Управљање кључем за шифровање

Сва окружења платформе Microsoft Dataverse користе SQL Server транспарентно шифровање података (TDE) за обављање шифровања уписа на диск у реалном времену, познато и као шифровање у мировању.

Подразумевано, Microsoft складишти и управља кључем за шифровање базе података за ваша окружења, тако да ви не морате да се бринете о томе. Функција управљања кључевима у Microsoft Power Platform центру администрације даје администраторима могућност да сами управљају кључевима за шифровање базе података који су повезани са Dataverse закупцем.

Важно

• Од 2. јуна 2023. године, ова услуга се надограђује на кључ за шифровање којим управља клијент. Нови клијенти који треба да управљају сопственим кључем за шифровање користиће надограђену услугу јер ова услуга више није понуда.
• Кључеви за шифровање самоуправљаних база података доступни су само клијентима који имају више од 1000 Power Apps лиценци по кориснику или више од 1000 лиценци за Dynamics 365 Enterprise или више од 1000 лиценци у комбинацији обе лиценце у једном закупцу. Да бисте се пријавили за овај програм, пошаљите захтев за подршку.

Управљање кључевима за шифровање применљиво је само на базе података Azure SQL окружења. Следеће функције и услуге настављају да користе кључ за шифровање којим управља Корпорација Мицрософт да би шифровали своје податке и не могу се шифровати помоћу самоуправљајућег кључа за шифровање:

• Цопилотс анд генеративе АИ феатурес ин Microsoft Power Platform анд Microsoft Dynamics 365
• Dataverse претрага
• Еластични столови
• Mobile Offline
• Евиденција активности (Microsoft 365 портал)
• Exchange (синхронизација на страни сервера)

Белешка

• Да бисте могли да користите функцију, Microsoft мора да укључи функцију кључа за шифровање базе података за самостално управљање.
• Да бисте користили функције управљања шифровањем података за окружење, окружење мора да се креира након што Microsoft омогући функцију самосталног управљања кључевима за шифровање базе података.
• Након што је функција укључена у закупца, креирају се сва нова окружења само помоћу Азуре СQЛ складишта. Ова окружења, без обзира на то да ли су шифрована помоћу кључа (БYОК) или кључа којим управља Мицрософт, имају ограничења са величином отпремања датотека, не могу да користе услуге Цосмос и Даталаке, Dataverse а индекси претраге су шифровани кључем којим управља Мицрософт. Да бисте користили ове услуге, морате да пређете на кључ којим управља клијент.
• Датотеке и слике са величинама мањим од 128 МБ могу се користити ако је ваше окружење верзија #пии_ајхфххгјз или већа.
• Већина постојећих окружења имају датотеке и евиденцију ускладиштене у базама података које нису Azure SQL. Ова окружења се не могу омогућити за кључ за шифровање за самостално управљање. Само нова окружења (када се региструјете за овај програм) могу бити омогућена помоћу кључа за шифровање за самостално управљање.

Увод у управљање кључевима

Са управљањем кључевима, администратори могу да обезбеде сопствени кључ за шифровање или да имају кључ за шифровање који је за њих генерисан и који се користи за заштиту базе података за окружење.

Функција управљања кључевима подржава PFX и BYOK датотеке кључа за шифровање, као што су оне ускладиштене у хардверском безбедносном модулу (HSM). Да бисте користили опцију отпремања кључа за шифровање, требају вам и јавни и приватни кључ за шифровање.

Функција управљања кључевима уклања сложеност управљања кључевима за шифровање помоћу услуге Azure Key Vault за безбедно складиштење кључева за шифровање. Azure Key Vault омогућава сигурно чување криптографских кључева и тајни које користе апликације и услуге у облаку. Функција управљања кључевима не захтева да имате претплату на Azure Key Vault и у већини случајева нема потребе да приступате кључевима за шифровање који се користе за Dataverse унутар безбедног складишта.

Функција управљања кључевима вам омогућава да извршите следеће задатке.

• Омогућите самостално управљање кључевима за шифровање базе података који су повезани са окружењима.

• Генеришите нови кључеве за шифровање или отпремите постојећу .PFX или .BYOK датотеку са кључем за шифровање.

• Закључајте и откључајте окружења закупца.

  Упозорење

  Док је закупац закључан, нико не може да приступи свим окружењима унутар закупца. Још информација: Закључавање закупца.

Разумевање потенцијалног ризика при управљању кључевима

Као и у случају било које критичне пословне апликације, морате веровати особљу у организацији који имају администраторски ниво приступа. Пре него што будете могли да користите функцију за управљање кључевима, треба да разумете ризик када управљате кључевима за шифровање базе података. Замисливо је да злонамеран администратор (особа којој је омогућен или је придобила администраторски ниво приступа са намером да науди безбедности организације или пословним процесима) који ради у вашој организацији може да користи функцију за управљање кључевима да креира кључ и употреби га да закључа сва окружења у закупцу.

Размотрите следећу секвенцу догађаја.

Злонамерни администратор се пријављује у Power Platform центар администрације, одлази на картицу Окружења и бира Управљање кључем за шифровање. Злонамерни администратор затим креира нови кључ са лозинком и преузима кључ за шифровање на свој локални диск, па активира нови кључ. Сада су све базе података околине шифроване новим кључем. Затим злонамерни администратор закључава закупца са новопреузетим кључем, а затим преузима или брише преузети кључ за шифровање.

Ове радње ће резултирати онемогућавањем свих окружења закупца из мрежног приступа и учиниће да се све сигурносне копије базе података не могу обновити.

Важно

Да бисте спречили злонамерног администратора да прекине пословне операције закључавањем базе података, функција управљаних кључева не дозвољава да окружења закупца буду закључана 72 сата након промене или активирања кључа за шифровање. То другим администраторима даје до 72 часа да врати све неовлашћене промене кључа.

Захтеви за кључ за шифровање

Ако обезбедите сопствени кључ за шифровање, тај кључ мора да испуњава захтеве ове који су прихватљиви за Azure Key Vault.

• Формат датотеке кључа за шифровање мора да буде PFX или BYOK.
• 2048 -битНИ РСА.
• РСА -ХСМ тип кључа (захтева захтев за Мицрософт подршку).
• PFX датотеке кључа за шифровање морају да буду заштићене лозинком.

Више информација о генерисању и пребацивању HSM-заштићеног кључа путем Интернета потражите у чланку Како да генеришете и пренесете HSM заштићене кључеве за услугу Azure Key Vault. Само nCipher HSM кључ добављача је подржан. Пре него што генеришете свој HSM кључ, идите у прозор Power Platform центра администрације Управљање кључевима за шифровање/Креирање новог кључа да бисте преузели ID претплате за регион вашег окружења. Потребно је да копирате и налепите овај ID претплате у свој HSM да бисте креирали кључ. Ово ће осигурати да само наш Azure Key Vault може да отвори вашу датотеку.

Задаци управљања кључевима

Да би се поједноставили кључни задаци управљања, задаци су подељени у три области:

1. Генерисање или отпремање кључа за шифровање за закупца
2. Активирање кључа за шифровање за закупца
3. Управљање шифровањем за окружење

Администратори могу да користе Power Platform центар администрације или cmdlet команде модула за Power Platform администрацију за извршавање овде описаних задатака управљања кључевима за заштиту закупца.

Генерисање или отпремање кључа за шифровање за закупца

Сви кључеви за шифровање смештају се у Azure Key Vault и у било којем тренутку може бити само један активни кључ. Будући да се активни кључ користи за шифровање свих окружења закупца, управљањем шифровањем се управља на нивоу закупца. Када се кључ активира, може се одабрати свако појединачно окружење које ће користити кључ за шифровање.

Користите ову процедуру да бисте подесили функцију управљања кључем први пут за окружење или да промените (или пренесете) кључ за шифровање за већ самостално управљаног закупца.

Упозорење

Када први пут извршите овде описане кораке, одлучујете се за самостално управљање кључевима за шифровање. Још информација: Разумевање потенцијалног ризика при управљању кључевима.

1. Пријавите се у Power Platform центар администрације као администратор (Dynamics 365 администратор, глобални администратор или Microsoft Power Platform администратор).

2. Изаберите картицу Окружења, а затим на траци са алаткама изаберите Управљање кључевима за шифровање.

3. Изаберите Потврди да бисте прихватили ризик управљања кључевима.

4. На траци са алаткама изаберите Нови кључ.

5. У левом окну, довршите детаље да бисте генерисали или отпремили кључ:

   • Изаберите Регион. Ова опција се приказује само ако ваш закупац има више региона.
   • Унесите Назив кључа.
   • Одаберите неку од следећих опција:
     • Да бисте креирали нови кључ, изаберите Генериши нови (.pfx). Још информација: Генериши нови кључ (.pfx).
     • Да бисте користили сопствени генерисани кључ, изаберите Отпреми (.pfx или .byok). Још информација: Отпремите кључ (.pfx или .byok).

6. Изаберите Следеће.

Генеришите нови кључ (.pfx)

1. Унесите лозинку, а затим је поново унесите ради потврде.
2. Изаберите Креирај, а затим изаберите обавештење о креираној датотеци у прегледачу.
3. Датотека кључа за шифровање (.pfx) преузима се у подразумевану фасциклу за преузимање вашег веб-прегледача. Сачувајте датотеку на сигурном месту (препоручујемо да се за овај кључ направи резервна копија заједно са лозинком).

Отпремите кључ (.pfx или .byok)

1. Изаберите Отпремите кључ, одаберите .pfx или .byok¹ датотеку, а затим изаберите Отвори.
2. Унесите лозинку за кључ, а затим изаберите Креирај.

¹ За .byok датотеке кључа за шифровање, уверите се да користите ID претплате као што је приказано на екрану приликом извоза кључа за шифровање из локалног HSM. Још информација: Како генерисати и пренети HSM-заштићене кључеве за Azure Key Vault.

Белешка

Да би смањио број корака за администратора да управља процесом кључа, кључ се аутоматски активира када се први пут учита. Сва наредна слања кључева захтевају додатни корак за активирање кључа.

Активирање кључа за шифровање за закупца

Када се за закупца генерише или отпреми кључ за шифровање, он се може активирати.

1. Пријавите се у Power Platform центар администрације као администратор (Dynamics 365 администратор, глобални администратор или Microsoft Power Platform администратор).
2. Изаберите картицу Окружења, а затим на траци са алаткама изаберите Управљање кључевима за шифровање.
3. Изаберите Потврди да бисте прихватили ризик управљања кључевима.
4. Изаберите кључ који има статус Доступан, а затим изаберите Активирај кључ на траци са алаткама.
5. Кликните на дугме "Потврди" да бисте потврдили промену кључа.

Када активирате кључ за закупца, потребно је неко време да услуга управљања кључевима активира кључ. Статус Стање кључа приказује кључ као Инсталирање када се активира нови или отпремљени кључ. Када се активира кључ, догађа се следеће:

• Сва шифрована окружења аутоматски се шифрују активним кључем (нема прекида рада овом радњом).
• Када се активира, кључ за шифровање биће примењен на сва окружења која се мењају од оног које обезбеђује Microsoft до кључа за шифрирање са самосталним управљањем.

Важно

Да би се поједноставио процес управљања кључевима тако да се свим окружењима управља истим кључем, активни кључ се не може ажурирати када постоје окружења која су закључана. Сва закључана окружења морају се откључати пре него што нови кључ буде могуће активирати. Ако постоје закључана окружења која не морају да се откључавају, морају се избрисати.

Белешка

Након активирања кључа за шифровање, не можете да активирате други кључ током 24 сата.

Управљање шифровањем за окружење

Свако окружење је подразумевано шифровано кључем за шифровање који је обезбедио Microsoft. Када се кључ за шифровање активира за закупца, администратори могу изабрати да промене подразумевано шифровање како би користили активирани кључ за шифровање. Да бисте користили активирани кључ, следите ове кораке.

Примените кључ за шифровање на окружење

1. Пријавите се у Power Platform центар администрације, користећи акредитиве за улогу администратора окружења или администратора система.
2. Изаберите картицу Окружења.
3. Отворите шифровано окружење које је обезбедио Microsoft.
4. Изаберите Види све.
5. У одељку Шифровање окружења, изаберите Управљај.
6. Изаберите Потврди да бисте прихватили ризик управљања кључевима.
7. Изаберите Примените овај кључ да прихвати промену шифровања да се користи активирани кључ.
8. Изаберите Потврди да потврдите да директно управљате кључем и да ће доћи до прекида рада због ове радње.

Вратите управљани кључ за шифровање назад у кључ за шифровање који обезбеђује Microsoft

Повратак на кључ за шифровање који обезбеђује Microsoft конфигурише окружење на подразумевано понашање где Microsoft управља кључем за шифровање за вас.

1. Пријавите се у Power Platform центар администрације, користећи акредитиве за улогу администратора окружења или администратора система.
2. Изаберите картицу Окружења, а затим изаберите окружење које је шифровано кључем са самосталним управљањем.
3. Изаберите Види све.
4. У одељку Шифровање окружења, изаберите Управљај, а затим изаберите Потврди.
5. У делу Врати на стандардно управљање шифровањем изаберите Врати.
6. За производна окружења, потврдите окружење уносом имена окружења.
7. Изаберите Потврди да бисте се вратили на стандардно управљање кључем за шифровање.

Закључавање закупца

Пошто постоји само један активни кључ по закупцу, закључавање шифровања за закупца онемогућава сва окружења која су у закупцу. Сва закључана окружења остају недоступна свима, укључујући Microsoft, док их администратор услуге Power Platform у вашој организацији не откључа користећи кључ који је коришћен за њихово закључавање.

Пажња

Никад не би требало да закључате окружења закупца као део уобичајеног пословног процеса. Када закључате Dataverse закупца, сва окружења биће стављена потпуно ван мреже и њима не може приступити нико, укључујући Microsoft. Поред тога, услуге као што су синхронизација и одржавање су заустављене. Ако одлучите да напустите услугу, закључавањем закупца можете осигурати да вашим мрежним подацима више нико никада не може приступити.
Имајте у виду следеће о закључавању окружења закупца:

• Закључана окружења не могу да се врате у претходно стање из резервне копије.
• Закључана окружења се бришу ако се не откључају након 28 дана.
• Не можете закључати окружења у року од 72 сата након промене кључа за шифровање.
• Закључавање закупца закључава сва активна окружења унутар закупца.

Важно

• Морате сачекати најмање један сат након што закључате активна окружења да бисте их могли откључати.
• Када започне процес закључавања, бришу се сви кључеви за шифровање са статусом „Активан“ или „Доступан“. Процес закључавања може трајати до сат времена, а за то време откључавање закључаних окружења није дозвољено.

1. Пријавите се у Power Platform центар администрације као администратор (Dynamics 365 администратор, глобални администратор или Microsoft Power Platform администратор).
2. Изаберите картицу Окружења, а затим на командној траци изаберите Управљање кључевима за шифровање.
3. Изаберите кључ Активно, а затим изаберите Закључајте активна окружења.
4. У десном окну одаберите Отпреми активни кључ, потражите и изаберите кључ, унесите лозинку, а затим изаберите Закључај.
5. Кад се то од вас затражи, унесите текст који се приказује на екрану да бисте потврдили да желите да закључате сва окружења у региону, а затим изаберите Потврди.

Откључавање закључаних окружења

Да бисте откључали окружења, прво морате отпремити и онда активирати кључ за шифровање закупца са истим кључем који је коришћен за закључавање закупца. Имајте на уму да се закључана окружења не откључавају аутоматски након што се активира кључ. Свако закључано окружење мора се откључати појединачно.

Важно

• Морате сачекати најмање један сат након што закључате активна окружења да бисте их могли откључати.
• Процес откључавања може трајати и до сат времена. Када је кључ откључан, можете га користити за Управљајте шифровањем за окружење.
• Не можете да генеришете нови или отпремите постојећи кључ док се сва закључана окружења не откључају.

Откључавање кључа за шифровање

1. Пријавите се у Power Platform центар администрације као администратор (Dynamics 365 администратор, глобални администратор или Microsoft Power Platform администратор).
2. Изаберите картицу Окружења, а затим изаберите Управљање кључевима за шифровање.
3. Изаберите кључ који има статус Закључан, а затим на командној траци изаберите Откључај кључ.
4. Изаберите Отпреми закључани кључ, потражите и изаберите кључ који сте користили да закључате закупца, унесите лозинку, а затим изаберите Откључај. Кључ прелази у статус Инсталирање. Морате сачекати док кључ не пређе у статус Активан да бисте могли да откључате закључана окружења.
5. Да бисте откључали окружење, погледајте следећи одељак.

Откључавање окружења

1. Изаберите картицу Окружења, а затим изаберите име закључаног окружења.

   Савет

   Немојте изабрати ред. Изаберите име окружења.

2. У одељку Детаљи, изаберите Види све да бисте приказали окно Детаљи с десне стране.

3. У одељку за шифровање Окружења, у окну Детаљи изаберите Управљај.

   

4. На страници Шифровање окружења, изаберите Откључај.

   

5. Изаберите Потврди да бисте потврдили да желите да откључате окружење.

6. Поновите претходне кораке да бисте откључали додатна окружења.

Операције базе података окружења

Закупац клијента може имати окружења која су шифрована помоћу кључа којим управља Microsoft и окружења која су шифрована кључем којим управља клијент. За одржавање интегритета података и заштите података, доступне су следеће контроле приликом управљања операцијама базе података окружења.

1. Враћање у претходно стање Окружење за преписивање (окружење у које се враћа претходни садржај) ограничено је на исто окружење из којег је израђена резервна копија или из другог окружења које је шифровано истим кључем којим управља клијент.

   

2. Копирање Окружење за преписивање (окружење у које се садржај копира) ограничено је на друго окружење које је шифровано истим кључем којим управља клијент.

   

   Белешка

   Ако је креирано окружење за истрагу подршке да би се решио проблем подршке у окружењу којим управља клијент, кључ за шифровање за окружење за истрагу подршке мора бити промењен у кључ којим управља клијент пре него што буде могуће извршити операцију окружења за копирање.

3. Ресетовање Шифровани подаци окружења биће избрисани, укључујући резервне копије. Када се окружење ресетује, шифровање окружења ће се вратити на кључ којим управља Microsoft.

Погледајте и

СQЛ Сервер: прозирно шифровање података (ТДЕ)