Extensible Key Management tramite l'insieme di credenziali delle chiavi di Azure (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

QUESTO ARGOMENTO SI APPLICA A:sìSQL Server (a partire dalla versione 2008)noDatabase SQL di AzurenoAzure SQL Data Warehouse noParallel Data Warehouse THIS TOPIC APPLIES TO:yesSQL Server (starting with 2008)noAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

Il Connettore SQL ServerSQL Server per Insieme credenziali chiavi MicrosoftMicrosoft Azure consente alla crittografia di SQL ServerSQL Server di usare il servizio dell'insieme di credenziali delle chiavi di Azure come provider di Extensible Key Management (EKM) per proteggere le SQL ServerSQL Server chiavi di crittografia.The SQL ServerSQL Server Connector for MicrosoftMicrosoft Azure Key Vault enables SQL ServerSQL Server encryption to use the Azure Key Vault service as an Extensible Key Management (EKM) provider to protect SQL ServerSQL Server encryption keys.

Questo argomento descrive il Connettore SQL ServerSQL Server.This topic describes the SQL ServerSQL Server connector. Altre informazioni sono disponibili in Procedura di installazione di Extensible Key Management con l'insieme di credenziali delle chiavi di Azure, Usare Connettore SQL Server con le funzionalità di crittografia SQLe Manutenzione e risoluzione dei problemi del Connettore SQL Server.Additional information is available in Setup Steps for Extensible Key Management Using the Azure Key Vault, Use SQL Server Connector with SQL Encryption Features, and SQL Server Connector Maintenance & Troubleshooting.

Che cos'è Extensible Key Management (EKM) e perché usarlo? What is Extensible Key Management (EKM) & Why Use it?

SQL ServerSQL Server include diversi tipi di crittografia che consentono di proteggere i dati sensibili, inclusi Transparent Data Encryption (TDE), Crittografia a livello di colonna (CLE) e [Crittografia dei backup](../../../relational-databases/backup-restore/backup-encryption.md).(../../../relational-databases/backup-restore/backup-encryption.md). Nella gerarchia delle chiavi tradizionale di tutti questi casi i dati vengono crittografati usando una chiave (DEK) simmetrica.In all of these cases, in this traditional key hierarchy, the data is encrypted using a symmetric data encryption key (DEK). Per proteggerla ulteriormente, tale chiave viene crittografata con una gerarchia di chiavi archiviate in SQL ServerSQL Server.The symmetric data encryption key is further protected by encrypting it with a hierarchy of keys stored in SQL ServerSQL Server. L'alternativa a questo modello è il modello di provider EKM.Instead of this model, the alternative is the EKM Provider Model. L'architettura del provider EKM consente a SQL ServerSQL Server di proteggere le chiavi DEK usando una chiave asimmetrica archiviata all'esterno di SQL ServerSQL Server in un provider del servizio di crittografia esterno.Using the EKM provider architecture enables SQL ServerSQL Server to protect the data encryption keys by using an asymmetric key stored outside of SQL ServerSQL Server in an external cryptographic provider. Questo modello aggiunge un altro livello di sicurezza e separa la gestione delle chiavi e dei dati.This model adds an additional layer of security and separates the management of keys and data.

L'immagine seguente confronta la tradizionale gerarchia delle chiavi con la gestione del servizio al sistema dell'insieme di credenziali delle chiavi di Azure.The following image compares the traditional service-manage key hierarchy with the Azure Key Vault system.

ekm-key-hierarchy-traditionalekm-key-hierarchy-traditional

Il Connettore SQL ServerSQL Server funge da ponte tra SQL ServerSQL Server e l'insieme di credenziali delle chiavi di Azure, in modo che SQL ServerSQL Server possa sfruttare la scalabilità, le prestazioni elevate e la disponibilità elevata del servizio dell'insieme di credenziali delle chiavi di Azure.The SQL ServerSQL Server Connector serves as a bridge between SQL ServerSQL Server and Azure Key Vault, so SQL ServerSQL Server can leverage the scalability, high performance, and highly availability of the Azure Key Vault service. L'immagine seguente rappresenta il funzionamento della gerarchia delle chiavi nell'architettura del provider EKM con l'insieme di credenziali delle chiavi di Azure e il Connettore SQL ServerSQL Server .The following image represents how the key hierarchy works in the EKM provider architecture with Azure Key Vault and SQL ServerSQL Server Connector.

L'insieme di credenziali delle chiavi di Azure può essere usato con le installazioni di SQL ServerSQL Server nelle macchine virtuali di MicrosoftMicrosoft Azure e per i server locali.Azure Key Vault can be used with SQL ServerSQL Server installations on MicrosoftMicrosoft Azure Virtual Machines and for on-premises servers. Il servizio dell'insieme di credenziali delle chiavi consente inoltre di usare i moduli di protezione hardware (HSM) controllati e monitorati rigorosamente per un livello di protezione maggiore per le chiavi di crittografia asimmetriche.The key vault service also provides the option to use tightly controlled and monitored Hardware Security Modules (HSMs) for a higher level of protection for asymmetric encryption keys. Per altre informazioni sull'insieme di credenziali delle chiavi, vedere Insieme di credenziali delle chiavi di Azure.For more information about the key vault, see Azure Key Vault.

L'immagine seguente illustra il flusso di processo di EKM con l'insieme di credenziali delle chiavi.The following image summarizes the process flow of EKM using the key vault. I numeri dei passaggi del processo nell'immagine non sono concepiti per corrispondere ai numeri dei passaggi della configurazione riportati di seguito.(The process step numbers in the image are not meant to match the setup step numbers that follow the image.)

EKM di SQL Server con l'insieme di credenziali delle chiave di AzureSQL Server EKM using the Azure Key Vault

Nota

Le versioni 1.0.0.440 e precedenti sono state sostituite e non sono più supportate negli ambienti di produzione.Versions 1.0.0.440 and older have been replaced and are no longer supported in production environments. Eseguire l'aggiornamento alla versione 1.0.1.0 o successiva visitando l' Area download Microsoft e seguendo le istruzioni nella pagina Manutenzione e risoluzione dei problemi del Connettore SQL Server in "Aggiornamento del Connettore SQL Server".Upgrade to version 1.0.1.0 or later by visiting the Microsoft Download Center and using the instructions on the SQL Server Connector Maintenance & Troubleshooting page under “Upgrade of SQL Server Connector.”

Per il passaggio successivo, vedere Procedura di installazione di Extensible Key Management con l'insieme di credenziali delle chiavi di Azure.For the next step, see Setup Steps for Extensible Key Management Using the Azure Key Vault.

Per gli scenari di utilizzo, vedere Usare Connettore SQL Server con le funzionalità di crittografia SQL.For use scenarios, see Use SQL Server Connector with SQL Encryption Features.

Vedere ancheSee Also

Manutenzione e risoluzione dei problemi del Connettore SQL ServerSQL Server Connector Maintenance & Troubleshooting