Смена защиты прозрачного шифрования данных (TDE)

Применимо к:База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics (только выделенные пулы SQL)

В этой статье описывается смена ключей для сервера, который использует предохранитель TDE из Azure Key Vault. Смена логического средства защиты TDE для сервера означает переключиться на новый асимметричный ключ, который защищает базы данных на сервере. Смена ключей выполняется через Интернет буквально за несколько секунд, так как для этой операции достаточно расшифровать и повторно шифровать только ключ шифрования данных, а не всю базу данных.

В этой статье рассматриваются автоматические и ручные методы для смены защиты TDE на сервере.

Важные аспекты при смене защиты TDE

• При изменении или смене средства защиты TDE старые резервные копии базы данных, включая файлы журнала резервного копирования, не обновляются для использования последнего средства защиты TDE. Чтобы восстановить резервную копию, зашифрованную с помощью предохранителя TDE из Key Vault, необходимо убедиться, что данные ключа доступны на целевом сервере. Поэтому мы рекомендуем сохранять все старые версии предохранителей TDE в Azure Key Vault (AKV), чтобы иметь возможность восстановить резервные копии базы данных.
• Даже при переходе с ключа, управляемого клиентом (CMK), на ключ, управляемый службой, следует сохранить все ранее использованные ключи в AKV. Это позволит восстановить резервные копии баз данных, включая резервные копии файлов журналов, созданные с предохранителями TDE из AKV.
• Помимо старых резервных копий файлы журнала транзакций также могут требовать доступа к старому предохранителю TDE. Чтобы определить наличие оставшихся журналов, для которых по-прежнему требуется старый ключ, после смены ключей используйте динамическое административное представление sys.dm_db_log_info. Этот динамический административный административный представление возвращает сведения о файле виртуального журнала транзакций (VLF) журнала транзакций вместе с отпечатком ключа шифрования VLF.
• Более старые ключи должны храниться в AKV и должны быть доступны для сервера в течение срока хранения резервной копии, настроенного в качестве политик хранения резервных копий в базе данных. Это позволяет гарантировать, что все резервные копии долгосрочного хранения (LTR) на сервере по-прежнему можно будет восстановить с помощью старых ключей.

Примечание.

Работу приостановленного выделенного пула SQL в Azure Synapse Analytics необходимо возобновить до смены ключа.

Эта статья относится к База данных SQL Azure, Управляемый экземпляр SQL Azure и выделенным пулам SQL Azure Synapse Analytics (ранее — хранилище данных SQL). Документация по прозрачному шифрованию данных (TDE) для выделенных пулов SQL в рабочих областях Synapse см. в статье Azure Synapse Analytics.

Важно!

После смены не удаляйте старую версию ключа. При смене ключей обычно сохраняются данные, зашифрованные предыдущими ключами, например, резервные копии базы данных, резервные копии файлов журналов и резервные копии файлов журналов транзакций.

Необходимые компоненты

• В этом руководстве предполагается, что вы уже используете ключ из Azure Key Vault в качестве средства защиты TDE для База данных SQL Azure или Azure Synapse Analytics. См . раздел "Прозрачное шифрование данных" с поддержкой BYOK.
• У вас должна быть установлена и запущена среда Azure PowerShell.

Совет

Рекомендуется, но необязательно. Сначала создайте ключевой материал для защиты TDE в аппаратном модуле безопасности (HSM) или локальном хранилище ключей и импортируйте материал ключа в Azure Key Vault. Дополнительные сведения вы найдете в инструкциях по использованию аппаратного модуля безопасности (HSM) и Key Vault.

Портал

Перейдите на портал Azure.

PowerShell

Инструкции по установке модуля Az PowerShell см. в разделе "Установка Azure PowerShell". Сведения об определенных командлетах см. в AzureRM.Sql. Используйте новый модуль Azure PowerShell Az.

CLI Azure.

Сведения об установке см. в статье Установка Azure CLI.

Автоматическая смена клавиш

Автоматическая смена защиты TDE может быть включена при настройке средства защиты TDE для сервера или базы данных из портал Azure или с помощью приведенных ниже команд PowerShell или Azure CLI. После включения сервер или база данных постоянно проверка хранилище ключей для любых новых версий ключа, используемых в качестве средства защиты TDE. Если обнаружена новая версия ключа, средство защиты TDE на сервере или базе данных будет автоматически поворачиваться на последнюю версию ключа в течение 24 часов.

Автоматическая смена в сервере, базе данных или управляемом экземпляре может использоваться с автоматической сменой ключей в Azure Key Vault, чтобы включить сквозную смену ноль сенсорного ввода для ключей TDE.

Примечание.

Если на сервере или управляемом экземпляре настроено гео реплика tion, прежде чем включить автоматическую смену, необходимо выполнить дополнительные рекомендации, как описано здесь.

Портал

В случае использования портала Azure выполните следующие действия:

1. Перейдите к разделу прозрачного шифрования данных для существующего сервера или управляемого экземпляра.
2. Выберите параметр ключа, управляемый клиентом, и выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE.
3. Установите флажок автоматического поворота ключа проверка box.
4. Выберите Сохранить.

PowerShell

Инструкции по установке модуля Az PowerShell см. в разделе "Установка Azure PowerShell". Сведения об определенных командлетах см. в AzureRM.Sql.

Чтобы включить автоматическую смену защиты TDE с помощью PowerShell, см. следующий сценарий. Его <keyVaultKeyId> можно получить из Key Vault.

База данных SQL Azure

Используйте команду Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Управляемый экземпляр SQL Azure

Используйте команду Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

CLI Azure.

Сведения об установке текущего выпуска Azure CLI см. в статье Установка Azure CLI.

Чтобы включить автоматическую смену для защиты TDE с помощью Azure CLI, см. следующий сценарий.

База данных SQL Azure

Используйте команду az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Управляемый экземпляр SQL Azure

Используйте команду az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Автоматическая смена ключей на уровне базы данных

Автоматическая смена ключей также может быть включена на уровне базы данных для База данных SQL Azure. Это полезно, если требуется включить автоматическую смену ключей только для одного или подмножества баз данных на сервере. Дополнительные сведения см. в разделе "Управление удостоверениями и ключами для TDE" с ключами, управляемыми клиентом на уровне базы данных.

Портал

Сведения о портал Azure настройке автоматического поворота ключей на уровне базы данных см. в статье об обновлении существующего База данных SQL Azure с помощью ключей, управляемых клиентом.

PowerShell

Чтобы включить автоматическую смену защиты TDE на уровне базы данных с помощью PowerShell, см. следующую команду. Используйте параметр и установите $true для включения автоматического -EncryptionProtectorAutoRotation поворота ключей или $false отключения автоматического поворота ключей.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

CLI Azure.

Чтобы включить автоматическую смену защиты TDE на уровне базы данных с помощью Azure CLI, см. следующую команду. Используйте параметр и установите True для включения автоматического --encryption-protector-auto-rotation поворота ключей или False отключения автоматического поворота ключей.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Автоматическая смена ключей для конфигураций гео реплика tion

В конфигурации гео-реплика База данных SQL Azure, в которой основной сервер использует TDE с CMK, дополнительный сервер также должен быть настроен для включения TDE с CMK с тем же ключом, который используется в основном сервере.

Портал

В случае использования портала Azure выполните следующие действия:

1. Перейдите к разделу прозрачного шифрования данных для основного сервера.

2. Выберите параметр ключа, управляемый клиентом, и выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE.

3. Установите флажок автоматического поворота ключа проверка box.

4. Выберите Сохранить.

   

5. Перейдите к разделу прозрачного шифрования данных для дополнительного сервера.

6. Выберите параметр ключа, управляемый клиентом, и выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE. Используйте тот же ключ, что и для первичного сервера.

7. Un проверка Make this key the default TDE protector.

8. Выберите Сохранить.

   

Когда ключ поворачивается на первичном сервере, он автоматически передается на дополнительный сервер.

PowerShell

Его <keyVaultKeyId> можно получить из Key Vault.

1. Используйте команду Add-AzSqlServerKeyVaultKey, чтобы добавить новый ключ на дополнительныйсервер.

   # add the key from Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Добавьте тот же ключ на первом шаге на первичный сервер.

   # add the key from Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Используйте Set-AzSqlInstanceTransparentDataEncryptionProtector , чтобы задать ключ в качестве основного средства защиты на сервере-источнике с автоматическим поворотом trueключа.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Смените ключ хранилища ключей в Key Vault с помощью команды Get-AzKeyVaultKey и Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Проверьте, имеет ли SQL Server (первичный и вторичный) новый ключ или версию ключа:

   Примечание.

   Смена ключей может занять до часа, чтобы применить к серверу. Подождите по крайней мере час перед выполнением этой команды.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Использование разных ключей для каждого сервера

Можно настроить первичные и вторичные серверы с другим ключом хранилища ключей при настройке TDE с помощью CMK в портал Azure. В портал Azure не видно, что ключ, используемый для защиты первичного сервера, также является тем же ключом, который защищает базу данных-источник, которая была реплика перенесена на сервер-получатель. Однако для получения сведений о ключах, используемых на сервере, можно использовать PowerShell, Azure CLI или REST API. В этом примере показано, что автоматически вращаемые ключи передаются с первичного сервера на дополнительный сервер.

Ниже приведен пример использования команд PowerShell для проверка ключей, передаваемых с первичного сервера на дополнительный сервер после смены ключей.

1. Выполните следующую команду на основном сервере, чтобы отобразить ключевые сведения сервера:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Должен отобразиться примерно такой результат:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Выполните ту же Get-AzSqlServerKeyVaultKey команду на вторичном сервере:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Если сервер-получатель имеет средство защиты TDE по умолчанию, используя другой ключ, отличный от первичного сервера, вы увидите два (или более) ключа. Первый ключ является предохранителем TDE по умолчанию, а второй — ключом, используемым на первичном сервере, используемым для защиты реплика базы данных.

5. Когда ключ поворачивается на первичном сервере, он автоматически передается на дополнительный сервер. Если вы снова запустите Get-AzSqlServerKeyVaultKey сервер-источник, вы увидите два ключа. Первый ключ — это исходный ключ, а второй — текущий ключ, созданный в рамках смены ключа.

6. Get-AzSqlServerKeyVaultKey При выполнении команды на сервере-получателе также должны отображаться те же ключи, которые присутствуют на основном сервере. Это подтверждает, что сменяемые ключи на сервере-источнике автоматически передаются на сервер-получатель и используются для защиты базы данных реплика.

Смена ключей вручную

Смена ключей вручную использует следующие команды, чтобы добавить новый ключ, который может находиться под новым именем ключа или даже другим хранилищем ключей. Использование этого подхода поддерживает добавление аналогичного ключа в разные хранилища ключей для поддержки сценариев высокой доступности и географического аварийного восстановления. Смена ключей вручную также может быть выполнена с помощью портал Azure.

При смене ключа вручную при создании новой версии ключа в хранилище ключей (вручную или с помощью политики автоматического поворота ключей в хранилище ключей) то же самое необходимо задать вручную в качестве предохранителя TDE на сервере.

Примечание.

Общая длина имени хранилища ключей и имени ключа не может превышать 94 символа.

Портал

На портале Azure:

1. Перейдите в меню прозрачного шифрования данных для существующего сервера или управляемого экземпляра.
2. Выберите параметр ключа, управляемый клиентом, и выберите хранилище ключей и ключ, которые будут использоваться в качестве нового средства защиты TDE.
3. Выберите Сохранить.

PowerShell

Используйте команду Add-AzKeyVaultKey, чтобы добавить новый ключ в хранилище ключей.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Для База данных SQL Azure используйте:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Для Управляемый экземпляр SQL Azure используйте:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

CLI Azure.

Используйте команду az keyvault key create, чтобы добавить новый ключ в хранилище ключей.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Для База данных SQL Azure используйте:

• az sql server key create
• az sql server tde-key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Для Управляемый экземпляр SQL Azure используйте:

• az sql mi key create
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Переключение режима предохранителя TDE

Портал

С помощью портал Azure для переключения защиты TDE с управляемого Корпорацией Майкрософт режима BYOK:

1. Перейдите в меню прозрачного шифрования данных для существующего сервера или управляемого экземпляра.
2. Выберите параметр ключа, управляемого клиентом.
3. Выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE.
4. Выберите Сохранить.

PowerShell

База данных SQL Azure

• Чтобы переключить защиту TDE из режима BYOK, управляемого корпорацией Майкрософт, используйте команду Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт, используйте команду Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Управляемый экземпляр SQL Azure

• Чтобы переключить защиту TDE из режима BYOK, управляемого корпорацией Майкрософт, используйте команду Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт, используйте команду Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

CLI Azure.

База данных SQL Azure

В следующих примерах используется команда az sql server tde-key set.

• Чтобы переключить защиту TDE из управляемого Корпорацией Майкрософт режима BYOK, выполните следующие действия.

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Управляемый экземпляр SQL Azure

В следующих примерах используется az sql mi tde-key set.

• Чтобы переключить защиту TDE из управляемого Корпорацией Майкрософт режима BYOK, выполните следующие действия.

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Связанный контент

• Если есть риск безопасности, узнайте, как удалить потенциально скомпрометированный предохранитель TDE: удалите потенциально скомпрометированный ключ.

• Начало работы с интеграцией Azure Key Vault и поддержка при создании собственных ключей для TDE: включение прозрачного шифрования данных с помощью собственного ключа из Key Vault с помощью PowerShell.