Skydda vilande data i Azure SQL Database och Azure Cosmos DB
De data som din organisation flyttar till Azure innehåller kundinformation och ekonomisk information. Det här är data som måste hållas så säkra som möjligt och samtidigt vara tillgängliga för daglig användning med system och program samt uppfylla regelkrav. Du behöver förstå hur Azure SQL Database och Azure Cosmos DB kan hjälpa dig att uppnå dessa mål.
Här lär du dig mer om krypteringsfunktionerna i Azure SQL Database och Azure Cosmos DB.
Skydda din Azure SQL-databas med hjälp av transparent datakryptering
Azure SQL-databaser lagrar data i ett strukturerat format inuti datafiler och transaktionsloggfiler. Du kan kryptera dessa filer så att data förblir säkra. Även om hårddiskarna som lagrar data komprometteras eller om datafilerna blir stulna.
För Azure SQL Database kan du aktivera den här typen av kryptering i vila med hjälp av transparent datakryptering. Transparent datakryptering krypterar inte bara datafilerna utan även transaktionsloggfilerna och eventuella säkerhetskopior av dina databaser. Krypteringsprocessen är helt transparent för program som använder databaserna.
För äldre SQL-databaser är transparent datakryptering kanske inte aktiverat som standard. Transparent datakryptering aktiveras som standard för nyetablerade SQL-databaser.
Transparent datakryptering säkerställer att en hel databas krypteras genom en definierad process. En databaskrypteringsnyckel används för att kryptera databasen. Nyckeln skyddas sedan med transparent datakryptering. Skyddet kan vara en nyckel som du har lagrat i Azure Key Vault eller ett certifikat som hanteras åt dig.
Databaskrypteringsnyckeln dekrypteras när databasen startas. Därefter används samma databaskrypteringsnyckel för att dekryptera databasen och kryptera den igen när det behövs.
Du kan aktivera transparent datakryptering manuellt för en SQL-databas i Azure, via Azure PowerShell, Transact-SQL eller Azure-portalen. I Azure-portalen väljer du din SQL-databas och letar efter Transparent datakryptering under Säkerhet. Välj sedan PÅ.
Följande exempel visar hur du kan konfigurera transparent datakryptering på portalen:
Skydda Azure Cosmos DB-databasen med hjälp av automatisk kryptering i vila
Med Azure Cosmos DB-databaser kan dina data lagras i ostrukturerat format. Azure Cosmos DB-databaser lagras fysiskt på solid state-hårddiskar. På samma sätt som säkerhetskopior lagras Azure Cosmos DB-komponenter på hårddiskar.
Dina mediebilagor, faktiska databaser och säkerhetskopior kan alla skyddas i vila. Och ingen kryptering påverkar serviceavtalen för svarstider och dataflöde för Azure Cosmos DB. Dina data krypteras automatiskt i vila, men krypteras inte automatiskt när de genereras och när de används.
Data i din Azure Cosmos DB-databas skyddas med AES-256-kryptering. I bakgrunden hanterar Azure Cosmos DB-hanteringstjänsten, med hjälp av ett hemligt arkiv, alla dina krypteringsnycklar och packar upp dem när det behövs. Dessa nycklar används för att kryptera och dekryptera dina data. Microsoft hanterar nycklarna åt dig, och krypteringsnycklarna roteras dessutom för att skydda dina data.
Kryptering i vila är aktiverat som standard. Du kan använda nyckelfärdig global distribution och replikera dina data till valfri region, med vetskapen om att alla dina data krypteras automatiskt. I själv verket kan du inte inaktivera krypteringen även om du skulle vilja det. Eftersom kryptering är aktiverat som standard finns det inget du behöver göra för att konfigurera Azure Cosmos DB så att dina data krypteras.
Användare upprättar säkra anslutningar med Azure Cosmos DB och skickar data. De data som ska lagras och bevaras i Azure Cosmos DB krypteras och skrivs till säker lagring tillsammans med alla relevanta indexeringsdata. En skyddad säkerhetskopia skapas sedan rutinmässigt.