Бөлісу құралы:

Шифрлау кілтін басқару

  • Мақала

Барлық Microsoft Dataverse орталары дискіге жазылған кезде деректердің нақты уақытта шифрлануын орындау үшін әрі әрекетсіз күйдегі шифрлау ретінде белгілі SQL серверінің Transparent Data Encryption (TDE) шифрлауын пайдаланады.

Әдепкі бойынша, Microsoft корпорациясы орныңызға орталарыңыз үшін дерекқорды шифрлау кілтін сақтайды және басқарады. Microsoft Power Platform басқару орталығындағы кілттерді басқару мүмкіндігі әкімшілерге Dataverse бағдарламасы қатысушысымен байланысты дерекқорды шифрлау кілтін өздігінен басқару қабілетін береді.

Маңызды

  • 2023 жылдың 2 маусымындағы жағдай бойынша бұл қызмет Тұтынушы басқаратын шифрлау кілтіне дейін жаңартылды. Жеке шифрлау кілтін басқаруы қажет жаңа тұтынушылар жаңартылған қызметті пайдаланады, себебі бұл қызмет енді ұсынылмайды.
  • Өздігінен басқарылатын дерекқор шифрлау кілттері тек 1000-нан асатын Power Apps әр пайдаланушы лицензиясы немесе 1000-нан асатын Dynamics 365 Enterprise лицензиясы немесе бір клиенттегі екеуінің қосындысынан шығатын 1000-нан асатын лицензиясы бар тұтынушылар үшін қолжетімді. Осы бағдарламаға қосылу үшін қолдау көрсету сұрауын жіберіңіз.

Шифрлау кілтін басқару мүмкіндігі тек Azure SQL ортасының дерекқорларына қолданылады. Келесі мүмкіндіктер мен қызметтер өздерінің деректерін шифрлау үшін Microsoft басқаратын шифрлау кілтін пайдалануды жалғастыруда және өзін-өзі басқаратын шифрлау кілтімен шифрлау мүмкін емес:

  • Копилоттар және генеративті AI мүмкіндіктері Microsoft Power Platform және Microsoft Dynamics 365
  • Dataverse бойынша іздеу
  • Эластикалық үстелдер
  • Mobile Offline
  • Әрекет журналы (Microsoft 365 порталы)
  • Exchange (сервер тарапында синхрондау)

Ескертпе

  • Өздігінен басқарылатын дерекқорды шифрлау кілтінің функциясы осы мүмкіндікті пайдаланбас бұрын қатысушы үшін Microsoft корпорациясы арқылы қосылуы тиіс.
  • Орта үшін Деректерді шифрлауды басқару мүмкіндіктерін пайдалану үшін Microsoft арқылы дерекқорды шифрлау кілтін өздігінен басқару мүмкіндігі қосылғаннан кейін орта жасалуы тиіс.
  • Мүмкіндік жалға алушыда қосылғаннан кейін барлық жаңа орталар тек Azure SQL жадымен жасалады. Бұл орталар өз кілтіңізбен (BYOK) немесе Microsoft басқаратын кілтпен шифрланғанына қарамастан, файлды жүктеп салу өлшеміне шектеулер бар, Cosmos және Datalake қызметтерін пайдалана алмайды және Dataverse Іздеу индекстері Microsoft басқаратын кілтпен шифрланады. Бұл қызметтерді пайдалану үшін тұтынушы басқаратын кілтке көшу керек.
  • Өлшемдері 128 МБ-тан аз файлдар және суреттер егер ортаңыз 9.2.21052.00103 немесе одан жоғары нұсқасы болса, пайдалануға болады.
  • Қолданыстағы орталардың көпшілігінде Azure SQL болып табылмайтын дерекқорларда сақталған файл және журнал болады. Бұл орталарды өздігінен басқарылатын шифрлау кілтіне таңдау мүмкін емес. Өздігінен басқарылатын шифрлау кілтімен тек жаңа орталарды (осы бағдарламаға тіркелгеннен кейін) қосуға болады.

Кілттерді басқаруға кіріспе

Әкімшілер кілтті басқару мүмкіндігімен жеке шифрлау кілтін бере алады немесе орта дерекқорын қорғауға пайдаланылатын жеке құрылған шифрлау кілтін ала алады.

Кілттерді басқару мүмкіндігі PFX және BYOK шифрлау кілті файлдарына қолдау көрсетеді, мысалы, HSM модулінде сақталған. Шифрлау кілтін жүктеп салу пәрменін пайдалану үшін ашық және жеке шифрлау кілті қажет болады.

Кілттерді басқару мүмкіндігі шифрлау кілттерін қауіпсіз түрде сақтау үшін Azure Key Vault қызметін пайдаланып, шифрлау кілттерін басқару қиындығын жеңілдетеді. Azure Key Vault бұлттық бағдарламалар мен қызметтер пайдаланатын криптографиялық кілттер мен құпияларды қорғауға көмектеседі. Кілттерді басқару мүмкіндігі Azure Key Vault жазылымының болуын талап етпейді және көптеген жағдайларда қойма ішіндегі Dataverse жүйесіне пайдаланылған шифрлау кілттеріне қатынасудың қажеті болмайды.

Кілттерді басқару мүмкіндігі мына тапсырмаларды орындау мүмкіндігін береді.

  • Орталармен байланысты дерекқорды шифрлау кілттерін өздігінен басқару қабілетін беріңіз.

  • Жаңа шифрлау кілттерін жасаңыз немесе бар .PFX немесе .BYOK шифрлау кілті файлдарын жүктеп салыңыз.

  • Қатысушы орталарын құлыптаңыз және құлпын ашыңыз.

    Ескерту

    Қатысушы құлыптаулы болса, қатысушыдағы барлық орталарға ешкім кіре алмайды. Қосымша ақпарат: Қатысушыны құлыптау.

Кілттерді басқарған кезде ықтимал қауіптерді түсіну

Кез келген бизнеске маңызды бағдарламада ұйымдағы әкімшілік деңгейіндегі рұқсаты бар қызметкерлерге сену керек. Кілттерді басқару мүмкіндігін пайдаланбас бұрын, дерекқорды шифрлау кілттерін басқарған кезде қауіпті түсіну қажет. Ұйымда жұмыс істейтін қасақана әкімшінің (ұйымның қауіпсіздігіне немесе бизнес процестеріне зиян тигізу ниеті бар әкімші деңгейіндегі рұқсат берілген немесе осындай рұқсатты алған тұлға) кілттерді басқару мүмкіндігін кілт жасап, қатысушыдағы барлық орталарды құлыптауға пайдалануы мүмкін.

Оқиғалардың мына тізбегін қарастырыңыз.

Зиянкес әкімші Power Platform басқару орталығына кіріп, Орталар қойыншасына өтіп, Шифрлау кілтін басқару параметрін таңдайды. Одан кейін зиянкес әкімші құпиясөзбен жаңа кілт жасайды және шифрлау кілтін жергілікті дискіге жүктеп, жаңа кілтті белсендіреді. Енді барлық орта дерекқорлары жаңа кілтпен шифрланады. Одан кейін зиянкес әкімші қатысушыны жаңа жүктелген кілтпен құлыптап, одан кейін жүктелген шифрлау кілтін алады немесе жояды.

Бұл әрекеттер нәтижесінде қатысушының барлық орталарына онлайн қатынас ажыратылады және барлық дерекқордың сақтық көшірмелерін қалпына келтіруге болмайды.

Маңызды

Зиянкес әкімшінің дерекқорды құлыптау арқылы бизнес әрекеттерін үзуіне жол бермеу үшін басқарылатын кілттер мүмкіндігі шифрлау кілті өзгертілгеннен немесе белсендірілгеннен кейін қатысушы орталарын 72 сағат бойы құлыптауға рұқсат етпейді. Бұл басқа әкімшілерге кез келген рұқсатсыз кілт өзгерістерін шегіндіруге 72 сағатқа дейін қамтамасыз етеді.

Шифрлау кілтінің талаптары

Егер жеке шифрлау кілтін берсеңіз, кілт Azure Key Vault қабылдаған осы талаптарға жауап беруі тиіс.

  • Шифрлау кілті файлының пішімі PFX немесе BYOK болуы керек.
  • 2048 биттік RSA.
  • RSA-HSM кілт түрі (Microsoft қолдау көрсету сұрауын қажет етеді).
  • PFX шифрлау кілтінің файлдары құпия сөзбен қорғалу керек.

HSM арқылы қорғалған кілтті жасау және интернет арқылы тасымалдау туралы қосымша ақпарат алу үшін Azure Key Vault үшін HSM арқылы қорғалған кілттерді жасау және тасымалдау әдісі бөлімін қараңыз. Тек nCipher Vendor HSM кілтіне қолдау көрсетіледі. HSM кілтін жасамас бұрын, орта аймағы үшін жазылым идентификаторын алу мақсатында Power Platform басқару орталығы Шифрлау кілттерін басқару/Жаңа кілт жасау тармағына өтіңіз. Кілт жасау үшін осы жазылым идентификаторын HSM файлына көшіріп, қою керек. Бұл файлды тек Azure Key Vault қызметі ғана ашатындығына кепілдік береді.

Кілттерді басқару тапсырмалары

Кілтті басқару тапсырмаларын жеңілдету үшін, тапсырмалар үш аймаққа бөлінеді:

  1. Қатысушының шифрлау кілтін құру немесе жүктеп салу
  2. Қатысушының шифрлау кілтін белсендіру
  3. Ортаның шифрлауын басқару

Әкімшілер осы жерде сипатталған клиентті қорғауға арналған негізгі басқару тапсырмаларын орындау үшін Power Platform басқару орталығын немесе Power Platform басқару модулі командлеттерін пайдалана алады.

Қатысушының шифрлау кілтін құру немесе жүктеп салу

Барлық шифрлау кілттері Azure Key Vault қоймасында сақталады және кез келген уақытта бір белсенді кілтке айналуы мүмкін. Белсенді кілт қатысушыдағы барлық орталарды шифрлау үшін пайдаланылатындықтан, шифрлауды басқару мүмкіндігі қатысушы деңгейінде басқарылады. Кілт іске қосылғаннан кейін әрбір жеке ортаны таңдап, оны шифрлау үшін қолдануға болады.

Орта үшін кілттерді басқару мүмкіндігін бірінші рет орнату немесе бұрын өздігінен басқарылатын орта үшін шифрлау кілтін өзгерту (немесе айналдыру) үшін осы процедураны пайдаланыңыз.

Ескерту

Осында сипатталған қадамдарды алғаш рет орындаған кезде шифрлау кілттерінің өздігінен басқарылуына қосыласыз. Қосымша ақпарат: Кілттерді басқарған кезде ықтимал қауіптерді түсіну.

  1. Power Platform басқару орталығына әкімші (Dynamics 365 әкімшісі, глобалдық әкімші немесе Microsoft Power Platform әкімшісі) ретінде кіріңіз.

  2. Орталар қойыншасын таңдап, құралдар тақтасынан Шифрлау пернелерін басқару параметрін таңдаңыз.

  3. Кілттерді басқару қаупін растау үшін Растау параметрін таңдаңыз.

  4. Құралдар тақтасынан Жаңа кілт параметрін таңдаңыз.

  5. Сол жақ тақтада кілтті құру немесе жүктеп салу мәліметтерін толтырыңыз:

    • Аудан параметрін таңдаңыз. Қатысушыда бірнеше аудан болса ғана осы опция көрсетіледі.
    • Кілт атауын енгізіңіз.
    • Келесі параметрлерден таңдаңыз:

  6. Келесі пәрменін таңдаңыз.

Жаңа кілт құру (.pfx)

  1. Құпиясөзді енгізіп, растау үшін құпиясөзді қайта енгізіңіз.
  2. Жасау параметрін таңдап, шолғышта жасалған файл туралы хабарландыруды таңдаңыз.
  3. Шифрлау кілтінің .PFX файлы веб-шолғышыңыздың әдепкі жүктеу қалтасына жүктеледі. Файлды қорғалған орынға сақтаңыз (бұл кілтті құпиясөзімен бірге сақтық көшіруді ұсынамыз).

Кілтті жүктеп салу (.pfx немесе .byok)

  1. Кілтті жүктеп салу параметрін таңдап, .pfx немесе .byok1 файлын таңдап, Ашу параметрін таңдаңыз.
  2. Кілттің құпиясөзін енгізіп, Жасау параметрін таңдаңыз.

1 .byok шифрлау кілтінің файлдары үшін жергілікті HSM ішінен шифрлау кілтін экспорттаған кезде экранда көрсетілген жазылым идентификаторын пайдаланыңыз. Қосымша ақпарат: Azure Key Vault қоймасының HSM қорғалған кілттерін құру және тасымалдау жолы.

Ескертпе

Кілт процесін басқаруға арналған әкімші қадамдарының санын азайту үшін кілт бірінші рет жүктелген кезде автоматты түрде іске қосылады. Барлық кейінгі кілт жүктеулері кілтті іске қосу үшін қосымша қадамды қажет етеді.

Қатысушының шифрлау кілтін белсендіру

Қатысушы үшін шифрлау кілті құрылғаннан немесе жүктеп салынғаннан кейін оны іске қосуға болады.

  1. Power Platform басқару орталығына әкімші (Dynamics 365 әкімшісі, глобалдық әкімші немесе Microsoft Power Platform әкімшісі) ретінде кіріңіз.
  2. Орталар қойыншасын таңдап, құралдар тақтасынан Шифрлау пернелерін басқару параметрін таңдаңыз.
  3. Кілттерді басқару қаупін растау үшін Растау параметрін таңдаңыз.
  4. Қолжетімді күйіндегі кілтті таңдап, одан кейін құралдар тақтасынан Кілтті белсендіру параметрін таңдаңыз.
  5. Негізгі өзгерісті растау үшін Растау пәрменін таңдаңыз.

Қатысушының кілтін белсендірген кезде кілтті басқару қызметінің кілтті белсендіруіне біраз уақыт кетеді. Жаңа немесе жүктеп салынған кілт белсендірілген кезде Кілт күйі күйінде Орнату деп көрсетіледі. Кілт белсендірілген кезде мыналар орын алады:

  • Барлық шифрланған орталар белсенді кілтпен автоматты түрде шифрланады (бұл әрекеттің кідірісі болмайды).
  • Шифрлау кілті белсендірілсе, ол Microsoft корпорациясы қамтамасыз еткен күйден өздігінен басқарылатын шифрлау кілтіне өзгертілген барлық орталарға қолданылады.

Маңызды

Барлық орталарды бір кілтпен басқаруға болатын кілттерді басқару процесін жеңілдету үшін, белсенді кілтті құлыптаулы орталарда жаңарту мүмкін емес. Жаңа кілтті белсендіру алдында барлық құлыптаулы орталар құлыптан босатылуы қажет. Егер құлыптан босату қажеті жоқ құлыптаулы орталар болса, оларды жою қажет.

Ескертпе

Шифрлау кілті белсендіргеннен кейін 24 сағат ішінде басқа кілтті белсендіру мүмкін емес.

Ортаның шифрлауын басқару

Әдепкі бойынша әрбір орта Microsoft корпорациясы қамтамасыз еткен шифрлау кілтімен шифрланады. Қатысушы үшін шифрлау кілті белсендірілген соң, әкімшілер белсенді шифрлау кілтін пайдалану үшін әдепкі шифрлауды өзгерте алады. Белсендірілген кілтті пайдалану үшін келесі қадамдарды орындаңыз.

Ортаға шифрлау кілтін қолдану

  1. Power Platform басқару орталығына орта әкімшісі немесе жүйелік әкімші рөлінің тіркелгі деректерімен кіріңіз.
  2. Орталар қойыншасын таңдаңыз.
  3. Microsoft қамтамасыз еткен шифрланған ортаны ашыңыз.
  4. Барлығын көру параметрін таңдаңыз.
  5. Ортаны шифрлаубөлімінен Басқару параметрін таңдаңыз.
  6. Кілттерді басқару қаупін растау үшін Растау параметрін таңдаңыз.
  7. Белсендірілген кілтті пайдалану үшін шифрлау өзгерісін қабылдау үшін Бұл кілтті қолдану параметрін таңдаңыз.
  8. Кілтті тікелей басқарып отырғаныңызды және осы әрекеттің кідірісі бар екенін растау үшін Растау параметрін таңдаңыз.

Басқарылатын шифрлау кілтін Microsoft қамтамасыз еткен шифрлау кілтіне қайтару

Microsoft қамтамасыз еткен шифрлау кілтіне оралу ортаны Microsoft сіз үшін шифрлау кілтін басқаратын әдепкі әрекетке теңшейді.

  1. Power Platform басқару орталығына орта әкімшісі немесе жүйелік әкімші рөлінің тіркелгі деректерімен кіріңіз.
  2. Орталар қойыншасын таңдап, өздігінен басқарылатын кілтпен шифрланған ортаны таңдаңыз.
  3. Барлығын көру параметрін таңдаңыз.
  4. Ортаны шифрлау бөлімінен Басқару параметрін таңдап, Растау параметрін таңдаңыз.
  5. Стандартты шифрлау кілтін басқаруға оралу астынан Қайтару параметрін таңдаңыз.
  6. Өндіріс орталарында орта атауын енгізу арқылы ортаны растаңыз.
  7. Стандартты шифрлау кілтін басқаруға оралу үшін Растау параметрін таңдаңыз.

Қатысушыны құлыптау

Әрбір қатысушы үшін бір ғана белсенді кілт бар болғандықтан, қатысушының шифрлауын құлыптау қатысушыдағы барлық орталарды өшіреді. Құлыпталған барлық орта ұйымдағы Power Platform қызмет әкімшісі оны құлыптау үшін пайдаланылған кілтпен ашқанша Microsoft корпорациясын қоса барлығына қолжетімсіз күйде қалады.

Абайлаңыз

Қалыпты бизнес процесі аясында қатысушы орталарын мүлдем құлыптамау қажет. Dataverse қатысушысы құлыпталған кезде барлық орталар толығымен офлайн режимде қабылданады және оларға ешкім, оның ішінде Microsoft кіре алмайды. Сонымен қатар синхрондау және қызмет көрсету сияқты қызметтердің барлығы тоқтатылады. Қызметтен шығуды шешсеңіз, қатысушыны құлыптау онлайн деректеріңізге ешқашан ешкім қатынаса алмайтын етеді.
Қатысушы орталарын құлыптау туралы мынаны ескеріңіз:

  • Құлыптаулы орталарды сақтық көшірмеден қалпына келтіру мүмкін емес.
  • Егер 28 күн ішінде құлыптан босатылмаса, құлыптаулы орталар жойылады.
  • Шифрлау кілті өзгергеннен кейін 72 сағат ішінде орталарды құлыптай алмайсыз.
  • Қатысушыны құлыптау қатысушыдағы барлық белсенді орталарды құлыптайды.

Маңызды

  • Белсенді орталарды құлыптан босатар алдында құлыптаған соң, кемінде бір сағат күтуіңіз керек.
  • Құлыптау процесі басталғаннан кейін Белсенді немесе Қолжетімді күйдегі барлық шифрлау кілттері жойылады. Құлыптау процесі бір сағатқа созылуы мүмкін және осы уақыт ішінде құлыптаулы орталарды құлыптан босатуға болмайды.
  1. Power Platform басқару орталығына әкімші (Dynamics 365 әкімшісі, глобалдық әкімші немесе Microsoft Power Platform әкімшісі) ретінде кіріңіз.
  2. Орталар қойыншасын таңдап, пәрмен жолағынан Шифрлау пернелерін басқару параметрін таңдаңыз.
  3. Белсенді кілтті таңдап, Белсенді орталарды құлыптау параметрін таңдаңыз.
  4. Оң жақ тақтадан Белсенді кілтті жүктеп салу параметрін таңдап, кілтті шолып таңдап, құпиясөзді енгізіп, Құлыптау параметрін таңдаңыз.
  5. Нұсқау берілген кезде аудандағы барлық орталарды құлыптағыңыз келетінін растау үшін экранда көрсетілген мәтінді енгізіп, Растау параметрін таңдаңыз.

Құлыптаулы орталарды құлыптан босату

Орталарды құлыптан босату үшін, алдымен жүктеп салу параметрін таңдап, одан кейін қатысушыны құлыптау үшін қолданылған бір кілтпен қатысушыны шифрлау кілтін белсендіріңіз. Кілт белсендірілгеннен кейін құлыптаулы орталар автоматты түрде құлыптан босатылатынын ескеріңіз. Әрбір құлыптаулы орта жеке-жеке құлыптан босатылуы керек.

Маңызды

  • Белсенді орталарды құлыптан босатар алдында құлыптаған соң, кемінде бір сағат күтуіңіз керек.
  • Құлыптан босату процесі бір сағатқа созылуы мүмкін. Кілт құлпын ашқаннан кейін оны Ортаның шифрлауын басқару үшін пайдалануға болады.
  • Барлық құлыптаулы орталар құлыпталғанша жаңа кілтті құру немесе бұрыннан бар кілтті жүктеп салу мүмкін емес.
Шифрлау кілтін құлыптан босату
  1. Power Platform басқару орталығына әкімші (Dynamics 365 әкімшісі, глобалдық әкімші немесе Microsoft Power Platform әкімшісі) ретінде кіріңіз.
  2. Орталар қойыншасын таңдап, Шифрлау кілттерін басқару параметрін таңдаңыз.
  3. Құлыптаулы күйдегі кілтті таңдап, пәрмен жолағынан Кілтті құлыптан босату параметрін таңдаңыз.
  4. Құлыптаулы кілтті жүктеп салу параметрін таңдап, қатысушыны құлыптауға қолданылған кілтті шолып таңдап, құпиясөзді енгізіп, Құлыптан босату параметрін таңдаңыз. Кілт Орнату күйіне өтеді. Құлыптаулы орталарды құлыптан босату алдында кілттің Белсенді күйде болғанша күтуіңіз қажет.
  5. Ортаны құлыптан босату үшін мына бөлімді қараңыз.
Орталарды құлыптан босату

  1. Орталар қойыншасын таңдап, құлыптаулы орта атауын таңдаңыз.

    Шайпұл

    Қатарды таңдауға болмайды. Орта атауын таңдаңыз. Параметрлерді көру үшін ортаны ашыңыз.

  2. Мәліметтер бөлімінде оң жақта Мәліметтер тақтасын көрсету үшін Барлығын көру параметрін таңдаңыз.

  3. Ортаны шифрлау бөлімінде Мәліметтер тақтасынан Басқару параметрін таңдаңыз.

    Қоршаған орта туралы мәліметтер тақтасы.

  4. Ортаны шифрлау бетінен Құлыптан босату параметрін таңдаңыз.

    Ортаның құлпын ашу.

  5. Ортаны құлыптан босату қажеттілігін растау үшін Растау параметрін таңдаңыз.

  6. Қосымша орталарды құлыптан босату үшін алдыңғы қадамдарды қайталаңыз.

Орта дерекқорының операциялары

Тұтынушының қатысушысында Microsoft жүйесі арқылы басқарылатын кілтпен шифрланған орталар және тұтынушы арқылы басқарылатын кілтпен шифрланған орталар болуы мүмкін. Деректердің тұтастығын және деректердің қорғалуын сақтау үшін, орта дерекқорының операцияларын басқару кезінде келесі басқару элементтері қолжетімді болады.

  1. Қалпына келтіру Қайта жазылатын орта (қалпына келтірілген орта) сақтық көшірме алынған ортаға немесе сол тұтынушы арқылы басқарылатын кілтпен шифрланған басқа ортаға шектелген.

    Сақтық көшірмені қалпына келтіріңіз.

  2. Көшіру Қайта жазылатын орта (қоршаған ортаға көшірілген) сол тұтынушымен басқарылатын кілтпен шифрланған басқа ортаға шектелген.

    Ортаны көшіру.

    Ескертпе

    Егер тұтынушы арқылы басқарылатын ортада қолдау мәселесін шешу үшін қолдауды зерттеу ортасы жасалынған болса, көшірме ортасы әрекеті орындалмас бұрын қолдауды зерттеу ортасына арналған шифрлау кілті тұтынушы арқылы басқарылатын кілтке өзгертілуі керек.

  3. Қалпына келтіру Қоршаған ортаның шифрланған деректері сақтық көшірмелерді қоса, жойылады. Орта қалпына келтірілгеннен кейін, ортаны шифрлау Microsoft арқылы басқарылатын кілтке қайтарылады.

Келесіні де қараңыз:

SQL сервері: мөлдір деректерді шифрлау (TDE)