügyfél által felügyelt kulcsra.

TDE által védett adatbázis exportálásakor az adatbázis exportált tartalma nem lesz titkosítva. Ez az exportált tartalom titkosítatlan BACPAC-fájlokban van tárolva. Ügyeljen arra, hogy a BACPAC-fájlokat megfelelően védje, és engedélyezze a TDE-t az új adatbázis importálásának befejezése után.

Ha például a BACPAC-fájlt egy SQL Server példányból exportálja, az új adatbázis importált tartalma nem lesz automatikusan titkosítva. Hasonlóképpen, ha a BACPAC-fájlt egy SQL Server példányba importálja, az új adatbázis sem lesz automatikusan titkosítva.

Az egyetlen kivétel az adatbázis SQL Database-be és onnan történő exportálása. A TDE engedélyezve van az új adatbázisban, de maga a BACPAC-fájl még mindig nincs titkosítva.

Transzparens adattitkosítás kezelése

Az Azure Portal

A TDE kezelése a Azure Portal.

A TDE Azure Portal keresztüli konfigurálásához Azure-tulajdonosként, közreműködőként vagy SQL Security Managerként kell csatlakoznia.

Engedélyezze és tiltsa le a TDE-t az adatbázis szintjén. A Azure SQL Managed Instance a Transact-SQL (T-SQL) használatával kapcsolhatja be és ki a TDE-t egy adatbázison. A Azure SQL Database és a Azure Synapse esetében az adatbázis TDE-jének kezelése a Azure Portal, miután bejelentkezett az Azure rendszergazdai vagy közreműködői fiókjával. Keresse meg a TDE-beállításokat a felhasználói adatbázis alatt. Alapértelmezés szerint a rendszer a szolgáltatás által felügyelt transzparens adattitkosítást használja. A rendszer automatikusan létrehoz egy TDE-tanúsítványt az adatbázist tartalmazó kiszolgálóhoz.

A TDE főkulcsot( más néven TDE-védőt) a kiszolgáló vagy a példány szintjén állíthatja be. Ha a TDE-t BYOK-támogatással szeretné használni, és egy kulccsal szeretné védeni az adatbázisokat Key Vault, nyissa meg a TDE-beállításokat a kiszolgáló alatt.

PowerShell

A TDE kezelése a PowerShell használatával.

Megjegyzés

Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Fontos

A PowerShell Azure Resource Manager modul továbbra is támogatott, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegesen azonosak.

A TDE PowerShellen keresztüli konfigurálásához Azure-tulajdonosként, közreműködőként vagy SQL Security Managerként kell csatlakoznia.

Parancsmagok Azure SQL Database és Azure Synapse

Használja az alábbi parancsmagokat Azure SQL Database és Azure Synapse:

Parancsmag	Leírás
Set-AzSqlDatabaseTransparentDataEncryption	Engedélyezi vagy letiltja az adatbázisok transzparens adattitkosítását.
Get-AzSqlDatabaseTransparentDataEncryption	Lekéri egy adatbázis transzparens adattitkosítási állapotát.
Get-AzSqlDatabaseTransparentDataEncryptionActivity	Ellenőrzi az adatbázis titkosítási állapotát.
Add-AzSqlServerKeyVaultKey	Hozzáad egy Key Vault kulcsot egy kiszolgálóhoz.
Get-AzSqlServerKeyVaultKey	Lekéri a kiszolgáló Key Vault kulcsait
Set-AzSqlServerTransparentDataEncryptionProtector	Beállítja a kiszolgáló transzparens adattitkosítási védőeszközét.
Get-AzSqlServerTransparentDataEncryptionProtector	Lekéri a transzparens adattitkosítási védőt
Remove-AzSqlServerKeyVaultKey	Eltávolít egy Key Vault kulcsot a kiszolgálóról.

Fontos

A Azure SQL Managed Instance a T-SQL ALTER DATABASE paranccsal kapcsolja be és ki a TDE-t adatbázisszinten, és ellenőrizze a PowerShell-példaszkriptet a TDE példányszinten való kezeléséhez.

Transact-SQL

A TDE kezelése a Transact-SQL használatával.

Csatlakozás az adatbázisba egy olyan bejelentkezéssel, amely rendszergazda vagy a főadatbázis dbmanager szerepkörének tagja.

Parancs	Leírás
ALTER DATABASE (Azure SQL Database)	SET ENCRYPTION ON/OFF – Adatbázis titkosítása vagy visszafejtése
sys.dm_database_encryption_keys	Adatokat ad vissza az adatbázis titkosítási állapotáról és a hozzá tartozó adatbázis-titkosítási kulcsokról
sys.dm_pdw_nodes_database_encryption_keys	Adatokat ad vissza az egyes Azure Synapse csomópontok titkosítási állapotáról és a hozzá tartozó adatbázis-titkosítási kulcsokról

A Transact-SQL használatával nem lehet kulcsra váltani a TDE-védőt Key Vault. Használja a PowerShellt vagy a Azure Portal.

REST API

A TDE kezelése a REST API használatával.

A TDE REST API-val történő konfigurálásához azure-tulajdonosként, közreműködőként vagy SQL Security Managerként kell csatlakoznia. Használja az alábbi parancsokat Azure SQL Database és Azure Synapse:

Parancs	Leírás
Kiszolgáló létrehozása vagy frissítése	Hozzáad egy Azure Active Directory identitást egy kiszolgálóhoz. (Key Vault hozzáférésének megadására szolgál)
Kiszolgálókulcs létrehozása vagy frissítése	Hozzáad egy Key Vault kulcsot egy kiszolgálóhoz.
Kiszolgálókulcs törlése	Eltávolít egy Key Vault kulcsot a kiszolgálóról.
Kiszolgálókulcsok lekérése	Lekér egy adott Key Vault kulcsot egy kiszolgálóról.
Kiszolgálókulcsok listázása kiszolgáló szerint	Lekéri a kiszolgáló Key Vault kulcsait.
Titkosítási védő létrehozása vagy frissítése	Beállítja egy kiszolgáló TDE-védőjének beállítását.
Titkosítási védő lekérése	Lekéri a kiszolgáló TDE-védőt.
Titkosítási védők listázása kiszolgáló szerint	Lekéri egy kiszolgáló TDE-védőit.
Transzparens adattitkosítás-konfiguráció létrehozása vagy frissítése	Engedélyezi vagy letiltja a TDE-t egy adatbázishoz.
Transzparens adattitkosítás konfigurációjának lekérése	Lekéri egy adatbázis TDE-konfigurációját.
Transzparens adattitkosítás konfigurációs eredmények listázása	Lekéri egy adatbázis titkosítási eredményét.

Következő lépések

További információ a kapcsolódó fogalmakról az alábbi cikkekben:

• az Azure-beli virtuális gépen futó SQL Server az Key Vault aszimmetrikus kulcsát is használhatja. A konfigurációs lépések eltérnek a SQL Database és SQL Managed Instance aszimmetrikus kulcsától. További információ: Bővíthető kulcskezelés az Azure Key Vault (SQL Server) használatával.
• A TDE általános leírása: Transzparens adattitkosítás.
• A Azure SQL Database, Azure SQL Managed Instance és Azure Synapse BYOK-támogatásával rendelkező TDE-vel kapcsolatos további információkért lásd: Transzparens adattitkosítás a Saját kulcs használata támogatással.
• Ha a TDE-t a Saját kulcs használata támogatással szeretné használni, tekintse meg a transzparens adattitkosítás bekapcsolásáról szóló útmutatót Key Vault saját kulcsával.
• A Key Vault kapcsolatos további információkért tekintse meg a kulcstartóhoz való biztonságos hozzáférést ismertető témakört.