Extensible Key Management tramite l'insieme di credenziali delle chiavi di Azure (SQL Server)

Si applica a: sìSQL Server (tutte le versioni supportate)

Il Connettore SQL Server per Insieme credenziali chiavi Microsoft Azure consente alla crittografia di SQL Server di usare il servizio dell'insieme di credenziali delle chiavi di Azure come provider di Extensible Key Management (EKM) per proteggere le SQL Server chiavi di crittografia.

Questo argomento descrive il Connettore SQL Server . Altre informazioni sono disponibili in Procedura di installazione di Extensible Key Management con l'insieme di credenziali delle chiavi di Azure, Usare Connettore SQL Server con le funzionalità di crittografia SQLe Manutenzione e risoluzione dei problemi del Connettore SQL Server.

Che cos'è Extensible Key Management (EKM) e perché usarlo?

SQL Server include diversi tipi di crittografia che consentono di proteggere i dati sensibili, inclusi Transparent Data Encryption (TDE), Crittografia a livello di colonna (CLE) e Crittografia dei backup. Nella gerarchia delle chiavi tradizionale di tutti questi casi i dati vengono crittografati usando una chiave (DEK) simmetrica. Per proteggerla ulteriormente, tale chiave viene crittografata con una gerarchia di chiavi archiviate in SQL Server. L'alternativa a questo modello è il modello di provider EKM. L'architettura del provider EKM consente a SQL Server di proteggere le chiavi DEK usando una chiave asimmetrica archiviata all'esterno di SQL Server in un provider del servizio di crittografia esterno. Questo modello aggiunge un altro livello di sicurezza e separa la gestione delle chiavi e dei dati.

L'immagine seguente confronta la tradizionale gerarchia delle chiavi con la gestione del servizio al sistema dell'insieme di credenziali delle chiavi di Azure.

Diagramma che confronta la tradizionale gerarchia delle chiavi con la gestione del servizio al sistema di Azure Key Vault.

Il connettore funge da ponte tra e Azure Key Vault, quindi può sfruttare la scalabilità, le prestazioni elevate e la disponibilità elevata SQL Server SQL Server del Azure Key Vault SQL Server servizio. L'immagine seguente rappresenta il funzionamento della gerarchia delle chiavi nell'architettura del provider EKM con l'insieme di credenziali delle chiavi di Azure e il Connettore SQL Server .

L'insieme di credenziali delle chiavi di Azure può essere usato con le installazioni di SQL Server nelle macchine virtuali di Microsoft Azure e per i server locali. Il servizio dell'insieme di credenziali delle chiavi consente inoltre di usare i moduli di protezione hardware (HSM) controllati e monitorati rigorosamente per un livello di protezione maggiore per le chiavi di crittografia asimmetriche. Per altre informazioni sull'insieme di credenziali delle chiavi, vedere Insieme di credenziali delle chiavi di Azure.

L'immagine seguente illustra il flusso di processo di EKM con l'insieme di credenziali delle chiavi. I numeri dei passaggi del processo nell'immagine non sono concepiti per corrispondere ai numeri dei passaggi della configurazione riportati di seguito.

EKM di SQL Server con Azure Key Vault

Nota

Le versioni 1.0.0.440 e precedenti sono state sostituite e non sono più supportate negli ambienti di produzione. Eseguire l'aggiornamento alla versione 1.0.1.0 o successiva visitando l'Area download Microsoft e seguendo le istruzioni nella pagina Manutenzione e risoluzione dei problemi di Connettore SQL Server in "Aggiornamento del Connettore SQL Server".

Per il passaggio successivo, vedere Procedura di installazione di Extensible Key Management con l'insieme di credenziali delle chiavi di Azure.

Per gli scenari di utilizzo, vedere Usare Connettore SQL Server con le funzionalità di crittografia SQL.

Vedere anche

Manutenzione e risoluzione dei problemi di Connettore SQL Server