SQL Veritabanı, SQL yönetilen örnek ve Azure Synapse Analytics için saydam veri şifrelemesi

Makale
08/28/2021
Okumak için 8 dakika

AŞAĞıDAKILER IÇIN GEÇERLIDIR: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

saydam veri şifrelemesi (tde) , bekleyen verileri şifreleyerek kötü amaçlı çevrimdışı etkinlik tehditlerine karşı Azure SQL Veritabanı, azure SQL yönetilen örneği ve azure Synapse analizlerinin korunmasına yardımcı olur. Bu özellik bütün bir veritabanı, yedekleri ve işlem günlüğü dosyaları için gerçek zamanlı şifreleme ve şifre çözme işlemlerini gerçekleştirir ve uygulamada değişiklik yapmayı gerektirmez. varsayılan olarak, tde, tüm yeni dağıtılan Azure SQL veritabanları için etkinleştirilmiştir ve Azure SQL Veritabanı daha eski veritabanları için el ile etkinleştirilmelidir. Azure SQL yönetilen örneği için tde, örnek düzeyinde ve yeni oluşturulan veritabanlarında etkindir. TDE, Azure SYNAPSE Analytics için el ile etkinleştirilmelidir.

Not

bu makale Azure SQL Veritabanı, azure SQL yönetilen örneği ve azure Synapse Analytics (ayrılmış SQL havuzları (eskiden SQL DW) için geçerlidir. Synapse çalışma alanları içindeki adanmış SQL havuzlara yönelik Saydam Veri Şifrelemesi hakkındaki belgeler için bkz. Azure Synapse Analytics şifreleme.

TDE, verilerin sayfa düzeyindeki gerçek zamanlı g/ç şifrelemesini ve şifresini çözmeyi gerçekleştirir. Okunarak belleğe alınan her sayfanın şifresi çözülür ve sayfalar diske yazılmadan önce şifrelenir. TDE, veritabanı şifreleme anahtarı (DEK) adlı bir simetrik anahtar kullanarak veritabanının tamamının depolanmasını şifreler. veritabanı başlangıcında, şifrelenen DEK şifresi çözülür ve veritabanı dosyalarının şifresini çözmek ve SQL Server veritabanı altyapısı işleminde yeniden şifrelemek için kullanılır. DEK, TDE koruyucusu tarafından korunur. TDE koruyucusu, hizmet tarafından yönetilen bir sertifika (hizmet tarafından yönetilen saydam veri şifrelemesi) veya Azure Key Vault depolanan bir asimetrik anahtardır (müşteri tarafından yönetilen saydam veri şifrelemesi).

Azure SQL Veritabanı ve Azure Synapse için, tde koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili tüm veritabanları tarafından devralınır. Azure SQL yönetilen örneği için, tde koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifreli veritabanları tarafından devralınır. Sunucu terimi, farklı belirtilmedikçe, bu belge boyunca hem sunucu hem de örneğe başvurur.

Önemli

SQL Veritabanı'nda yeni oluşturulan tüm veritabanları, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılarak şifrelenir. Mayıs 2017 öncesinde oluşturulan mevcut SQL veritabanları ve geri yükleme, coğrafi çoğaltma ve veritabanı kopyalama işlevleriyle oluşturulan SQL veritabanları varsayılan olarak şifrelenmez. 2019 şubat tarihinden önce oluşturulan mevcut SQL yönetilen örnek veritabanları varsayılan olarak şifrelenmez. SQL Restore ile oluşturulan yönetilen örnek veritabanları, kaynaktan şifreleme durumunu devralma. mevcut bir tde şifreli veritabanını geri yüklemek için, önce gerekli olan tde sertifikası SQL yönetilen örneğe aktarılmalıdır .

Not

tde, ana veritabanı gibi Azure SQL Veritabanı ve Azure SQL yönetilen örneği gibi sistem veritabanlarını şifrelemek için kullanılamaz. Ana veritabanı, Kullanıcı veritabanlarında TDE işlemleri gerçekleştirmek için gereken nesneleri içerir. Sistem veritabanlarında hassas veri depolamamanız önerilir. Altyapı şifrelemesi , ana dahil sistem veritabanlarını şifreleyen bir şekilde kullanıma sunulmuştur.

Hizmet tarafından yönetilen saydam veri şifrelemesi

Azure 'da, TDE için varsayılan ayar, DEK 'ın yerleşik bir sunucu sertifikasıyla korunmakta olması. Yerleşik sunucu sertifikası her sunucu için benzersizdir ve AES 256 şifreleme algoritması kullanılır. Coğrafi çoğaltma ilişkisine sahip olan veritabanlarında hem birincil hem de coğrafi olarak ikincil veritabanları, birincil veritabanının üst sunucu anahtarıyla korunur. Aynı sunucuya bağlı olan veritabanları aynı yerleşik sertifikayı da paylaşır. Microsoft bu sertifikaları iç güvenlik ilkesiyle uyumlu olarak otomatik olarak döndürür ve kök anahtar Microsoft iç gizli dizisi tarafından korunur. müşteriler, Microsoft güven merkezi'nde bulunan bağımsız üçüncü taraf denetim raporlarında iç güvenlik ilkeleriyle SQL Veritabanı ve yönetilen örnek uyumluluğunu SQL doğrulayabilirler.

Microsoft ayrıca, coğrafi çoğaltma ve geri yükleme için gerektiğinde anahtarları sorunsuzca taşımalı ve yönetir.

Müşteri tarafından yönetilen saydam veri şifrelemesi-Kendi Anahtarını Getir

Ayrıca, müşteri tarafından yönetilen TDE, TDE için Kendi Anahtarını Getir (BYOK) desteği olarak adlandırılır. Bu senaryoda, 1 ' i şifreleyen TDE koruyucu, müşterinin sahip olduğu ve yönetilen bir Azure Key Vault (Azure 'un bulut tabanlı dış anahtar yönetim sistemi) depolanan ve anahtar kasasını hiçbir şekilde bırakmayan, müşteri tarafından yönetilen bir asimetrik anahtardır. TDE koruyucusu, Anahtar Kasası tarafından oluşturulabilir veya şirket içi donanım güvenlik modülü (HSM) cihazından anahtar kasasına aktarılabilir. SQL Veritabanı, SQL yönetilen örnek ve Azure Synapse 'in, DEK şifresini çözmek ve şifrelemek için müşterinin sahip olduğu anahtar kasasında izin verilmesi gerekir. Sunucu için Anahtar Kasası izinleri iptal edildiğinde, bir veritabanına erişilemez ve tüm veriler şifrelenir

TDE Azure Key Vault tümleştirmeyle, kullanıcılar anahtar döndürmeler, Anahtar Kasası izinleri, anahtar yedeklemeleri dahil olmak üzere önemli yönetim görevlerini denetleyebilir ve Azure Key Vault işlevselliğini kullanarak tüm TDE koruyucuda denetim/raporlamayı etkinleştirebilir. Key Vault merkezi anahtar yönetimi sağlar, tam olarak izlenen HSM 'leri kullanır ve güvenlik ilkeleriyle uyumluluğu karşılamak için anahtar ve veri yönetimi arasında görev ayrımı sağlar. Azure SQL Veritabanı ve Azure Synapse için byok hakkında daha fazla bilgi için bkz. Azure Key Vault tümleştirmesi ile saydam veri şifreleme.

TDE Azure Key Vault tümleştirmeyle kullanmaya başlamak için Key Vault kendi anahtarınızı kullanarak, bkz. nasıl yapılır Kılavuzu, Saydam veri şifrelemesini etkinleştirme.

Saydam veri şifrelemesi korumalı veritabanını taşıma

Azure 'daki işlemler için veritabanlarının şifresini çözmeniz gerekmez. Kaynak veritabanındaki veya birincil veritabanındaki TDE ayarları, hedefte saydam olarak devralınır. Dahil edilen işlemler şunları içerir:

Coğrafi geri yükleme
Self servis zaman içinde geri yükleme
Silinen bir veritabanının geri yüklenmesi
Etkin coğrafi çoğaltma
Veritabanı kopyası oluşturma
yedekleme dosyasını Azure SQL yönetilen örneğe geri yükleme

Önemli

şifreleme için kullanılan sertifikaya erişilemediğinden, el ile kopya alma, hizmet tarafından yönetilen tde tarafından şifrelenen bir veritabanının yedeklenmesini Azure SQL yönetilen örneği 'nde desteklemez. bu tür bir veritabanını başka bir SQL yönetilen örneğe taşımak veya müşteri tarafından yönetilen anahtara geçiş yapmak için zaman içinde geri yükleme özelliğini kullanın.

Bir TDE korumalı veritabanını dışarı aktardığınızda, veritabanının dışarı aktarılmış içeriği şifrelenmez. Bu içe aktarılmış içerik şifrelenmemiş BACPAC dosyalarında depolanır. BACPAC dosyalarını uygun şekilde koruduğunuzdan emin olun ve yeni veritabanını içeri aktarma işlemi tamamlandıktan sonra TDE 'ı etkinleştirin.

örneğin, bacpac dosyası bir SQL Server örneğinden aktarılmışsa, yeni veritabanının içeri aktarılan içeriği otomatik olarak şifrelenmez. benzer şekilde, bacpac dosyası bir SQL Server örneğine aktarılmışsa, yeni veritabanı da otomatik olarak şifrelenmez.

bir özel durum, SQL Veritabanı bir veritabanını ve öğesinden dışarı aktardığınızda olur. TDE, yeni veritabanında etkinleştirilmiştir, ancak BACPAC dosyası hala şifrelenmemiştir.

Saydam veri şifrelemesini yönetme

Azure portal de TDE yönetin.

tde Azure portal aracılığıyla yapılandırmak için Azure sahibi, katkıda bulunan veya SQL güvenlik yöneticisi olarak bağlı olmanız gerekir.

Veritabanı düzeyinde TDE 'ı etkinleştirin ve devre dışı bırakın. Azure SQL yönetilen örneği için, bir veritabanında tde açmak ve kapatmak için Transact-SQL (T-SQL) kullanın. Azure SQL Veritabanı ve azure Synapse için, azure yönetici veya katkıda bulunan hesabıyla oturum açtıktan sonra, Azure portal veritabanı için tde yönetimi yapabilirsiniz. Kullanıcı veritabanınız altındaki TDE ayarlarını bulun. Varsayılan olarak, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılır. Bir TDE sertifikası, veritabanını içeren sunucu için otomatik olarak oluşturulur.

Hizmet tarafından yönetilen saydam veri şifrelemesi

TDE koruyucusu olarak bilinen TDE ana anahtarını sunucu veya örnek düzeyinde ayarlarsınız. BYOK desteği ile TDE kullanmak ve veritabanlarınızı Key Vault bir anahtarla korumak için, sunucunuzun altındaki TDE ayarlarını açın.

Kendi Anahtarını Getir desteği ile saydam veri şifrelemesi

PowerShell 'i kullanarak TDE yönetin.

Not

Bu makalede, Azure ile etkileşim kurmak için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Önemli

PowerShell Azure Resource Manager modülü hala desteklenmektedir, ancak gelecekteki tüm geliştirmeler az. SQL modülüne yöneliktir. Bu cmdlet 'ler için bkz. Azurerd. SQL. Az Module ve Azurerd modüllerinde komutların bağımsız değişkenleri önemli ölçüde aynıdır.

tde PowerShell 'i yapılandırmak için Azure sahibi, katkıda bulunan veya SQL güvenlik yöneticisi olarak bağlı olmanız gerekir.

Azure SQL Veritabanı ve Azure Synapse için cmdlet 'ler

Azure SQL Veritabanı ve Azure Synapse için aşağıdaki cmdlet 'leri kullanın:

Cmdlet	Açıklama
Set-AzSqlDatabaseTransparentDataEncryption	Bir veritabanı için saydam veri şifrelemeyi etkinleştirilir veya devre dışı bırakır.
Get-AzSqlDatabaseTransparentDataEncryption	Bir veritabanı için saydam veri şifreleme durumunu alır.
Get-AzSqlDatabaseTransparentDataEncryptionActivity	Bir veritabanı için şifreleme ilerleme durumunu denetler.
Add-AzSqlServerKeyVaultKey	Bir sunucuya Key Vault anahtarı ekler.
Get-AzSqlServerKeyVaultKey	Bir sunucu için Key Vault anahtarlarını alır
Set-AzSqlServerTransparentDataEncryptionProtector	Bir sunucu için saydam veri şifreleme koruyucusunu ayarlar.
Get-AzSqlServerTransparentDataEncryptionProtector	Saydam veri şifreleme koruyucusunu alır
Remove-AzSqlServerKeyVaultKey	Bir Key Vault anahtarı sunucudan kaldırır.

Önemli

Azure SQL yönetilen örneği için, veritabanı düzeyinde tde açmak ve kapatmak için T-SQL ALTER DATABASE komutunu kullanın ve bir örnek düzeyinde tde 'nı yönetmek için örnek PowerShell betiğini denetleyin.

Transact-SQL kullanarak TDE yönetin.

ana veritabanında bir yönetici veya dbmanager rolünün üyesi olan bir oturum kullanarak veritabanına Bağlan.

Komut	Açıklama
ALTER database (Azure SQL Veritabanı)	ŞIFRELEMEYI ayarlama/kapatma bir veritabanının şifresini şifreler veya şifresini çözer
sys.dm_database_encryption_keys	Bir veritabanının şifreleme durumu ve ilişkili veritabanı şifreleme anahtarları hakkında bilgi döndürür
sys.dm_pdw_nodes_database_encryption_keys	Her bir Azure SYNAPSE düğümünün ve ilişkili veritabanı şifreleme anahtarlarının şifreleme durumu hakkında bilgi döndürür

Key Vault Transact-SQL kullanarak TDE koruyucusunu bir anahtara geçiş yapamazsınız. PowerShell veya Azure portal kullanın.

REST API kullanarak TDE yönetin.

tde REST API aracılığıyla yapılandırmak için Azure sahibi, katkıda bulunan veya SQL güvenlik yöneticisi olarak bağlı olmanız gerekir. Azure SQL Veritabanı ve Azure Synapse için aşağıdaki komut kümesini kullanın:

Komut	Açıklama
Sunucu oluştur veya güncelleştir	bir sunucuya Azure Active Directory kimliği ekler. (Key Vault erişim vermek için kullanılır)
Sunucu anahtarı oluştur veya güncelleştir	Bir sunucuya Key Vault anahtarı ekler.
Sunucu anahtarını Sil	Bir Key Vault anahtarı sunucudan kaldırır.
Sunucu anahtarlarını al	Bir sunucudan belirli bir Key Vault anahtarını alır.
Sunucu anahtarlarını sunucuya göre Listele	Bir sunucu için Key Vault anahtarlarını alır.
Şifreleme koruyucusu oluştur veya güncelleştir	Bir sunucu için TDE koruyucuyu ayarlar.
Şifreleme koruyucusunu al	Bir sunucu için TDE koruyucuyu alır.
Şifreleme koruyucularını sunucuya göre Listele	Bir sunucunun TDE koruyucularını alır.
Saydam Veri Şifrelemesi yapılandırma oluşturma veya güncelleştirme	Bir veritabanı için TDE TDE devre dışı bırakır
Saydam Veri Şifrelemesi yapılandırmasını al	Bir veritabanı için TDE yapılandırmasını alır.
Saydam Veri Şifrelemesi yapılandırma sonuçlarını listele	Bir veritabanı için şifreleme sonucunu alır.

Ayrıca Bkz.

Azure sanal makinesinde çalışan SQL Server, Key Vault bir asimetrik anahtar da kullanabilir. yapılandırma adımları SQL Veritabanı ve yönetilen örnek SQL asimetrik anahtar kullanmaktan farklıdır. Daha fazla bilgi için Azure Key Vault (SQL Server) kullanarak Genişletilebilir anahtar yönetimibölümüne bakın.
TDE genel bir açıklaması için bkz. Saydam veri şifrelemesi.
Azure SQL Veritabanı, azure SQL yönetilen örneği ve azure Synapse için byok desteğiyle tde hakkında daha fazla bilgi edinmek için Kendi Anahtarını Getir desteğiyle saydam veri şifrelemesikonusuna bakın.
Kendi Anahtarını Getir desteği ile TDE kullanmaya başlamak için, Key Vault ' de kendi anahtarınızı kullanaraknasıl yapılır Kılavuzu ' na bakın.
Key Vault hakkında daha fazla bilgi için bkz. bir anahtar kasasına güvenli erişim.

SQL Veritabanı, SQL yönetilen örnek ve Azure Synapse Analytics için saydam veri şifrelemesi

Lütfen deneyiminizi değerlendirin

Hizmet tarafından yönetilen saydam veri şifrelemesi

Müşteri tarafından yönetilen saydam veri şifrelemesi-Kendi Anahtarını Getir

Saydam veri şifrelemesi korumalı veritabanını taşıma

Saydam veri şifrelemesini yönetme