Müşteri tarafından yönetilen anahtarlarla SQL Yönetilen Örneği

Bu makalede, Azure Key Vault kullanarak bölgeler arası otomatik yük devretme grubundaki SQL yönetilen örnekleri için kendi Saydam Veri Şifrelemesi (TDE) anahtarlarınızı nasıl yönetebileceğiniz açıklanmaktadır.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

TDE anahtarlarının daha fazla yedekli olması için, Azure SQL Yönetilen Örneği kendi bölgesindeki anahtar kasasını birincil ve uzak bölgedeki anahtar kasasını ikincil olarak kullanacak şekilde yapılandırılır.

İkincil anahtar kasası örneği, uzak bir bölgedeyken SQL yönetilen örneğiyle aynı bölgede özel bir uç noktaya sahiptir. Bu nedenle, SQL yönetilen örneği söz konusu olduğunda, hem birincil hem de ikincil anahtar kasalarına yapılan istekler mantıksal olarak aynı sanal ağ ve bölge içindedir. Bu tasarım daha kolay güvenlik duvarı veya ağ güvenlik grubu kuralları sağlar. Birçok kuruluş genel uç noktaya erişmek yerine özel uç nokta kullanır. Özel uç nokta kullanmanızı öneririz.

Veri akışı

1. her 10 dakikada bir SQL Yönetilen Örneği, birincil olarak tanımlanan anahtar kasasında TDE sarmalayıcıya erişebildiğinden emin olmak için denetler.

2. SQL Yönetilen Örneği birincil anahtar kasası kullanılamaz duruma gelirse, bu örnek ikincil olarak ayarlanan anahtar kasasını denetler. Bu anahtar kasası da kullanılamıyorsa SQL Yönetilen Örneği veritabanlarını "erişilemez" olarak işaretler.

Bileşenler

• Key Vault , gelişmiş güvenlikle gizli dizileri depolamaya ve bunlara erişmeye yönelik bir bulut hizmetidir. Bu mimaride, TDE tarafından kullanılan anahtarları depolamak için kullanılır. Anahtar oluşturmak için de kullanabilirsiniz.
• SQL Yönetilen Örneği, Azure'da SQL Server'ın en son kararlı sürümünü temel alan yönetilen bir örnektir. Bu mimaride anahtar yönetimi işlemi, SQL Yönetilen Örneği depolanan verilere uygulanır.
• Azure Özel Bağlantı, sanal ağınızdaki özel bir uç nokta üzerinden Azure PaaS hizmetlerine ve Azure'da barındırılan hizmetlere erişmenizi sağlar.

Alternatifler

• Müşteri tarafından yönetilen TDE anahtarlarını kullanmak yerine, hizmet tarafından yönetilen TDE anahtarlarını kullanabilirsiniz. Hizmet tarafından yönetilen anahtarları kullandığınızda, Microsoft anahtarların güvenliğini sağlamayı ve döndürmeyi işler. Tüm süreç sizden soyutlanır.

• İki bölgede anahtar kasalarına sahip olmanın bir alternatifi, tek bir bölgede yalnızca bir tane olmasıdır. SQL Yönetilen Örneği başka bir bölgedeki kasadan anahtarlara erişebilir. Özel uç noktayı kullanmaya devam edebilirsiniz. Key Vault trafiği düşük ve seyrek olduğundan gecikme süresi fark edilmez. SQL Yönetilen Örneği anahtarın mevcut olup olmadığını görmek için yalnızca kasayı sorgular. Malzemeyi kopyalamaz.

Senaryo ayrıntıları

Kendi anahtarını getir (BYOK) olarak da adlandırılan müşteri tarafından yönetilen anahtarları (CMK) kullandığınızda anahtarların güvenliği, kullanılabilirliği ve isteğe bağlı döndürmesi sizin sorumluluğunuzdadır. Anahtar kaybolursa veritabanları ve yedeklemeler de kalıcı olarak kaybedildiğinden bu sorumluluklar kritik önem taşır. Bu makalede, önemli yönetim süreci açıklanır ve işletmeniz için en iyi süreç hakkında bilinçli bir karar vermek için ihtiyacınız olan bilgilere sahip olmanız için seçenekler sağlanır.

Olası kullanım örnekleri

Birçok kuruluş, sertifikaların veya şifreleme anahtarlarının dahili olarak oluşturulmasını ve yönetilmesini gerektiren ilkelere sahiptir. Kuruluşunuzun benzer bir ilkesi varsa, bu mimari sizin için geçerli olabilir. Müşterileriniz bu öğelerin iç yönetimine ihtiyaç duyuyorsa mimari sizin için de geçerli olabilir. Bu durumların hiçbiri geçerli değilse sistem tarafından yönetilen anahtarları kullanmayı göz önünde bulundurun.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Genel öneriler

Şu makalelere bakın:

• Müşteri tarafından yönetilen TDE'yi yapılandırmak için Öneriler
• TDE koruyucusu yapılandırmak için Öneriler

Anahtar yönetimi

Anahtar döndürme yönteminiz, TDE asimetrik anahtarlarınızı oluşturmak için ne kullandığınıza bağlı olarak farklılık gösterir. Kendi TDE sarmalayıcı anahtarınızı getirdiğinizde, bu anahtarı nasıl oluşturacağınız konusunda karar vermeniz gerekir. Seçenekleriniz aşağıdaki gibidir:

• Anahtarları oluşturmak için Key Vault'u kullanın. Bu seçenek, özel anahtar malzemesinin Key Vault'dan asla ayrılmamasını ve herhangi bir insan veya sistem tarafından görülemesini sağlar. Özel anahtarlar dışarı aktarılamaz, ancak yedeklenebilir ve başka bir anahtar kasasına geri yüklenebilir. Bu nokta önemlidir. Birden çok anahtar kasasında aynı anahtar malzemesine sahip olmak için, bu tasarımın gerektirdiği şekilde yedekleme ve geri yükleme özelliğini kullanmanız gerekir. Bu seçeneğin çeşitli sınırlamaları vardır. Her iki anahtar kasası da aynı Azure coğrafyasında ve aboneliğinde olmalıdır. Aksi takdirde geri yükleme çalışmaz. Bu sınırlamanın tek yolu anahtar kasalarını ayrı aboneliklerde tutmak ve bir aboneliği başka bir bölgeye taşımaktır.

• OpenSSL gibi bir yardımcı programı kullanarak asimetrik anahtarları çevrimdışı oluşturun ve ardından anahtarları Key Vault'a aktarın. Anahtarı Key Vault'a aktardığınızda, anahtarı dışarı aktarılabilir olarak işaretleyebilirsiniz. Bunu yaparsanız anahtarları Key Vault'a aktardıktan sonra atabilir veya şirket içi veya başka bir anahtar kasası gibi başka bir yerde depolayabilirsiniz. Bu seçenek size en fazla esnekliği sağlar. Ancak, anahtarların yanlış ellere girmediğinden emin değilseniz en az güvenli olabilir. Anahtarları oluşturan sistem ve anahtarları Key Vault'a yerleştirmek için kullanılan yöntem Azure tarafından denetlenmiyor. Azure DevOps, Azure Otomasyonu veya başka bir düzenleme aracı kullanarak bu işlemi otomatikleştirebilirsiniz.

• Anahtarlarınızı oluşturmak için desteklenen bir şirket içi donanım güvenlik modülü (HSM) kullanın. Desteklenen bir HSM kullanarak anahtarları gelişmiş güvenlikle Key Vault'a aktarabilirsiniz. Daha önce açıklanan aynı coğrafya sınırlaması, HSM kullandığınızda geçerli değildir. Anahtar malzemesi üç ayrı yerde (Azure'da ve şirket içinde iki anahtar kasası) bulunduğundan bu seçenek anahtarlarınız için yüksek düzeyde güvenlik sağlar. Bu seçenek, desteklenen bir HSM kullanıyorsanız aynı düzeyde esneklik de sağlar.

Kullanılabilirlik

Mimarinize Key Vault eklediğinizde, bu kritik bir bileşen haline gelir. Tasarımdaki anahtar kasalarından en az birinin erişilebilir olması gerekir. Ayrıca, TDE için gerekli olan anahtarların erişilebilir olması gerekir. Azure İzleyici Analizler, Key Vault'un kapsamlı bir şekilde izlenmesini sağlar. Daha fazla bilgi için bkz . Anahtar kasası hizmetinizi izleme.

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

Hizmet tarafından yönetilen anahtarlardan müşteri tarafından yönetilen anahtarlara geçtiğinizde, işlemleriniz şöyle olur:

• Anahtar oluşturma veya Key Vault'a aktarma
• Dönen tuşlar
• Anahtarları yedekleme ve geri yükleme
• Müşteri tarafından yönetilen TDE'yi izleme

DevOps

Anahtar döndürme işlemini otomatikleştirmek için Azure DevOps'ta Azure Pipelines'ı kullanabilirsiniz.

Performans verimliliği

Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

SQL Yönetilen Örneği otomatik yük devretme grupları, eşleştirilmiş bölgeleri kullandığınızda önemli ölçüde daha iyi performans gösterir.

SQL Yönetilen Örneği yalnızca anahtarın var olup olmadığını denetler ve bunu yalnızca 10 dakikada bir yapar. Bu nedenle SQL Yönetilen Örneği, Key Vault ile bölge benleştirmesi gerektirmez. TDE anahtarlarınızın konumunun performans üzerinde hiçbir etkisi yoktur.

Ölçeklenebilirlik

TDE anahtarlarınızı yönetme konusunda ölçeklendirme önemli değildir. İstek boyutu ve sıklığı o kadar küçüktür ki ölçeklendirmeniz gerekmez.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Güvenlik açısından en önemli nokta, TDE sarmalayıcı anahtarınızı güvenli ve SQL Yönetilen Örneği her zaman kullanılabilir durumda tutmanızı sağlamaktır. Key Vault'ta gerekli anahtara erişemezse, TDE aracılığıyla şifrelenen tüm veritabanlarına erişilemez. Hizmet tarafından yönetilen anahtarlar kullanıyorsanız, bu konuda endişelenmeniz gerekmez.

Dayanıklılık

Her SQL yönetilen örneği iki anahtar kasası kullanacak şekilde yapılandırılır. SQL yönetilen örneği birincil TDE anahtarı kullanılamıyor veya erişilemiyorsa, örnek ikincil anahtar kasasında eşleşen parmak izi olan bir anahtar bulmaya çalışır.

Maliyet iyileştirme

Eklenen operasyonel maliyetlerin dışında kendi TDE anahtarlarınızı yönetmenin ek maliyetleri hakkında bilgi için şu kaynaklara bakın:

• Azure Key Vault fiyatlandırması
• Özel uç nokta fiyatlandırması

İsteğe bağlı bileşenler hakkında bilgi için şu kaynaklara bakın:

• Azure DevOps fiyatlandırması
• Azure Otomasyonu fiyatlandırması

Bu senaryoyu dağıtın

Bu arm şablonlarını kullanarak bu senaryoya dağıtabilirsiniz:

• SQL Yönetilen Örneği
• Azure Key Vault

Katkıda Bulunanlar

Bu makale Microsoft tarafından güncelleştiriliyor ve korunüyor. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Ahmet Arsan | Üst Düzey Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Müşteri tarafından yönetilen anahtarları kullanarak yedekleme verilerini şifreleme
• Azure SQL Yönetilen Örneği nedir?
• Azure Key Vault temel kavramları

İlgili kaynaklar

• Azure SQL Veritabanı ve SQL Yönetilen Örneği için yüksek kullanılabilirlik