Transparante gegevensversleuteling voor SQL Database, SQL Managed Instance en Azure Synapse Analytics

Artikel
08/28/2021
9 minuten om te lezen

VAN TOEPASSING OP: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

TDE (Transparent Data Encryption) helpt bij het beveiligen van Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics tegen de bedreiging van schadelijke offlineactiviteit door data-at-rest te versleutelen. Het voert in realtime versleuteling en ontsleuteling van de database, bijbehorende back-ups en transactielogboekbestanden 'at-rest' uit, zonder dat er wijzigingen in de toepassing moeten worden aangebracht. TDE is standaard ingeschakeld voor alle nieuw geïmplementeerde Azure SQL-databases en moet handmatig worden ingeschakeld voor oudere databases van Azure SQL Database. Voor Azure SQL Managed Instance is TDE ingeschakeld op exemplaarniveau en nieuwe databases. TDE moet handmatig worden ingeschakeld voor Azure Synapse Analytics.

Notitie

Dit artikel is van toepassing op Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics (toegewezen SQL-pools (voorheen SQL DW)). Zie versleuteling Transparent Data Encryption voor documentatie over SQL toegewezen groepen in Synaps Azure Synapse Analytics e-werkruimten.

TDE voert realtime I/O-versleuteling en ontsleuteling van de gegevens op paginaniveau uit. Elke pagina wordt ontsleuteld wanneer deze wordt ingelezen in het geheugen en vervolgens versleuteld voordat deze naar een schijf wordt geschreven. TDE versleutelt de opslag van een volledige database met behulp van een symmetrische sleutel die de Database Encryption Key (DEK) wordt genoemd. Bij het opstarten van de database wordt de versleutelde DEK ontsleuteld en vervolgens gebruikt voor het ontsleutelen en opnieuw versleutelen van de databasebestanden in het SQL Server-engineproces. DEK wordt beveiligd door de TDE-beveiliging. TDE-beveiliging is een door de service beheerd certificaat (door de service beheerde transparante gegevensversleuteling) of een asymmetrische sleutel die is opgeslagen in Azure Key Vault (door de klant beheerde transparante gegevensversleuteling).

Voor Azure SQL Database en Azure Synapse wordt de TDE-beveiliging ingesteld op serverniveau en overgenomen door alle databases die aan die server zijn gekoppeld. Voor Azure SQL Managed Instance wordt de TDE-beveiliging ingesteld op exemplaarniveau en wordt deze overgenomen door alle versleutelde databases op dat exemplaar. De term server verwijst in dit document zowel naar de server als het exemplaar, tenzij anders wordt vermeld.

Belangrijk

Alle nieuw gemaakte databases in SQL Database worden standaard versleuteld met behulp van door de service beheerde transparante gegevensversleuteling. Bestaande SQL-databases die zijn gemaakt vóór mei 2017 en SQL-databases die zijn gemaakt via herstel, geo-replicatie en databasekopieën, worden standaard niet versleuteld. Bestaande SQL managed instance-databases die vóór februari 2019 zijn gemaakt, worden niet standaard versleuteld. SQL Beheerde exemplaardatabases die zijn gemaakt via herstel, nemen de versleutelingsstatus over van de bron. Als u een bestaande met TDE versleutelde database wilt herstellen, moet het vereiste TDE-certificaat eerst worden geïmporteerd in SQL managed instance.

Notitie

TDE kan niet worden gebruikt voor het versleutelen van systeemdatabases, zoals de hoofddatabase, in Azure SQL Database Azure SQL Managed Instance. De hoofddatabase bevat objecten die nodig zijn om de TDE-bewerkingen uit te voeren op de gebruikersdatabases. Het wordt aanbevolen geen gevoelige gegevens op te slaan in de systeemdatabases. Infrastructuurversleuteling wordt nu uitgerold, waardoor de systeemdatabases worden versleuteld, inclusief de hoofddatabase.

Door de service beheerde transparante gegevensversleuteling

In Azure is de standaardinstelling voor TDE dat de DEK wordt beveiligd door een ingebouwd servercertificaat. Het ingebouwde servercertificaat is uniek voor elke server en het gebruikte versleutelingsalgoritme is AES 256. Als een database een geo-replicatierelatie heeft, worden zowel de primaire als de secundaire geodatabase beveiligd door de bovenliggende serversleutel van de primaire database. Als twee databases zijn verbonden met dezelfde server, delen ze ook hetzelfde ingebouwde certificaat. Microsoft roteert deze certificaten automatisch in overeenstemming met het interne beveiligingsbeleid en de basissleutel wordt beveiligd door een intern geheim opslag van Microsoft. Klanten kunnen de naleving SQL Database managed instance SQL met het interne beveiligingsbeleid controleren in onafhankelijke controlerapporten van derden die beschikbaar zijn in het Vertrouwenscentrum van Microsoft.

Microsoft verplaatst en beheert de sleutels ook naadloos naar behoefte voor geo-replicatie en herstel.

Door de klant beheerde transparante gegevensversleuteling - Bring Your Own Key

Door de klant beheerde TDE wordt ook wel Bring Your Own Key (BYOK) voor TDE genoemd. In dit scenario is de TDE-beveiliging die de DEK versleutelt een door de klant beheerde asymmetrische sleutel die wordt opgeslagen in een door de klant beheerde en beheerde Azure Key Vault (het externe sleutelbeheersysteem in de cloud van Azure) en nooit de sleutelkluis verlaat. De TDE-beveiliging kan worden gegenereerd door de sleutelkluis of worden overgedragen naar de sleutelkluis vanaf een on-premises HSM-apparaat (Hardware Security Module). SQL Database, SQL Managed Instance en Azure Synapse moeten machtigingen worden verleend aan de sleutelkluis die eigendom is van de klant om de DEK te ontsleutelen en versleutelen. Als de machtigingen van de server voor de sleutelkluis zijn ingetrokken, is een database ontoegankelijk en worden alle gegevens versleuteld

Met TDE met Azure Key Vault-integratie kunnen gebruikers sleutelbeheertaken beheren, waaronder sleutelrotaties, sleutelkluismachtigingen, sleutelback-ups en controle/rapportage inschakelen voor alle TDE-beveiligingen met behulp van Azure Key Vault-functionaliteit. Key Vault biedt centraal sleutelbeheer, maakt gebruik van nauw bewaakte HMS's en maakt scheiding van taken tussen het beheer van sleutels en gegevens mogelijk om te voldoen aan de naleving van het beveiligingsbeleid. Zie Transparante gegevensversleuteling met Azure Key Vault-integratie Azure SQL Database en Azure Synapse meer informatie over BYOK.

Als u TDE wilt gaan gebruiken met Azure Key Vault-integratie, bekijkt u de handleiding Transparante gegevensversleuteling in-/uit met behulp van uw eigen sleutel Key Vault.

Een met transparante gegevensversleuteling beveiligde database verplaatsen

U hoeft geen databases te ontsleutelen voor bewerkingen in Azure. De TDE-instellingen voor de brondatabase of primaire database worden transparant overgenomen op het doel. Bewerkingen die zijn opgenomen, omvatten:

Geo-herstel
Herstel naar een bepaald tijdstip via selfservice
Herstel van een verwijderde database
Actieve geo-replicatie
Een databasekopie maken
Back-upbestand herstellen naar Azure SQL Managed Instance

Belangrijk

Handmatige COPY ONLY-back-up maken van een database die is versleuteld door een door de service beheerde TDE wordt niet ondersteund in Azure SQL Managed Instance, omdat het certificaat dat wordt gebruikt voor versleuteling niet toegankelijk is. Gebruik de functie voor herstel naar een bepaald tijdstip om dit type database te verplaatsen naar een SQL beheerd exemplaar of om over te schakelen naar een door de klant beheerde sleutel.

Wanneer u een met TDE beveiligde database exporteert, wordt de geëxporteerde inhoud van de database niet versleuteld. Deze geëxporteerde inhoud wordt opgeslagen in niet-versleutelde BACPAC-bestanden. Zorg ervoor dat u de BACPAC-bestanden op de juiste manier bebeveiligen en TDE inschakelen nadat het importeren van de nieuwe database is voltooid.

Als het BACPAC-bestand bijvoorbeeld wordt geëxporteerd uit een SQL Server-exemplaar, wordt de geïmporteerde inhoud van de nieuwe database niet automatisch versleuteld. En als het BACPAC-bestand wordt geïmporteerd in een SQL Server-exemplaar, wordt de nieuwe database ook niet automatisch versleuteld.

De enige uitzondering hierop is wanneer u een database exporteert naar en van SQL Database. TDE is ingeschakeld voor de nieuwe database, maar het BACPAC-bestand zelf is nog steeds niet versleuteld.

Transparante gegevensversleuteling beheren

Beheer TDE in de Azure Portal.

Als u TDE wilt configureren via Azure Portal, moet u zijn verbonden als de Azure-eigenaar, inzender of SQL Security Manager.

Schakel TDE in en uit op databaseniveau. Gebruik voor Azure SQL Managed Instance Transact-SQL (T-SQL) om TDE in en uit te schakelen voor een database. Voor Azure SQL Database en Azure Synapse kunt u TDE voor de database in de Azure Portal beheren nadat u zich hebt aangemeld met het Azure Administrator- of Inzender-account. Zoek de TDE-instellingen onder uw gebruikersdatabase. Standaard wordt door de service beheerde transparante gegevensversleuteling gebruikt. Er wordt automatisch een TDE-certificaat gegenereerd voor de server die de database bevat.

Door de service beheerde transparante gegevensversleuteling

U stelt de TDE-hoofdsleutel, ook wel de TDE-beveiliging genoemd, in op server- of exemplaarniveau. Als u TDE wilt gebruiken met BYOK-ondersteuning en uw databases wilt beveiligen met een sleutel van Key Vault, opent u de TDE-instellingen onder uw server.

Transparante gegevensversleuteling met Bring Your Own Key ondersteuning

TDE beheren met behulp van PowerShell.

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Belangrijk

De PowerShell Azure Resource Manager-module wordt nog steeds ondersteund, maar alle toekomstige ontwikkeling is voor de Az.Sql-module. Zie AzureRM.Sql voor deze cmdlets. De argumenten voor de opdrachten in de Az-module en in de AzureRm-modules zijn vrijwel identiek.

Als u TDE wilt configureren via PowerShell, moet u zijn verbonden als de Azure-eigenaar, inzender of SQL Security Manager.

Cmdlets voor Azure SQL Database en Azure Synapse

Gebruik de volgende cmdlets voor Azure SQL Database en Azure Synapse:

Cmdlet	Beschrijving
Set-AzSqlDatabaseTransparentDataEncryption	Hiermee wordt transparante gegevensversleuteling voor een database in- of uitgeschakeld.
Get-AzSqlDatabaseTransparentDataEncryption	Haalt de transparante gegevensversleutelingstoestand voor een database op.
Get-AzSqlDatabaseTransparentDataEncryptionActivity	Controleert de voortgang van de versleuteling voor een database.
Add-AzSqlServerKeyVaultKey	Voegt een Key Vault sleutel toe aan een server.
Get-AzSqlServerKeyVaultKey	Haalt de Key Vault voor een server op
Set-AzSqlServerTransparentDataEncryptionProtector	Hiermee stelt u de transparent data encryption-beveiliging voor een server.
Get-AzSqlServerTransparentDataEncryptionProtector	Haalt de transparante gegevensversleutelingsbeveiliging op
Remove-AzSqlServerKeyVaultKey	Hiermee verwijdert u Key Vault sleutel van een server.

Belangrijk

Gebruik voor Azure SQL Managed Instance de T-SQL ALTER DATABASE-opdracht om TDE in en uit te schakelen op databaseniveau en controleer het PowerShell-voorbeeldscript om TDE op exemplaarniveau te beheren.

TDE beheren met behulp van Transact-SQL.

Verbinding maken de database met behulp van een aanmelding die een beheerder of lid is van de rol dbmanager in de hoofddatabase.

Opdracht	Beschrijving
ALTER DATABASE (Azure SQL Database)	STEL VERSLEUTELING IN/UIT in om een database te versleutelen of ontsleutelen
sys.dm_database_encryption_keys	Retourneert informatie over de versleutelingstoestand van een database en de bijbehorende databaseversleutelingssleutels
sys.dm_pdw_nodes_database_encryption_keys	Retourneert informatie over de versleutelingstoestand van elk Azure Synapse knooppunt en de bijbehorende databaseversleutelingssleutels

U kunt de TDE-beveiliging niet overschakelen naar een sleutel van Key Vault met behulp van Transact-SQL. Gebruik PowerShell of de Azure Portal.

Beheer TDE met behulp van de REST API.

Als u TDE wilt configureren via REST API, moet u zijn verbonden als de Azure-eigenaar, inzender of SQL Security Manager. Gebruik de volgende reeks opdrachten voor Azure SQL Database en Azure Synapse:

Opdracht	Beschrijving
Server maken of bijwerken	Voegt een Azure Active Directory-identiteit toe aan een server. (wordt gebruikt om toegang te verlenen tot Key Vault)
Serversleutel maken of bijwerken	Voegt een Key Vault sleutel toe aan een server.
Serversleutel verwijderen	Hiermee verwijdert u Key Vault sleutel van een server.
Serversleutels ophalen	Haalt een specifieke Key Vault sleutel op van een server.
Serversleutels per server opneren	Haalt de Key Vault voor een server op.
Versleutelingsbeveiliging maken of bijwerken	Hiermee stelt u de TDE-beveiliging voor een server.
Versleutelingsbeveiliging krijgen	Haalt de TDE-beveiliging voor een server.
Lijst met versleutelingsbeveiligingen per server	Haalt de TDE-beveiligingen voor een server.
Configuratie van Transparent Data Encryption maken Transparent Data Encryption bijwerken	Hiermee schakelt U TDE voor een database in of uit.
Een Transparent Data Encryption configureren	Haalt de TDE-configuratie voor een database op.
Lijst Transparent Data Encryption configuratieresultaten	Haalt het versleutelingsresultaat voor een database op.

Zie ook

SQL Server wordt uitgevoerd op een virtuele Machine van Azure kan ook een asymmetrische sleutel van Key Vault. De configuratiestappen verschillen van het gebruik van een asymmetrische sleutel in SQL Database en SQL Managed Instance. Zie Extensible key management by using Azure Key Vault (SQL Server)voor meer informatie.
Zie Transparante gegevensversleuteling voor een algemene beschrijving vanTDE.
Zie Transparent Data Encryption with Bring Your Own Keysupport (Transparante gegevensversleuteling met Bring Your Own Key-ondersteuning) voor meer informatie over TDE met BYOK-ondersteuning voor Azure SQL Database, Azure SQL Managed Instance en Azure Synapse.
Als u TDE wilt gaan gebruiken met Bring Your Own Key-ondersteuning, bekijkt u de handleiding Transparante gegevensversleuteling in Key Vault.
Zie Beveiligde toegang tot Key Vault sleutelkluis voor meer informatie over de toegang tot een sleutelkluis.

Transparante gegevensversleuteling voor SQL Database, SQL Managed Instance en Azure Synapse Analytics

Beoordeel uw ervaring

Door de service beheerde transparante gegevensversleuteling

Door de klant beheerde transparante gegevensversleuteling - Bring Your Own Key

Een met transparante gegevensversleuteling beveiligde database verplaatsen

Transparante gegevensversleuteling beheren