Управление ключами шифрования

Применимо к Dynamics 365 (сетевая версия), версия 9.0

Все экземпляры Microsoft Dynamics 365 (Online) используют прозрачное шифрование данных (TDE) SQL Server для выполнения шифрования данных в реальном времени при записи на диск, которое также называется неактивным шифрованием.

По умолчанию Корпорация Майкрософт хранит ключи шифрования баз данных для вашего экземпляра Dynamics 365 (Online) и управляет ими, так что вам не требуется это делать. Функция управления ключами в Центр администрирования Dynamics 365 предоставляет администраторам возможность самостоятельно управлять ключами шифрования баз данных, которые связаны с экземплярами Dynamics 365 (Online).

Введение в управление ключами

С помощью функции управления ключами Dynamics 365 (Online) администраторы могут предоставить собственный ключ шифрования или запросить создание ключа шифрования, используемого для шифрования базы данных для экземпляра.

Функция управления ключами поддерживает и PFX-, и BYOK-файлы ключей шифрования, например как те, которые хранятся в модуле обеспечения безопасности оборудования (HSM). Чтобы использовать параметр отправки ключей шифрования, необходимо иметь общедоступный и закрытый ключи шифрования.

Функция управления ключами упрощает управление ключами шифрования с помощью Azure Key Vault для безопасного хранения ключей шифрования. Azure Key Vault помогает обеспечить защиту криптографических ключей и секретов, используемых облачными приложениями и службами. Функция управления ключами не требуется наличия подписки Azure Key Vault, и в большинстве ситуаций вам не придется получать доступ к ключам шифрования, используемым для Dynamics 365 (Online) в хранилище.

Функция управления ключами позволяет выполнять следующие задачи.

  • Включать возможность самостоятельно управлять ключами шифрования баз данных, связанными с экземплярами Dynamics 365 (Online).

  • Создавать новые ключи шифрования и отправлять существующие PFX- или .BYOK-файлы ключей шифрования.

  • Заблокировать экземпляр Dynamics 365 (Online).

    Внимание!

    Не рекомендуется блокировать экземпляр в рамках обычного бизнес-процесса. Если экземпляр Dynamics 365 (Online) заблокирован, экземпляр переходит в режим автономной работы и к нему не могут получить доступ другие пользователи, включая Корпорация Майкрософт. Кроме того, прекращается работа служб, таких как синхронизация и обслуживание. Веской причиной заблокировать экземпляр будет перемещение базы данных из сетевой в локальную версию. Заблокировав экземпляр, можно гарантировать, что никто не сможет получить доступ к интерактивным данным.

    Заблокированный экземпляр невозможно восстановить из резервной копии.

  • Разблокировать экземпляр Dynamics 365 (Online). Чтобы разблокировать заблокированный экземпляр Dynamics 365 (Online), необходимо отправить ключ шифрования, который использовался для его блокировки. Если экземпляр Dynamics 365 (Online) заблокирован, к нему не могут получить доступ другие пользователи.

Общие сведения о потенциальном риске при самостоятельном управлении ключами

Как и в любой критичной для бизнеса ситуации, необходимо доверять персоналу внутри организации с доступом на уровне администратора. Прежде чем использовать функцию управления ключами, следует оценить риск самостоятельного управления ключами шифрования баз данных. Возможна ситуация, когда злонамеренный администратор (пользователь, которому предоставлен доступ на уровне администратора или который получил его с целью умышленно навредить безопасности или бизнес-процессам организации), работающий в организации, может использовать функцию управления ключами для создания ключа, с помощью которого можно заблокировать экземпляр Dynamics 365 (Online). Рассмотрите следующую последовательность событий.

  1. Злонамеренный администратор входит в Центр администрирования Dynamics 365, переходит на страницу редактирования экземпляра и создает новый ключ шифрования, чтобы зашифровать экземпляр. В процессе создания ключа злонамеренный администратор Dynamics 365 загружает ключ шифрования.

  2. Злонамеренный администратор блокирует связанный экземпляр Dynamics 365 (Online), а затем забирает или удаляет ключ шифрования, который использовался для блокировки экземпляра.

Обратите внимание, что изменение ключа шифрования занимает 72 часа. Кроме того, при каждом изменении ключа шифрования для экземпляра Dynamics 365 (Online) все администраторы Dynamics 365 (Online) получают сообщение электронной почты с уведомлением о смене ключа. В результате у вас будет до 72 часов для того, чтоб отменить все несанкционированные изменения.

Однако, если после 72 часов изменение ключа не отменено, экземпляр Dynamics 365 (Online) останется заблокированным, пока не будет найден ключ шифрования, который использовался для его блокировки, чтобы разблокировать экземпляр.

Требования к управлению ключами

Требуемые привилегии

Чтобы использовать функцию управления ключами, требуется одна из следующих привилегий:

  • Наличие роли глобального администратора Office 365.

  • Членство в группе администраторов службы Office 365.

  • Роль безопасности системного администратора для экземпляра Dynamics 365 (Online), для которого требуется управлять ключами шифрования.

Требования к подписке

Возможность самостоятельно управлять ключами шифрования баз данных требует Dynamics 365 Customer Engagement Plan Enterprise Edition или план Dynamics 365.

Поддержка версии Dynamics 365

Самостоятельно управляемые ключи шифрования баз данных доступны только в обновлении за январь 2017 г. для Microsoft Dynamics 365 (Online) и могут быть недоступны в более поздних версиях.

Требования к ключам шифрования

Если вы предоставляет собственный ключ шифрования, ваш ключ должен отвечать следующим требованиям, принятым Azure Key Vault.

  • Формат файла ключа шифрования должен быть PFX или BYOK.

  • 2048-разрядный RSA или RSA-HSM тип ключа.

  • PFX-файлы ключей шифрования должны быть защищены паролем.

Дополнительные сведения о типах ключей, поддерживаемых хранилищем ключей путем загрузки файла, см. в Центр администрирования Dynamics 365. Только зашифрованная версия ключа покидает исходную рабочую станцию. Дополнительные сведения о создании и переносе ключа с защитой HSM по Интернету см. в разделе Создание и перенос ключей с защитой HSM для хранилища ключей Azure.

Задачи управления ключами

В следующих разделах описываются задачи, которые можно выполнить при самостоятельном управлении ключами шифрования баз данных для одного или нескольких экземпляров.

Задание или изменение ключа шифрования для экземпляра

Эта процедура используется для настройки функции управления ключами в первый раз для экземпляра или изменения ключа шифрования для экземпляра с самостоятельным управлением.

  1. Войдите в Центр администрирования Office 365.

  2. Разверните Центр администрирования, а затем щелкните Dynamics 365.

  3. Щелкните Экземпляр, выберите экземпляр, в котором требуется управлять ключом шифрования баз данных, а затем щелкните Изменить.

  4. В разделе Параметры шифрования базы данных щелкните Управлять ключом.

    Кнопка "Управлять ключом"

  5. Просмотрите открывшееся сообщение и, если требуется управлять собственным ключом шифрования баз данных для экземпляра, нажмите кнопку OK.

  6. По умолчанию имя ключа — ключ шифрования InstanceName. Оставьте имя ключа или измените его, а затем щелкните Создать или Отправить.

    Создать новый ключ или отправить ключ

создать
Щелкните Создать, чтобы создать ключ шифрования PFX, который будет использоваться для шифрования базы данных.

1.  При появлении запроса введите пароль, который будет использоваться для ключа шифрования.  

2.  Чтобы использовать ключ для экземпляра, щелкните **Да**.  

3.  При появлении запроса на сохранение закрытого ключа сохраните его в безопасном расположении. Создается 2048-разрядный ключ RSA SHA256. Настоятельно рекомендуется сделать резервную копию ключа и сохранить пароль в безопасном расположении.  

4.  Щелкните **Закрыть**, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.  

отправить
Щелкните Отправить, чтобы предоставить собственный защищенный паролем PFX- или BYOK-файл ключа шифрования.

1.  Найдите и добавьте собственный ключ, который был экспортирован из локального модуля обеспечения безопасности оборудования (HSM) или приложения ключей шифрования. Для BYOK-файлов ключей шифрования проверьте, что используется код подписки при экспорте ключа шифрования из локального HSM. Щелкните **Отправка BYOK-файла?** в диалоговом окне **Управление ключом шифрования баз данных**, чтобы найти код подписки.  

2.  Если вы уверены, что хотите изменять ключ шифрования, щелкните **Да**.  

3.  Введите пароль для ключа и нажмите кнопку **OK**.  

4.  Щелкните **Закрыть**, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.  

5.  Всем администраторам в организации [!INCLUDE[pn_crm_online_shortest](../includes/pn-crm-online-shortest.md)] будет отправлено сообщение электронной почты. Это происходит при изменении ключа для экземпляра.  

Обратите внимание, что имя ключа, указанное для управления параметрами шифрования баз данных, теперь отображается в разделе Текущий ключ шифрования.

Индикация управляемого ключа

Отмена изменения управляемого ключа шифрования

Отмена изменения управляемого ключа возвращает настройки экземпляра по умолчанию, где Корпорация Майкрософт управляет ключом шифрования за вас.

  • В Центр администрирования Dynamics 365 щелкните Экземпляр, выберите экземпляр, в котором требуется отменить изменение ключа шифрования, а затем щелкните Изменить.

  • В разделе Параметры шифрования базы данных щелкните Управлять ключом.

  • Щелкните Отменить.

  • Чтобы отменить изменения экземпляра и вернуться к ключу шифрования, управляемому Корпорация Майкрософт, щелкните Да.

  • Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

Блокировка экземпляра

Заблокированный экземпляр остается недоступным для всех, включая Корпорация Майкрософт, пока администратор клиента в организации не разблокирует его с помощью ключа, который использовался для блокировки экземпляра.

Внимание!

Если экземпляр Dynamics 365 (Online) заблокирован, экземпляр переходит в режим автономной работы и к нему не могут получить доступ другие пользователи, включая Корпорация Майкрософт. Кроме того, прекращается работа служб, таких как синхронизация и обслуживание. Не рекомендуется блокировать экземпляр в рамках обычного бизнес-процесса. Распространенной причиной заблокировать экземпляр будет перемещение базы данных из сетевой в локальную версию. Заблокировав экземпляр, можно гарантировать, что никто не сможет получить доступ к интерактивным данным.

Заблокированный экземпляр невозможно восстановить из резервной копии.

  1. В Центр администрирования Dynamics 365 щелкните Экземпляр, выберите экземпляр, который требуется заблокировать, а затем щелкните Изменить.

  2. В разделе Параметры шифрования базы данных щелкните Управлять ключом.

  3. Щелкните Заблокировать экземпляр.

  4. Введите имя так, как оно отображается в диалоговом окне, чтобы подтвердить, что вы понимаете риски блокировки экземпляра, а затем щелкните Отправить.

  5. Найдите и выберите файл ключа шифрования, который использовался для шифрования экземпляра, а затем щелкните Открыть.

  6. Введите пароль для ключа и нажмите кнопку OK.

  7. Чтобы заблокировать экземпляр, щелкните Да.

  8. Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

Разблокировка заблокированного экземпляра

Чтобы разблокировать экземпляр, необходимо предоставить ключ шифрования и пароль, который использовался для блокировки экземпляра.

  1. В Центр администрирования Dynamics 365 щелкните Экземпляр, выберите экземпляр, который требуется разблокировать, а затем щелкните Изменить.

  2. В разделе Параметры шифрования базы данных щелкните Управлять ключом.

  3. Щелкните Разблокировать экземпляр.

    Разблокировка экземпляра

  4. Найдите и выберите ключ шифрования, который использовался для шифрования экземпляра, а затем щелкните Открыть.

  5. Введите пароль для ключа и нажмите кнопку OK.

  6. Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

См. также

SQL Server. Прозрачное шифрование данных (TDE)