Gerenciamento extensível de chaves Usando o Azure Key Vault (SQL Server)

Aplica-se a:SQL Server

O Conector do SQL Server para Microsoft Azure Key Vault permite que a criptografia do SQL Server use o serviço do Microsoft Azure Key Vault como um provedor EKM (gerenciamento extensível de chaves) para proteger as chaves de criptografia do SQL Server.

Este tópico descreve o conector do SQL Server. Informações adicionais estão disponíveis em Etapas de instalação para o gerenciamento extensível de chaves usando o Cofre de Chaves do Azure, Use o Conector do SQL Server com recursos de criptografia do SQLe Manutenção e solução de problemas do Conector do SQL Server.

O que é o EKM (Gerenciamento Extensível de Chaves) e por que o usamos?

O SQL Server fornece vários tipos de criptografia que ajudam a proteger dados confidenciais, incluindo Transparent Data Encryption (TDE), CLE (Criptografia de Nível de Coluna) e Criptografia de Backup. Em todos esses casos, nessa hierarquia de chave tradicional, os dados são criptografados usando uma chave de criptografia simétrica de dados (DEK). A chave de criptografia simétrica de dados é ainda mais protegida ao criptografar com uma hierarquia de chaves armazenadas no SQL Server. Em vez de nesse modelo, a alternativa é o Modelo de Provedor EKM. Usar a arquitetura de provedor EKM permite que o SQL Server proteja as chaves de criptografia de dados usando uma chave assimétrica armazenada fora do SQL Server em um provedor de criptografia externo. Esse modelo acrescenta uma camada adicional de segurança e separa o gerenciamento de chaves e dados.

A imagem a seguir compara o serviço tradicional de gerenciamento de hierarquia de chave com o sistema de Cofre de Chaves do Azure.

Diagram that compares the traditional service-manage key hierarchy with the Azure Key Vault system.

O Conector do SQL Server atua como uma ponte entre SQL Server e o Azure Key Vault, portanto, o SQL Server pode aproveitar a escalabilidade, alto desempenho e alta disponibilidade do serviço do Azure Key Vault. A imagem a seguir representa como a hierarquia de chave funciona na arquitetura do provedor EKM com o Azure Key Vault e o Conector do SQL Server.

O Azure Key Vault pode ser usado com instalações do SQL Server em Máquinas Virtuais do Microsoft Azure e para servidores locais. O serviço de chave de cofre também fornece a opção de usar rigidamente módulos de segurança de hardware (HSM) monitorados e controlados para um nível mais alto de proteção para as chaves de criptografia assimétrica. Para obter mais informações sobre o cofre de chaves, consulte Cofre de Chaves do Azure.

A imagem a seguir resume o fluxo do processo de EKM usando o cofre da chave. (Os números de etapa do processo na imagem não devem corresponder aos números de etapa de instalação que seguem a imagem.)

SQL Server EKM using the Azure Key Vault

Observação

Versões 1.0.0.440 e anteriores foram substituídas e não têm mais suporte em ambientes de produção. Atualize para a versão 1.0.1.0 ou posterior visitando o Centro de Download da Microsoft e usando as instruções da página Manutenção e solução de problemas do Conector do SQL Server em "Atualização do Conector do SQL Server".

Para a próxima etapa, consulte Etapas de instalação para o gerenciamento extensível de chaves usando o Cofre de Chaves do Azure.

Para cenários de uso, consulte Use SQL Server Connector with SQL Encryption Features(Usar o Conector do SQL Server com recursos de criptografia do SQL).

Confira também

Manutenção e solução de problemas do conector do SQL Server