Upravljanje šifrirnih ključev

Velja za: Dynamics 365 (v spletu), različica 8.x

Vsi primerki programa Dynamics 365 (online) uporabljajo pregledno šifriranje podatkov (TDE) strežnika SQL Server za izvajanje sprotnega šifriranja podatkov, ki se zapisujejo na disk, imenovano tudi šifriranje neaktivnih podatkov.

Privzeto Microsoft shranjuje in upravlja šifrirne ključe zbirke podatkov za vaše primerke programa Dynamics 365 (online), zato se vam ni treba ukvarjati s tem. Funkcija za upravljanje ključev v storitvi Skrbniško središče Dynamics 365 skrbnikom omogoča možnost samostojnega upravljanja šifrirnih ključev zbirke podatkov, ki so povezani s primerki programa Dynamics 365 (online).

Pomembno

Šifrirni ključi zbirke podatkov za samostojno upravljanje so na voljo le v programu Paket posodobitev za Dynamics 365 (v spletu), december 2016 in morda ne bodo na voljo pri novejših različicah.

Uvod v upravljanje ključev

Z upravljanjem ključev programa Dynamics 365 (online) lahko skrbniki zagotovijo svoje šifrirne ključe ali se za njih generirajo šifrirni ključi, ki se uporabljajo za zaščito zbirke podatkov primerka.

Funkcija za upravljanje ključev podpira datoteke šifrirnih ključev PFX in BYOK, kot so te, shranjene v strojnem varnostnem modulu (HSM). Za uporabo možnosti nalaganja šifrirnega ključa potrebujete javni in zasebni šifrirni ključ.

Funkcija za upravljanje ključev poenostavi celotno upravljanje šifrirnih ključev, saj za varno shranjevanje šifrirnih ključev uporablja Azure Key Vault. Azure Key Vault pomaga varovati kriptografske ključe in skrivnosti, ki jih uporabljajo aplikacije in storitve v oblaku. Funkcija za upravljanje ključev ne zahteva naročnine na Azure Key Vault in v večini primerov ni potreben dostop do šifrirnih ključev, ki se uporabljajo za Dynamics 365 (online) v trezorju.

Funkcija za upravljanje ključev vam omogoča izvajanje naslednjih opravil.

  • Omogoča vam samostojno upravljanje šifrirnih ključev zbirke podatkov, ki so povezani s primerki Dynamics 365 (online).

  • Omogoča vam ustvarjanje novih šifrirnih ključev ali nalaganje obstoječih datotek šifrirnih ključev .PFX ali .BYOK.

  • Omogoča vam, da zaklenete primerek Dynamics 365 (online).

    Svarilo

    Zaklepanje primerka ne sme biti del običajnega poslovnega procesa. Ko je primerek Dynamics 365 (online) zaklenjen, je primerek popolnoma brez povezave in do njega ne more dostopiti nihče, niti Microsoft. Obenem so zaustavljene tudi storitve, kot sta sinhronizacija in vzdrževanje. Primeren razlog za zaklepanje primerka je na primer premik zbirke podatkov iz spleta na mesto uporabe. Z zaklepanjem primerka zagotovite, da do vaših spletnih podatkov nihče ne bo mogel nikoli več dostopati.

    Zaklenjenega primerka ni mogoče obnoviti iz varnostne kopije.

  • Odkleni primerek Dynamics 365 (online). Za odklepanje zaklenjenega primerka Dynamics 365 (online) morate naložiti šifrirni ključ, ki je bil uporabljen pri zaklepanju tega primerka. Ko je primerek Dynamics 365 (online) zaklenjen, do njega ne more dostopiti nihče.

Razumeti morebitna tveganja, povezana z upravljanjem ključev

Tako kot pri vsakem programu z visoko pomembnostjo za poslovanje mora biti osebje vašega podjetja, ki ima skrbniški dostop, vredno zaupanja. Preden uporabite funkcijo za upravljanje ključev, morate razumeti tveganja, povezana z upravljanjem šifrirnih ključev zbirke podatkov. Ni izključeno, da zlonamerni skrbnik (oseba, ki ji je bil skrbniški dostop dodeljen ali pa si ga je sama pridobila z namenom škodovati varnostnim ali poslovnim procesom podjetja), ki dela v vašem podjetju, uporabi funkcijo za upravljanje ključev in ustvari ključ, s katerim nato zaklene primerek Dynamics 365 (online). Zamislite si naslednje zaporedje dogodkov.

  1. Zlonamerni skrbnik se vpiše v Skrbniško središče Dynamics 365 in na strani za urejanje primerka ustvari nov šifrirni ključ za šifriranje primerka. Zlonamerni skrbnik Dynamics 365 prenese šifrirni ključ, kar je del postopka za ustvarjanje ključa.

  2. Zlonamerni skrbnik zaklene dotični primerek Dynamics 365 (online) in vzame ali izbriše šifrirni ključ, ki je bil uporabljen pri zaklepanju.

Pomembno

Za preprečevanje tega, da zlonamerni upravitelj onemogoči poslovne procese z zaklepanjem zbirke podatkov, funkcija za upravljanje ključev ne dovoli zaklepa zbirke podatkov 72 ur po spremembi šifrirnega ključa. Poleg tega ob vsaki spremembi šifrirnega ključa za primerek Dynamics 365 (v spletu) vsi skrbniki za Dynamics 365 (v spletu) prejmejo e-poštno sporočilo z opozorilom o spremembi ključa. To zagotavlja do 72 ur časa, v katerem lahko drugi skrbniki razveljavijo morebitne nepooblaščene spremembe ključa.

Zahteve za upravljanje ključev

Zahtevane pravice

Za uporabo funkcije za upravljanje ključev potrebujete eno od naslednjih pravic:

  • Članstvo za globalne skrbnike za Office 365.

  • Članstvo v skupini skrbnikov storitev za Office 365.

  • Varnostno vlogo skrbnika sistema za primerek storitve Dynamics 365 (online), za katerega želite upravljati ključ.

Zahtevane naročnine

Če želite sami upravljati šifrirne ključe zbirke podatkov, potrebujete Dynamics 365 Customer Engagement Plan ali paket Dynamics 365.

Zahteve za šifrirne ključe

Če sami priskrbite svoj šifrirni ključ, mora ta ključ izpolnjevati naslednje zahteve, ki jih sprejema Azure Key Vault.

  • Oblika zapisa datoteke šifrirnega ključa mora biti PFX ali BYOK.

  • Vrsta ključa: 2048-bitni ključ RSA ali RSA-HSM.

  • Datoteke šifrirnega ključa PFX morajo biti zaščitene z geslom.

Več informacij o vrstah ključev, ki jih podpira shramba ključev, z nalaganjem datoteke v Skrbniško središče Dynamics 365. Le šifrirana različica ključa zapusti izvirno delovno postajo. Za več informacij o ustvarjanju in prenosu ključa z zaščito HSM prek spleta glejte razdelek Kako ustvariti in prenesti ključe z zaščito HSM za storitev Azure Key Vault.

Opravila upravljanja ključev

V naslednjih razdelkih so opisana opravila, ki jih lahko izvedete, ko se odločite za samostojno upravljanje šifrirnih ključev za enega ali več primerkov.

Nastavite ali spremenite šifrirni ključ za primerek

S tem postopkom lahko nastavite funkcijo za upravljanje ključev ob prvi obravnavi določenega primerka ali spremenite šifrirni ključ za primerek, ki ga že upravljate sami.

  1. Vpišite se v skrbniško središče za Office 365.

  2. Razširite Skrbniška središča in kliknite Dynamics 365.

  3. Kliknite Primerek, nato izberite primerek, za katerega želite upravljati šifrirni ključ zbirke podatkov, in kliknite Uredi.

  4. V nastavitvah šifriranja zbirke podatkov kliknite Upravljanje ključa.

    Gumb za upravljanje ključev

  5. Preberite prikazano sporočilo in kliknite V redu, če želite sami upravljati šifrirni ključ zbirke podatkov.

  6. Privzeto ime ključa je Šifrirni ključ InstanceName. Ohranite ime ključa ali ga spremenite, nato kliknite Novo ali Naloži.

    Ustvarjanje novega ključa ali prenos ključa

novo
Kliknite Novo, če želite ustvariti šifrirni ključ .PFX za šifriranje zbirke podatkov.

1.  Ko vas računalnik pozove, vnesite geslo, ki ga boste uporabljali za šifrirni ključ.  

2.  Če želite ključ uporabiti za primerek, kliknite **Da**.  

3.  Ko vas računalnik pozove, da shranite zasebni ključ, ga shranite na varno mesto. Ustvarjeni ključ je 2048-bitni ključ RSA SHA256. Zelo priporočamo, da ustvarite varnostno kopijo ključa in geslo shranite na varno mesto.  

4.  Kliknite **Zapri**, da zaprete pogovorno okno upravljanja šifrirnega ključa zbirke podatkov.  

naloži
Kliknite Naloži, da naložite datoteko šifrirnega ključa PFX ali BYOK, zaščiteno z vašim geslom.

1.  Poiščite in dodajte ključ, ki ste ga izvozili iz svojega lokalnega strojnega varnostnega modula (HSM) ali programa za šifrirne ključe. Pri datotekah šifrirnega ključa BYOK poskrbite, da pri izvozu šifrirnega ključa iz lokalnega HSM uporabite ID naročnine. Kliknite **Nalaganje datoteke BYOK?** v pogovornem oknu **Upravljanje šifrirnega ključa zbirke podatkov**, da prikažete ID naročnine.  

2.  Če ste prepričani, da želite spremeniti šifrirni ključ, kliknite **Da**.  

3.  Vnesite geslo šifrirnega ključa in kliknite **V redu**.  

4.  Kliknite **Zapri**, da zaprete pogovorno okno upravljanja šifrirnega ključa zbirke podatkov.  

5.  Vsi skrbniki [!INCLUDE[pn_crm_online_shortest](../includes/pn-crm-online-shortest.md)] v vašem podjetju bodo prejeli e-poštno sporočilo. To se zgodi vsakič, ko je za nek primerek šifrirni ključ spremenjen.  

Upoštevajte, da se ime ključa, ki ste ga določili za upravljanje nastavitev šifriranja zbirke podatkov, prikaže v polju Trenutni šifrirni ključ.

Oznaka upravljanega ključa

Povrnitev upravljanega šifrirnega ključa

Povrnitev upravljanega ključa konfigurira primerek nazaj na privzeto vedenje in Microsoft prevzame upravljanje šifrirnega ključa namesto vas.

  • V Skrbniško središče Dynamics 365 kliknite Primerek, nato izberite primerek, ki ga želite povrniti, in kliknite Uredi.

  • V nastavitvah šifriranja zbirke podatkov kliknite Upravljanje ključa.

  • Kliknite Povrni.

  • Če želite primerek povrniti in upravljanje šifrirnega ključa prenesti nazaj na Microsoft, kliknite Da.

  • Kliknite Zapri, da zaprete pogovorno okno upravljanja šifrirnega ključa zbirke podatkov.

Zaklepanje primerka

Do zaklenjenega primerka ne more dostopiti nihče, niti Microsoft, dokler ga skrbnik najemnikov v vašem podjetju ne odklene s ključem, ki je bil uporabljen pri zaklepanju tega primerka.

Svarilo

Ko je primerek Dynamics 365 (online) zaklenjen, je primerek popolnoma brez povezave in do njega ne more dostopiti nihče, niti Microsoft. Obenem so zaustavljene tudi storitve, kot sta sinhronizacija in vzdrževanje. Zaklepanje primerka ne sme biti del običajnega poslovnega procesa. Pogost razlog za zaklepanje primerka je na primer premik zbirke podatkov iz spleta na mesto uporabe. Z zaklepanjem primerka zagotovite, da do vaših spletnih podatkov nihče ne bo mogel nikoli več dostopati.

Zaklenjenega primerka ni mogoče obnoviti iz varnostne kopije.

  1. V Skrbniško središče Dynamics 365 kliknite Primerek, nato izberite primerek, ki ga želite zakleniti, in kliknite Uredi.

  2. V nastavitvah šifriranja zbirke podatkov kliknite Upravljanje ključa.

  3. Kliknite Zakleni primerek.

  4. Vnesite ime, kot je prikazano v pogovornem oknu, da potrdite, da razumete tveganja, ki so povezana z zaklepanjem primerka, in nato kliknite Naloži.

  5. Poiščite in izberite datoteko šifrirnega ključa, ki ste jo uporabili za šifriranje primerka, in nato kliknite Odpri.

  6. Vnesite geslo šifrirnega ključa in kliknite V redu.

  7. Za zaklepanje primerka kliknite Da.

  8. Kliknite Zapri, da zaprete pogovorno okno upravljanja šifrirnega ključa zbirke podatkov.

Odklepanje zaklenjenega primerka

Za odklepanje primerka morate vnesti šifrirni ključ in geslo, ki ste ju uporabili pri zaklepanju primerka.

  1. V Skrbniško središče Dynamics 365 kliknite Primerek, nato izberite primerek, ki ga želite odkleniti, in kliknite Uredi.

  2. V nastavitvah šifriranja zbirke podatkov kliknite Upravljanje ključa.

  3. Kliknite Odkleni primerek.

    Odklepanje primerka

  4. Poiščite in izberite šifrirni ključ, ki ste ga uporabili za šifriranje primerka, in nato kliknite Odpri.

  5. Vnesite geslo šifrirnega ključa in kliknite V redu.

  6. Kliknite Zapri, da zaprete pogovorno okno upravljanja šifrirnega ključa zbirke podatkov.

Glejte tudi

SQL Server: Pregledno šifriranje podatkov (TDE)