Transparante gegevens versleuteling voor SQL Database, SQL Managed instance en Azure Synapse AnalyticsTransparent data encryption for SQL Database, SQL Managed Instance, and Azure Synapse Analytics

van toepassing op:  Ja Azure SQL database  Ja Azure SQL Managed instance  Ja Azure Synapse Analytics (SQL DW)APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Transparent Data Encryption (TDE) helpt Azure SQL database, Azure SQL Managed instance en Azure Synapse Analytics te beschermen tegen de dreiging van schadelijke offline activiteiten door het versleutelen van gegevens in rust.Transparent data encryption (TDE) helps protect Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics against the threat of malicious offline activity by encrypting data at rest. Het voert in realtime versleuteling en ontsleuteling van de database, bijbehorende back-ups en transactielogboekbestanden 'at-rest' uit, zonder dat er wijzigingen in de toepassing moeten worden aangebracht.It performs real-time encryption and decryption of the database, associated backups, and transaction log files at rest without requiring changes to the application. TDE is standaard ingeschakeld voor alle nieuw geïmplementeerde SQL-data bases en moet hand matig worden ingeschakeld voor oudere data bases van Azure SQL Database, Azure SQL Managed instance.By default, TDE is enabled for all newly deployed SQL Databases and must be manually enabled for older databases of Azure SQL Database, Azure SQL Managed Instance. TDE moet hand matig worden ingeschakeld voor Azure Synapse Analytics.TDE must be manually enabled for Azure Synapse Analytics.

TDE voert realtime-I/O-versleuteling en ontsleuteling van de gegevens op pagina niveau uit.TDE performs real-time I/O encryption and decryption of the data at the page level. Elke pagina wordt ontsleuteld wanneer deze wordt ingelezen in het geheugen en vervolgens versleuteld voordat deze naar een schijf wordt geschreven.Each page is decrypted when it's read into memory and then encrypted before being written to disk. TDE versleutelt de opslag van een volledige data base met behulp van een symmetrische sleutel die de database versleutelings sleutel (DEK) wordt genoemd.TDE encrypts the storage of an entire database by using a symmetric key called the Database Encryption Key (DEK). Bij het opstarten van de data base wordt de versleutelde DEK ontsleuteld en vervolgens gebruikt voor ontsleuteling en opnieuw versleutelen van de database bestanden in het proces van de SQL Server data base-engine.On database startup, the encrypted DEK is decrypted and then used for decryption and re-encryption of the database files in the SQL Server database engine process. DEK wordt beveiligd door de TDE-Protector.DEK is protected by the TDE protector. TDE Protector is een door een service beheerd certificaat (door de service beheerde transparante gegevens versleuteling) of een asymmetrische sleutel die is opgeslagen in Azure Key Vault (door de klant beheerde transparante gegevens versleuteling).TDE protector is either a service-managed certificate (service-managed transparent data encryption) or an asymmetric key stored in Azure Key Vault (customer-managed transparent data encryption).

Voor Azure SQL Database en Azure Synapse wordt de TDE-Protector ingesteld op Server niveau en overgenomen door alle data bases die aan die server zijn gekoppeld.For Azure SQL Database and Azure Synapse, the TDE protector is set at the server level and is inherited by all databases associated with that server. Voor Azure SQL Managed instance (BYOK-functie in Preview) wordt de TDE-Protector ingesteld op het niveau van de instantie en overgenomen door alle versleutelde data bases op dat exemplaar.For Azure SQL Managed Instance (BYOK feature in preview), the TDE protector is set at the instance level and it is inherited by all encrypted databases on that instance. De term Server verwijst naar de server en het exemplaar in dit document, tenzij anders aangegeven.The term server refers both to server and instance throughout this document, unless stated differently.

Belangrijk

Alle nieuw gemaakte data bases in SQL Database worden standaard versleuteld met behulp van door de service beheerde transparante gegevens versleuteling.All newly created databases in SQL Database are encrypted by default by using service-managed transparent data encryption. Bestaande SQL-data bases die zijn gemaakt vóór 2017 en SQL-data bases die zijn gemaakt via Restore, geo-replicatie en database kopie, worden niet standaard versleuteld.Existing SQL databases created before May 2017 and SQL databases created through restore, geo-replication, and database copy are not encrypted by default. Bestaande data bases van SQL Managed instances die vóór februari 2019 zijn gemaakt, worden niet standaard versleuteld.Existing SQL Managed Instance databases created before February 2019 are not encrypted by default. SQL Managed instance-data bases die zijn gemaakt via herstellen, nemen versleutelings status van de bron over.SQL Managed Instance databases created through restore inherit encryption status from the source.

Notitie

TDE kan niet worden gebruikt voor het versleutelen van de hoofd database in SQL database.TDE cannot be used to encrypt the master database in SQL Database. De hoofd database bevat objecten die nodig zijn om de TDe-bewerkingen uit te voeren op de gebruikers databases.The master database contains objects that are needed to perform the TDE operations on the user databases.

Door service beheerde transparante gegevens versleutelingService-managed transparent data encryption

In Azure is de standaard instelling voor TDE dat de DEK wordt beveiligd door een ingebouwd server certificaat.In Azure, the default setting for TDE is that the DEK is protected by a built-in server certificate. Het ingebouwde server certificaat is uniek voor elke server en het gebruikte versleutelings algoritme is AES 256.The built-in server certificate is unique for each server and the encryption algorithm used is AES 256. Als een Data Base zich in een geo-replicatie relatie bevindt, worden zowel de primaire als de geo-secundaire data base beveiligd door de bovenliggende server sleutel van de primaire data base.If a database is in a geo-replication relationship, both the primary and geo-secondary databases are protected by the primary database's parent server key. Als twee data bases zijn verbonden met dezelfde server, delen ze ook hetzelfde ingebouwde certificaat.If two databases are connected to the same server, they also share the same built-in certificate. Micro soft roteert deze certificaten automatisch in overeenstemming met het interne beveiligings beleid en de basis sleutel wordt beveiligd door een micro soft interne geheime opslag.Microsoft automatically rotates these certificates in compliance with the internal security policy and the root key is protected by a Microsoft internal secret store. Klanten kunnen de naleving van SQL Database en SQL Managed instance met interne beveiligings beleidsregels controleren in onafhankelijke controle rapporten van derden die beschikbaar zijn in het micro soft vertrouwens centrum.Customers can verify SQL Database and SQL Managed Instance compliance with internal security policies in independent third-party audit reports available on the Microsoft Trust Center.

Micro soft verplaatst en beheert ook de sleutels naar behoefte voor geo-replicatie en herstel bewerkingen.Microsoft also seamlessly moves and manages the keys as needed for geo-replication and restores.

Door de klant beheerde transparante gegevens versleuteling-Bring Your Own KeyCustomer-managed transparent data encryption - Bring Your Own Key

Door de klant beheerde TDE wordt ook wel BYOK-ondersteuning (Bring Your Own Key) genoemd voor TDE.Customer-managed TDE is also referred to as Bring Your Own Key (BYOK) support for TDE. In dit scenario is de TDE-Protector die de DEK versleutelt, een door de klant beheerde asymmetrische sleutel, die wordt opgeslagen in een door de klant eigendom en beheerd Azure Key Vault (extern beheer systeem op basis van de cloud van Azure) en de sleutel kluis nooit verlaat.In this scenario, the TDE Protector that encrypts the DEK is a customer-managed asymmetric key, which is stored in a customer-owned and managed Azure Key Vault (Azure's cloud-based external key management system) and never leaves the key vault. De TDE-Protector kan worden gegenereerd door de sleutel kluis of worden overgebracht van een on-premises HSM-apparaat (Hardware Security module).The TDE Protector can be generated by the key vault or transferred to the key vault from an on-premises hardware security module (HSM) device. SQL Database, SQL Managed instance en Azure Synapse moeten machtigingen worden verleend aan de sleutel kluis van de klant om de DEK te ontsleutelen en te versleutelen.SQL Database, SQL Managed Instance, and Azure Synapse need to be granted permissions to the customer-owned key vault to decrypt and encrypt the DEK. Als de machtigingen van de server aan de sleutel kluis zijn ingetrokken, is een Data Base niet toegankelijk en worden alle gegevens versleuteldIf permissions of the server to the key vault are revoked, a database will be inaccessible, and all data is encrypted

Met TDE met Azure Key Vault-integratie kunnen gebruikers belang rijke beheer taken beheren, zoals het draaien van sleutels, sleutel kluis machtigingen, sleutel back-ups en het inschakelen van controle/rapportage op alle TDE-beveiligingen met behulp van Azure Key Vault functionaliteit.With TDE with Azure Key Vault integration, users can control key management tasks including key rotations, key vault permissions, key backups, and enable auditing/reporting on all TDE protectors using Azure Key Vault functionality. Key Vault biedt centraal sleutel beheer, maakt gebruik van nauw keurig bewaakte Hsm's en stelt schei ding van taken mogelijk te maken tussen het beheer van sleutels en gegevens om te voldoen aan de naleving van het beveiligings beleid.Key Vault provides central key management, leverages tightly monitored HSMs, and enables separation of duties between management of keys and data to help meet compliance with security policies. Zie transparent Data Encryption with Azure Key Vault Integration(Engelstalig) voor meer informatie over BYOK voor Azure SQL database en Azure Synapse.To learn more about BYOK for Azure SQL Database and Azure Synapse, see Transparent data encryption with Azure Key Vault integration.

Als u TDE wilt gaan gebruiken met Azure Key Vault integratie, raadpleegt u de hand leiding voor het inschakelen van transparante gegevens versleuteling met behulp van uw eigen sleutel vanuit Key Vault.To start using TDE with Azure Key Vault integration, see the how-to guide Turn on transparent data encryption by using your own key from Key Vault.

Een transparante gegevens versleuteling verplaatsen-beveiligde data baseMove a transparent data encryption-protected database

U hoeft geen data bases te ontsleutelen voor bewerkingen binnen Azure.You don't need to decrypt databases for operations within Azure. De TDE-instellingen voor de bron database of primaire Data Base zijn transparant overgenomen op het doel.The TDE settings on the source database or primary database are transparently inherited on the target. Beschik bare bewerkingen omvatten:Operations that are included involve:

  • Geo-herstelGeo-restore
  • Self-service herstel punt in de tijdSelf-service point-in-time restore
  • Herstellen van een verwijderde data baseRestoration of a deleted database
  • Actieve geo-replicatieActive geo-replication
  • Maken van een database kopieCreation of a database copy
  • Back-upbestand terugzetten naar Azure SQL Managed instanceRestore of backup file to Azure SQL Managed Instance

Belangrijk

Het hand matig kopiëren van een back-up van een Data Base die is versleuteld met een door de service beheerde TDE wordt niet ondersteund in Azure SQL Managed instance, omdat het certificaat dat voor versleuteling wordt gebruikt, niet toegankelijk is.Taking manual COPY-ONLY backup of a database encrypted by service-managed TDE is not supported in Azure SQL Managed Instance, since the certificate used for encryption is not accessible. Gebruik de functie punt-in-tijd-herstellen om dit type Data Base te verplaatsen naar een ander SQL-beheerd exemplaar of om over te scha kelen naar door de klant beheerde sleutel.Use point-in-time-restore feature to move this type of database to another SQL Managed Instance, or switch to customer-managed key.

Wanneer u een met TDE beveiligde data base exporteert, wordt de geëxporteerde inhoud van de data base niet versleuteld.When you export a TDE-protected database, the exported content of the database isn't encrypted. Deze geëxporteerde inhoud wordt opgeslagen in niet-versleutelde BACPAC-bestanden.This exported content is stored in unencrypted BACPAC files. Zorg ervoor dat u de BACPAC-bestanden op de juiste wijze beveiligt en TDE na het importeren van de nieuwe Data Base hebt ingeschakeld.Be sure to protect the BACPAC files appropriately and enable TDE after import of the new database is finished.

Als het BACPAC-bestand bijvoorbeeld wordt geëxporteerd uit een SQL Server-exemplaar, wordt de geïmporteerde inhoud van de nieuwe Data Base niet automatisch versleuteld.For example, if the BACPAC file is exported from a SQL Server instance, the imported content of the new database isn't automatically encrypted. Als het BACPAC-bestand wordt geïmporteerd in een SQL Server-exemplaar, wordt de nieuwe data base ook niet automatisch versleuteld.Likewise, if the BACPAC file is imported to a SQL Server instance, the new database also isn't automatically encrypted.

De enige uitzonde ring is wanneer u een Data Base exporteert van en naar SQL Database.The one exception is when you export a database to and from SQL Database. TDE is ingeschakeld voor de nieuwe Data Base, maar het BACPAC-bestand zelf is nog steeds niet versleuteld.TDE is enabled on the new database, but the BACPAC file itself still isn't encrypted.

Transparante gegevens versleuteling beherenManage transparent data encryption

TDE beheren in de Azure Portal.Manage TDE in the Azure portal.

Als u TDE wilt configureren via de Azure Portal, moet u zijn verbonden als Azure-eigenaar, Inzender of SQL Security Manager.To configure TDE through the Azure portal, you must be connected as the Azure Owner, Contributor, or SQL Security Manager.

Schakel TDE in en uit op het niveau van de data base.Enable and disable TDE on the database level. Gebruik Transact-SQL (T-SQL) voor Azure SQL Managed instance om TDE in en uit te scha kelen voor een Data Base.For Azure SQL Managed Instance use Transact-SQL (T-SQL) to turn TDE on and off on a database. Voor Azure SQL Database en Azure Synapse kunt u TDE voor de data base in de Azure Portal beheren nadat u zich hebt aangemeld met de Azure-beheerder of het Inzender-account.For Azure SQL Database and Azure Synapse, you can manage TDE for the database in the Azure portal after you've signed in with the Azure Administrator or Contributor account. Zoek de TDE-instellingen onder uw gebruikers database.Find the TDE settings under your user database. Standaard wordt door service beheerde transparante gegevens versleuteling gebruikt.By default, service-managed transparent data encryption is used. Er wordt automatisch een TDE-certificaat gegenereerd voor de server die de Data Base bevat.A TDE certificate is automatically generated for the server that contains the database.

Door service beheerde transparante gegevens versleuteling

U stelt de hoofd sleutel TDE, ook wel de TDE-Protector, op het niveau van de server of het exemplaar in.You set the TDE master key, known as the TDE protector, at the server or instance level. Als u TDE wilt gebruiken met BYOK-ondersteuning en uw data bases wilt beveiligen met een sleutel van Key Vault, opent u de TDE-instellingen onder uw server.To use TDE with BYOK support and protect your databases with a key from Key Vault, open the TDE settings under your server.

Transparante gegevens versleuteling met Bring Your Own Key-ondersteuning