Gerenciamento extensível de chaves usando o Azure Key Vault (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

APLICA-SE A: simSQL Server nãoBanco de Dados SQL do Azure nãoAzure Synapse Analytics (SQL DW) nãoParallel Data Warehouse APPLIES TO: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse

O Conector do SQL ServerSQL Server para Cofre de Chaves do MicrosoftMicrosoft Azure permite que a criptografia do SQL ServerSQL Server use o serviço de Cofre de Chaves do Azure como um provedor de Gerenciamento Extensível de Chaves (EKM) para proteger suas chaves de criptografia do SQL ServerSQL Server.The SQL ServerSQL Server Connector for MicrosoftMicrosoft Azure Key Vault enables SQL ServerSQL Server encryption to use the Azure Key Vault service as an Extensible Key Management (EKM) provider to protect SQL ServerSQL Server encryption keys.

Este tópico descreve o conector do SQL ServerSQL Server.This topic describes the SQL ServerSQL Server connector. Informações adicionais estão disponíveis em Etapas de instalação para o gerenciamento extensível de chaves usando o Cofre de Chaves do Azure, Use o Conector do SQL Server com recursos de criptografia do SQLe Manutenção e solução de problemas do Conector do SQL Server.Additional information is available in Setup Steps for Extensible Key Management Using the Azure Key Vault, Use SQL Server Connector with SQL Encryption Features, and SQL Server Connector Maintenance & Troubleshooting.

O que é o EKM (Gerenciamento Extensível de Chaves) e por que o usamos?What is Extensible Key Management (EKM) and Why Use it?

O SQL ServerSQL Server fornece vários tipos de criptografia que ajudam a proteger dados confidenciais, incluindo Transparent Data Encryption(TDE), CLE (Criptografia de Nível de Coluna) e Criptografia de Backup.SQL ServerSQL Server provides several types of encryption that help protect sensitive data, including Transparent Data Encryption (TDE), Column Level Encryption (CLE), and Backup Encryption. Em todos esses casos, nessa hierarquia de chave tradicional, os dados são criptografados usando uma chave de criptografia simétrica de dados (DEK).In all of these cases, in this traditional key hierarchy, the data is encrypted using a symmetric data encryption key (DEK). A chave de criptografia simétrica de dados é ainda mais protegida ao criptografar com uma hierarquia de chaves armazenadas em SQL ServerSQL Server.The symmetric data encryption key is further protected by encrypting it with a hierarchy of keys stored in SQL ServerSQL Server. Em vez de nesse modelo, a alternativa é o Modelo de Provedor EKM.Instead of this model, the alternative is the EKM Provider Model. Usar a arquitetura de provedor EKM permite que SQL ServerSQL Server proteja as chaves de criptografia de dados usando uma chave assimétrica armazenada fora do SQL ServerSQL Server em um provedor de criptografia externo.Using the EKM provider architecture enables SQL ServerSQL Server to protect the data encryption keys by using an asymmetric key stored outside of SQL ServerSQL Server in an external cryptographic provider. Esse modelo acrescenta uma camada adicional de segurança e separa o gerenciamento de chaves e dados.This model adds an additional layer of security and separates the management of keys and data.

A imagem a seguir compara o serviço tradicional de gerenciamento de hierarquia de chave com o sistema de Cofre de Chaves do Azure.The following image compares the traditional service-manage key hierarchy with the Azure Key Vault system.

ekm-key-hierarchy-traditionalekm-key-hierarchy-traditional

O Conector do SQL ServerSQL Server atua como uma ponte entre SQL ServerSQL Server e o Cofre de Chaves do Azure, portanto SQL ServerSQL Server pode aproveitar a escalabilidade, alto desempenho e alta disponibilidade do serviço de Cofre de Chaves do Azure.The SQL ServerSQL Server Connector serves as a bridge between SQL ServerSQL Server and Azure Key Vault, so SQL ServerSQL Server can leverage the scalability, high performance, and highly availability of the Azure Key Vault service. A imagem a seguir representa como a hierarquia de chave funciona na arquitetura do provedor EKM com o Cofre de Chaves do Azure e o Conector do SQL ServerSQL Server .The following image represents how the key hierarchy works in the EKM provider architecture with Azure Key Vault and SQL ServerSQL Server Connector.

O Cofre de Chaves do Azure pode ser usado com instalações do SQL ServerSQL Server em Máquinas Virtuais do Azure do MicrosoftMicrosoft e para servidores locais.Azure Key Vault can be used with SQL ServerSQL Server installations on MicrosoftMicrosoft Azure Virtual Machines and for on-premises servers. O serviço de chave de cofre também fornece a opção de usar rigidamente módulos de segurança de hardware (HSM) monitorados e controlados para um nível mais alto de proteção para as chaves de criptografia assimétrica.The key vault service also provides the option to use tightly controlled and monitored Hardware Security Modules (HSMs) for a higher level of protection for asymmetric encryption keys. Para obter mais informações sobre o cofre de chaves, consulte Cofre de Chaves do Azure.For more information about the key vault, see Azure Key Vault.

A imagem a seguir resume o fluxo do processo de EKM usando o cofre da chave.The following image summarizes the process flow of EKM using the key vault. (Os números de etapa do processo na imagem não devem corresponder aos números de etapa de instalação que seguem a imagem.)(The process step numbers in the image are not meant to match the setup step numbers that follow the image.)

EKM do SQL Server usando o Azure Key VaultSQL Server EKM using the Azure Key Vault

Observação

Versões 1.0.0.440 e anteriores foram substituídas e não têm mais suporte em ambientes de produção.Versions 1.0.0.440 and older have been replaced and are no longer supported in production environments. Atualize para a versão 1.0.1.0 ou posterior visitando o Centro de Download da Microsoft e usando as instruções da página Manutenção e solução de problemas do Conector do SQL Server em "Atualização do Conector do SQL Server".Upgrade to version 1.0.1.0 or later by visiting the Microsoft Download Center and using the instructions on the SQL Server Connector Maintenance & Troubleshooting page under "Upgrade of SQL Server Connector."

Para a próxima etapa, consulte Etapas de instalação para o gerenciamento extensível de chaves usando o Cofre de Chaves do Azure.For the next step, see Setup Steps for Extensible Key Management Using the Azure Key Vault.

Para cenários de uso, consulte Use SQL Server Connector with SQL Encryption Features(Usar o Conector do SQL Server com recursos de criptografia do SQL).For use scenarios, see Use SQL Server Connector with SQL Encryption Features.

Consulte TambémSee Also

Manutenção e solução de problemas do conector do SQL ServerSQL Server Connector Maintenance & Troubleshooting