PowerShell and Azure CLI: Transparent Data Encryption met door de klant beheerde sleutels inschakelen vanuit Azure Key Vault

Van toepassing op: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

In dit artikel wordt uitgelegd hoe u een sleutel uit Azure Key Vault gebruikt voor TDE (Transparent Data Encryption) in Azure SQL Database of Azure Synapse Analytics. Ga naar TDE met door de klant beheerde sleutels in Azure Key Vault voor meer informatie over de integratie van Azure Key- Bring Your Own Key (BYOK). Als u op zoek bent naar azure Portal-instructies voor het inschakelen van TDE met een door de klant beheerde sleutel uit Azure Key Vault, raadpleegt u Server maken die is geconfigureerd met door de gebruiker toegewezen beheerde identiteit en door de klant beheerde TDE.

Dit artikel is van toepassing op Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics (toegewezen SQL-pools (voorheen SQL DW)). Zie Azure Synapse Analytics-versleuteling voor documentatie over Transparent Data Encryption voor toegewezen SQL-pools in Synapse-werkruimten.

Notitie

Azure SQL biedt nu ondersteuning voor het gebruik van een RSA-sleutel die is opgeslagen in een beheerde HSM als TDE-beveiliging. Azure Key Vault Managed HSM is een cloudservice van hoge beschikbaarheid en één tenant, die volledig beheerd is en aan de standaarden voldoet. Met deze cloudservice kunt u cryptografische sleutels voor uw cloudtoepassingen waarborgen met behulp van met FIPS 140-2 Level 3 gevalideerde HSM's. Meer informatie over beheerde HSM's.

Notitie

Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.

Vereisten voor PowerShell

• U moet een Azure-abonnement hebben en een beheerder van dat abonnement zijn.
• [Aanbevolen maar optioneel] Zorg voor een hardwarebeveiligingsmodule (HSM) of een lokaal sleutelarchief voor het maken van een lokale kopie van het TDE Protector-sleutelmateriaal.
• U moet Azure PowerShell hebben geïnstalleerd en uitgevoerd.
• Maak een Azure Key Vault en Sleutel die u voor TDE wilt gebruiken.
  • Instructies voor het gebruik van een HSM (Hardware Security Module) en Key Vault
    • De sleutelkluis moet de volgende eigenschap hebben die moet worden gebruikt voor TDE:
  • beveiliging tegen voorlopig verwijderen en opschonen
• De sleutel moet de volgende kenmerken hebben die moeten worden gebruikt voor TDE:
  • De activeringsdatum (indien ingesteld) moet een datum en tijd in het verleden zijn
  • De vervaldatum (indien ingesteld) moet een toekomstige datum en tijd zijn
  • De sleutel moet de status Ingeschakeld hebben
  • Kan get-, wrap-sleutel-, uitpaksleutelbewerkingen uitvoeren
• Als u een beheerde HSM-sleutel wilt gebruiken, volgt u de instructies voor het maken en activeren van een beheerde HSM met behulp van Azure CLI

PowerShell

Raadpleeg Azure PowerShell installeren voor instructies over de installatie van de Az-module. Zie AzureRM.Sql voor specifieke cmdlets.

Zie PowerShell-instructies van Key Vault en Het gebruik van Key Vault voor voorlopig verwijderen met PowerShell voor specifieke informatie over Key Vault.

Belangrijk

De module PowerShell Azure Resource Manager (RM) wordt nog steeds ondersteund, maar alle toekomstige ontwikkeling is voor de Az.Sql-module. De AzureRM-module blijft tot ten minste december 2020 bugfixes ontvangen. De argumenten voor de opdrachten in de Az-module en in de AzureRm-modules zijn vrijwel identiek. Zie Introductie van de nieuwe Az-module van Azure PowerShell voor meer informatie over de compatibiliteit van de argumenten.

Een Microsoft Entra-identiteit toewijzen aan uw server

Als u een bestaande server hebt, gebruikt u het volgende om een Microsoft Entra-identiteit toe te voegen aan uw server:

$server = Set-AzSqlServer -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -AssignIdentity

Als u een server maakt, gebruikt u de cmdlet New-AzSqlServer met de tag -Identity om een Microsoft Entra-identiteit toe te voegen tijdens het maken van de server:

$server = New-AzSqlServer -ResourceGroupName <SQLDatabaseResourceGroupName> -Location <RegionName> `
    -ServerName <LogicalServerName> -ServerVersion "12.0" -SqlAdministratorCredentials <PSCredential> -AssignIdentity

Key Vault-machtigingen verlenen aan uw server

Gebruik de cmdlet Set-AzKeyVaultAccessPolicy om uw server toegang te verlenen tot de sleutelkluis voordat u er een sleutel uit gebruikt voor TDE.

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> `
    -ObjectId $server.Identity.PrincipalId -PermissionsToKeys get, wrapKey, unwrapKey

Voor het toevoegen van machtigingen aan uw server op een beheerde HSM, voegt u de lokale RBAC-rol beheerde HSM Crypto Service Encryption User toe aan de server. Hierdoor kan de server get-, wrapsleutel- en uitpaksleutelbewerkingen uitvoeren op de sleutels in de beheerde HSM. Instructies voor het inrichten van servertoegang op beheerde HSM

De Key Vault-sleutel toevoegen aan de server en de TDE-beveiliging instellen

• Gebruik de cmdlet Get-AzKeyVaultKey om de sleutel-id op te halen uit de sleutelkluis
• Gebruik de cmdlet Add-AzSqlServerKeyVaultKey om de sleutel uit key vault toe te voegen aan de server.
• Gebruik de cmdlet Set-AzSqlServerTransparentDataEncryptionProtector om de sleutel in te stellen als de TDE-protector voor alle serverbronnen.
• Gebruik de cmdlet Get-AzSqlServerTransparentDataEncryptionProtector om te bevestigen dat de TDE-protector is geconfigureerd zoals bedoeld.

Notitie

Gebruik Az.Sql 2.11.1-versie van PowerShell voor beheerde HSM-sleutels.

Notitie

De gecombineerde lengte voor de sleutelkluisnaam en sleutelnaam mag niet langer zijn dan 94 tekens.

Tip

Een voorbeeld van KeyId uit Key Vault: https://contosokeyvault.vault.azure.net/keys/Key1/1a1a2b2b3c3c4d4d5e5e6f6f7g7g8h8h

Een voorbeeld van KeyId van beheerde HSM:
https://contosoMHSM.managedhsm.azure.net/keys/myrsakey

# add the key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -KeyId <KeyVaultKeyId>

# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> `
   -Type AzureKeyVault -KeyId <KeyVaultKeyId>

# confirm the TDE protector was configured as intended
Get-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName>

TDE inschakelen

Gebruik de cmdlet Set-AzSqlDatabaseTransparentDataEncryption om TDE in te schakelen.

Set-AzSqlDatabaseTransparentDataEncryption -ResourceGroupName <SQLDatabaseResourceGroupName> `
   -ServerName <LogicalServerName> -DatabaseName <DatabaseName> -State "Enabled"

De database of het datawarehouse heeft nu TDE ingeschakeld met een versleutelingssleutel in Key Vault.

De versleutelingsstatus en versleutelingsactiviteit controleren

Gebruik de Get-AzSqlDatabaseTransparentDataEncryption om de versleutelingsstatus voor een database of datawarehouse op te halen.

# get the encryption state of the database
Get-AzSqlDatabaseTransparentDataEncryption -ResourceGroupName <SQLDatabaseResourceGroupName> `
   -ServerName <LogicalServerName> -DatabaseName <DatabaseName> `

De Azure CLI

Als u de vereiste versie van Azure CLI (versie 2.0 of hoger) wilt installeren en verbinding wilt maken met uw Azure-abonnement, raadpleegt u De Platformoverschrijdende opdrachtregelinterface 2.0 van Azure installeren en configureren.

Zie Key Vault beheren met Behulp van Azure CLI 2.0 en Key Vault voorlopig verwijderen gebruiken met de CLI voor meer informatie over Key Vault.

Een Microsoft Entra-identiteit toewijzen aan uw server

# create server (with identity) and database
az sql server create --name <servername> --resource-group <rgname>  --location <location> --admin-user <user> --admin-password <password> --assign-identity
az sql db create --name <dbname> --server <servername> --resource-group <rgname>

Tip

Houd de principalID van het maken van de server, het is de object-id die wordt gebruikt om sleutelkluismachtigingen toe te wijzen in de volgende stap

Key Vault-machtigingen verlenen aan uw server

# create key vault, key and grant permission
az keyvault create --name <kvname> --resource-group <rgname> --location <location> --enable-soft-delete true
az keyvault key create --name <keyname> --vault-name <kvname> --protection software
az keyvault set-policy --name <kvname>  --object-id <objectid> --resource-group <rgname> --key-permissions wrapKey unwrapKey get

Tip

Behoud de sleutel-URI of keyID van de nieuwe sleutel voor de volgende stap, bijvoorbeeld: https://contosokeyvault.vault.azure.net/keys/Key1/1a1a2b2b3c3c4d4d5e5e6f6f7g7g8h8h

De Key Vault-sleutel toevoegen aan de server en de TDE-beveiliging instellen

# add server key and update encryption protector
az sql server key create --server <servername> --resource-group <rgname> --kid <keyID>
az sql server tde-key set --server <servername> --server-key-type AzureKeyVault  --resource-group <rgname> --kid <keyID>

Notitie

De gecombineerde lengte voor de sleutelkluisnaam en sleutelnaam mag niet langer zijn dan 94 tekens.

TDE inschakelen

# enable encryption
az sql db tde set --database <dbname> --server <servername> --resource-group <rgname> --status Enabled

De database of het datawarehouse heeft nu TDE ingeschakeld met een door de klant beheerde versleutelingssleutel in Azure Key Vault.

De versleutelingsstatus en versleutelingsactiviteit controleren

# get encryption scan progress
az sql db tde list-activity --database <dbname> --server <servername> --resource-group <rgname>  

# get whether encryption is on or off
az sql db tde show --database <dbname> --server <servername> --resource-group <rgname>

Nuttige PowerShell-cmdlets

PowerShell

• Gebruik de cmdlet Set-AzSqlDatabaseTransparentDataEncryption om TDE uit te schakelen.

  Set-AzSqlDatabaseTransparentDataEncryption -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> `
      -DatabaseName <DatabaseName> -State "Disabled"
  

• Gebruik de cmdlet Get-AzSqlServerKeyVaultKey om de lijst met Key Vault-sleutels te retourneren die aan de server zijn toegevoegd.

  # KeyId is an optional parameter, to return a specific key version
  Get-AzSqlServerKeyVaultKey -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>
  

• Gebruik de Remove-AzSqlServerKeyVaultKey om een Key Vault-sleutel van de server te verwijderen.

  # the key set as the TDE Protector cannot be removed
  Remove-AzSqlServerKeyVaultKey -KeyId <KeyVaultKeyId> -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>
  

Azure-CLI

• Zie az sql voor algemene database-instellingen.

• Zie az sql server key voor instellingen voor kluissleutels.

• Zie az sql server tde-key en az sql db tde voor TDE-instellingen.

Problemen oplossen

Controleer het volgende als er een probleem optreedt:

• Als de sleutelkluis niet kan worden gevonden, controleert u of u zich in het juiste abonnement bevindt.

  PowerShell

  Get-AzSubscription -SubscriptionId <SubscriptionId>
  

  Azure-CLI

  az account show - s <SubscriptionId>
  

---

• Als de nieuwe sleutel niet kan worden toegevoegd aan de server of de nieuwe sleutel niet kan worden bijgewerkt als de TDE-beveiliging, controleert u het volgende:
  • De sleutel mag geen vervaldatum hebben
  • Voor de sleutel moeten de get-, wrap-sleutel- en uitpaksleutelbewerkingen zijn ingeschakeld.

Volgende stappen

• Meer informatie over het roteren van de TDE-protector van een server om te voldoen aan de beveiligingsvereisten: De Transparent Data Encryption-beveiliging roteren met behulp van PowerShell.
• In geval van een beveiligingsrisico leert u hoe u een mogelijk aangetaste TDE-protector verwijdert: een mogelijk aangetaste sleutel verwijderen.