Skydda vilande data i Azure SQL Database och Azure Cosmos DB

Slutförd

De data som din organisation flyttar till Azure innehåller kundinformation och ekonomisk information. Det här är data som måste hållas så säkra som möjligt och samtidigt vara tillgängliga för daglig användning med system och program samt uppfylla regelkrav. Du behöver förstå hur Azure SQL Database och Azure Cosmos DB kan hjälpa dig att uppnå dessa mål.

Här lär du dig om krypteringsfunktionerna i Azure SQL Database och Azure Cosmos DB.

Skydda din Azure SQL-databas med hjälp av transparent datakryptering

Azure SQL-databaser lagrar data i ett strukturerat format inuti datafiler och transaktionsloggfiler. Du kan kryptera dessa filer så att dina data är skyddade om hårddiskarna där de lagras komprometteras eller om datafilerna blir stulna.

För Azure SQL Database kan du aktivera den här typen av kryptering i vila med hjälp av transparent datakryptering. Transparent datakryptering krypterar inte bara datafilerna utan även transaktionsloggfilerna och eventuella säkerhetskopior av dina databaser. Krypteringsprocessen är helt transparent för program som använder databaserna.

För äldre SQL-databaser är transparent datakryptering kanske inte aktiverat som standard. Transparent datakryptering aktiveras som standard för nyetablerade SQL-databaser.

Transparent datakryptering säkerställer att en hel databas krypteras genom en definierad process. En databaskrypteringsnyckel används för att kryptera databasen. Nyckeln skyddas sedan med transparent datakryptering. Skyddet kan vara en nyckel som du har lagrat i Azure Key Vault eller ett certifikat som hanteras åt dig.

Databaskrypteringsnyckeln dekrypteras när databasen startas. Därefter används samma databaskrypteringsnyckel för att dekryptera databasen och kryptera den igen när det behövs.

Du kan aktivera transparent datakryptering manuellt för en SQL Database i Azure via Azure PowerShell, Transact-SQL eller Azure-portalen. På Azure-portalen letar du upp transparent datakryptering under inställningarna i din SQL-databas och väljer sedan .

Följande exempel visar hur du kan konfigurera transparent datakryptering på portalen:

Aktivera transparent datakryptering.

Skydda Azure Cosmos DB-databasen med hjälp av automatisk kryptering i vila

Med Azure Cosmos DB-databaser kan dina data lagras i ostrukturerat format. Azure Cosmos DB-databaser lagras fysiskt på solid state-hårddiskar. På samma sätt som säkerhetskopior lagras Azure Cosmos DB-komponenter på hårddiskar.

Dina mediebilagor, faktiska databaser och säkerhetskopior kan alla skyddas i vila. Och ingen kryptering påverkar serviceavtalen för svarstider och dataflöde för Azure Cosmos DB. Dina data krypteras automatiskt i vila, men krypteras inte automatiskt när de genereras eller används.

Azure Cosmos DB kryptering i bakgrunden.

Data i din Azure Cosmos DB-databas skyddas med AES-256-kryptering. I bakgrunden hanterar Azure Cosmos DB-hanteringstjänsten, med hjälp av ett hemligt arkiv, alla dina krypteringsnycklar och packar upp dem när det behövs. Dessa nycklar används för att kryptera och dekryptera dina data. Microsoft hanterar nycklarna åt dig, och krypteringsnycklarna roteras dessutom för att skydda dina data.

Kryptering i vila är aktiverat som standard. Det innebär att du kan använda nyckelfärdig global distribution och replikera dina data till valfri region, tryggt förvissad om att alla dina data krypteras automatiskt. I själv verket kan du inte inaktivera krypteringen även om du skulle vilja det. Eftersom kryptering är aktiverat som standard finns det inget du behöver göra för att konfigurera Azure Cosmos DB så att dina data krypteras.

Användare upprättar säkra anslutningar med Azure Cosmos DB och skickar data. De data som ska lagras och bevaras i Azure Cosmos DB krypteras och skrivs till säker lagring tillsammans med alla relevanta indexeringsdata. En skyddad säkerhetskopia skapas sedan rutinmässigt.

Testa dina kunskaper

1.

Du har skapat en ny SQL-databas. Hur kan du aktivera kryptering i vila för databasen?

2.

Nycklar används för att kryptera dina Azure Cosmos DB-data. Vad måste du göra med dessa nycklar för att skydda data?