SQL veritabanı, SQL yönetilen örneği ve Azure SYNAPSE Analytics için saydam veri şifrelemesiTransparent data encryption for SQL Database, SQL Managed Instance, and Azure Synapse Analytics

Uygulama hedefi: Azure SQL veritabanı Azure SQL yönetilen örneği Azure SYNAPSE Analytics

Saydam veri şifrelemesi (TDE) , bekleyen verileri şifreleyerek kötü amaçlı çevrimdışı etkinlik tehditlerine KARŞı Azure SQL veritabanı, Azure SQL yönetilen örneği ve Azure SYNAPSE analizlerinin korunmasına yardımcı olur.Transparent data encryption (TDE) helps protect Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics against the threat of malicious offline activity by encrypting data at rest. Bu özellik bütün bir veritabanı, yedekleri ve işlem günlüğü dosyaları için gerçek zamanlı şifreleme ve şifre çözme işlemlerini gerçekleştirir ve uygulamada değişiklik yapmayı gerektirmez.It performs real-time encryption and decryption of the database, associated backups, and transaction log files at rest without requiring changes to the application. Varsayılan olarak, TDE, tüm yeni dağıtılan SQL veritabanları için etkinleştirilmiştir ve Azure SQL veritabanı, Azure SQL yönetilen örneği 'nin eski veritabanları için el ile etkinleştirilmelidir.By default, TDE is enabled for all newly deployed SQL Databases and must be manually enabled for older databases of Azure SQL Database, Azure SQL Managed Instance. TDE, Azure SYNAPSE Analytics için el ile etkinleştirilmelidir.TDE must be manually enabled for Azure Synapse Analytics.

TDE, verilerin sayfa düzeyindeki gerçek zamanlı g/ç şifrelemesini ve şifresini çözmeyi gerçekleştirir.TDE performs real-time I/O encryption and decryption of the data at the page level. Okunarak belleğe alınan her sayfanın şifresi çözülür ve sayfalar diske yazılmadan önce şifrelenir.Each page is decrypted when it's read into memory and then encrypted before being written to disk. TDE, veritabanı şifreleme anahtarı (DEK) adlı bir simetrik anahtar kullanarak veritabanının tamamının depolanmasını şifreler.TDE encrypts the storage of an entire database by using a symmetric key called the Database Encryption Key (DEK). Veritabanı başlangıcında, şifrelenen DEK şifresi çözülür ve veritabanı dosyalarının şifresini çözmek ve SQL Server veritabanı altyapısı işleminde yeniden şifrelemek için kullanılır.On database startup, the encrypted DEK is decrypted and then used for decryption and re-encryption of the database files in the SQL Server database engine process. DEK, TDE koruyucusu tarafından korunur.DEK is protected by the TDE protector. TDE koruyucusu, hizmet tarafından yönetilen bir sertifika (hizmet tarafından yönetilen saydam veri şifrelemesi) veya Azure Key Vault depolanan bir asimetrik anahtardır (müşteri tarafından yönetilen saydam veri şifrelemesi).TDE protector is either a service-managed certificate (service-managed transparent data encryption) or an asymmetric key stored in Azure Key Vault (customer-managed transparent data encryption).

Azure SQL veritabanı ve Azure SYNAPSE için, TDE koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili tüm veritabanları tarafından devralınır.For Azure SQL Database and Azure Synapse, the TDE protector is set at the server level and is inherited by all databases associated with that server. Azure SQL yönetilen örneği için, TDE koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifreli veritabanları tarafından devralınır.For Azure SQL Managed Instance, the TDE protector is set at the instance level and it is inherited by all encrypted databases on that instance. Sunucu terimi, farklı belirtilmedikçe, bu belge boyunca hem sunucu hem de örneğe başvurur.The term server refers both to server and instance throughout this document, unless stated differently.

Önemli

SQL veritabanı 'ndaki yeni oluşturulan tüm veritabanları, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılarak varsayılan olarak şifrelenir.All newly created databases in SQL Database are encrypted by default by using service-managed transparent data encryption. 2017 Mayıs 'tan önce oluşturulan mevcut SQL veritabanları ve geri yükleme, coğrafi çoğaltma ve veritabanı kopyası kullanılarak oluşturulan SQL veritabanları varsayılan olarak şifrelenmez.Existing SQL databases created before May 2017 and SQL databases created through restore, geo-replication, and database copy are not encrypted by default. 2019 Şubat 'tan önce oluşturulan mevcut SQL yönetilen örnek veritabanları varsayılan olarak şifrelenmez.Existing SQL Managed Instance databases created before February 2019 are not encrypted by default. Restore aracılığıyla oluşturulan SQL yönetilen örnek veritabanları, kaynaktan şifreleme durumunu devralma.SQL Managed Instance databases created through restore inherit encryption status from the source.

Not

TDE, Azure SQL veritabanı ve Azure SQL yönetilen örneğindeki ana veritabanı gibi sistem veritabanlarını şifrelemek için kullanılamaz.TDE cannot be used to encrypt system databases, such as the master database, in Azure SQL Database and Azure SQL Managed Instance. Ana veritabanı, Kullanıcı veritabanlarında TDE işlemleri gerçekleştirmek için gereken nesneleri içerir.The master database contains objects that are needed to perform the TDE operations on the user databases. Gizli verilerin sistem veritabanlarında depolanması önerilir.It is recommended to not store any sensitive data in the system databases. Altyapı şifrelemesi , ana dahil sistem veritabanlarını şifreleyen bir şekilde kullanıma sunulmuştur.Infrastructure encryption is now being rolled out which encrypts the system databases including master.

Hizmet tarafından yönetilen saydam veri şifrelemesiService-managed transparent data encryption

Azure 'da, TDE için varsayılan ayar, DEK 'ın yerleşik bir sunucu sertifikasıyla korunmakta olması.In Azure, the default setting for TDE is that the DEK is protected by a built-in server certificate. Yerleşik sunucu sertifikası her bir sunucu için benzersizdir ve kullanılan şifreleme algoritması AES 256 ' dir.The built-in server certificate is unique for each server and the encryption algorithm used is AES 256. Bir veritabanı coğrafi çoğaltma ilişkisinde ise, birincil ve coğrafi ikincil veritabanları birincil veritabanının üst sunucu anahtarı tarafından korunur.If a database is in a geo-replication relationship, both the primary and geo-secondary databases are protected by the primary database's parent server key. İki veritabanı aynı sunucuya bağlıysa aynı zamanda aynı yerleşik sertifikayı paylaşır.If two databases are connected to the same server, they also share the same built-in certificate. Microsoft bu sertifikaları iç güvenlik ilkesiyle uyumlu olarak otomatik olarak döndürür ve kök anahtar Microsoft iç gizli dizisi tarafından korunur.Microsoft automatically rotates these certificates in compliance with the internal security policy and the root key is protected by a Microsoft internal secret store. Müşteriler, Microsoft Güven Merkezi'nde bulunan bağımsız üçüncü taraf denetim raporlarında iç GÜVENLIK Ilkeleriyle SQL VERITABANı ve SQL yönetilen örnek uyumluluğunu doğrulayabilirler.Customers can verify SQL Database and SQL Managed Instance compliance with internal security policies in independent third-party audit reports available on the Microsoft Trust Center.

Microsoft ayrıca, coğrafi çoğaltma ve geri yükleme için gerektiğinde anahtarları sorunsuzca taşımalı ve yönetir.Microsoft also seamlessly moves and manages the keys as needed for geo-replication and restores.

Müşteri tarafından yönetilen saydam veri şifrelemesi-Kendi Anahtarını GetirCustomer-managed transparent data encryption - Bring Your Own Key

Ayrıca, müşteri tarafından yönetilen TDE, TDE için Kendi Anahtarını Getir (BYOK) desteği olarak adlandırılır.Customer-managed TDE is also referred to as Bring Your Own Key (BYOK) support for TDE. Bu senaryoda, 1 ' i şifreleyen TDE koruyucu, müşterinin sahip olduğu ve yönetilen bir Azure Key Vault (Azure 'un bulut tabanlı dış anahtar yönetim sistemi) depolanan ve anahtar kasasını hiçbir şekilde bırakmayan, müşteri tarafından yönetilen bir asimetrik anahtardır.In this scenario, the TDE Protector that encrypts the DEK is a customer-managed asymmetric key, which is stored in a customer-owned and managed Azure Key Vault (Azure's cloud-based external key management system) and never leaves the key vault. TDE koruyucusu, Anahtar Kasası tarafından oluşturulabilir veya şirket içi donanım güvenlik modülü (HSM) cihazından anahtar kasasına aktarılabilir.The TDE Protector can be generated by the key vault or transferred to the key vault from an on-premises hardware security module (HSM) device. SQL veritabanı, SQL yönetilen örneği ve Azure SYNAPSE 'in, DEK şifresini çözmek ve şifrelemek için müşterinin sahip olduğu anahtar kasasında izin verilmesi gerekir.SQL Database, SQL Managed Instance, and Azure Synapse need to be granted permissions to the customer-owned key vault to decrypt and encrypt the DEK. Sunucu için Anahtar Kasası izinleri iptal edildiğinde, bir veritabanına erişilemez ve tüm veriler şifrelenirIf permissions of the server to the key vault are revoked, a database will be inaccessible, and all data is encrypted

TDE Azure Key Vault tümleştirmeyle, kullanıcılar anahtar döndürmeler, Anahtar Kasası izinleri, anahtar yedeklemeleri dahil olmak üzere önemli yönetim görevlerini denetleyebilir ve Azure Key Vault işlevselliğini kullanarak tüm TDE koruyucuda denetim/raporlamayı etkinleştirebilir.With TDE with Azure Key Vault integration, users can control key management tasks including key rotations, key vault permissions, key backups, and enable auditing/reporting on all TDE protectors using Azure Key Vault functionality. Key Vault merkezi anahtar yönetimi sağlar, tam olarak izlenen HSM 'leri kullanır ve güvenlik ilkeleriyle uyumluluğu karşılamak için anahtar ve veri yönetimi arasında görev ayrımı sağlar.Key Vault provides central key management, leverages tightly monitored HSMs, and enables separation of duties between management of keys and data to help meet compliance with security policies. Azure SQL veritabanı ve Azure SYNAPSE için BYOK hakkında daha fazla bilgi için bkz. Azure Key Vault tümleştirme Ile saydam veri şifreleme.To learn more about BYOK for Azure SQL Database and Azure Synapse, see Transparent data encryption with Azure Key Vault integration.

TDE Azure Key Vault tümleştirmeyle kullanmaya başlamak için Key Vault kendi anahtarınızı kullanarak, bkz. nasıl yapılır Kılavuzu, Saydam veri şifrelemesini etkinleştirme.To start using TDE with Azure Key Vault integration, see the how-to guide Turn on transparent data encryption by using your own key from Key Vault.

Saydam veri şifrelemesi korumalı veritabanını taşımaMove a transparent data encryption-protected database

Azure 'daki işlemler için veritabanlarının şifresini çözmeniz gerekmez.You don't need to decrypt databases for operations within Azure. Kaynak veritabanındaki veya birincil veritabanındaki TDE ayarları, hedefte saydam olarak devralınır.The TDE settings on the source database or primary database are transparently inherited on the target. Dahil edilen işlemler şunları içerir:Operations that are included involve:

  • Coğrafi geri yüklemeGeo-restore
  • Self servis zaman içinde geri yüklemeSelf-service point-in-time restore
  • Silinen bir veritabanının geri yüklenmesiRestoration of a deleted database
  • Etkin coğrafi çoğaltmaActive geo-replication
  • Veritabanı kopyası oluşturmaCreation of a database copy
  • Yedekleme dosyasını Azure SQL yönetilen örneğine geri yüklemeRestore of backup file to Azure SQL Managed Instance

Önemli

Şifreleme için kullanılan sertifikaya erişilemediğinden, el ile kopya alma, Azure SQL yönetilen örneği 'nde yalnızca hizmet tarafından yönetilen TDE tarafından şifrelenen bir veritabanının yedeklemesi desteklenmez.Taking manual COPY-ONLY backup of a database encrypted by service-managed TDE is not supported in Azure SQL Managed Instance, since the certificate used for encryption is not accessible. Bu tür bir veritabanını başka bir SQL yönetilen örneğine taşımak veya müşteri tarafından yönetilen anahtara geçiş yapmak için zaman içinde geri yükleme özelliğini kullanın.Use point-in-time-restore feature to move this type of database to another SQL Managed Instance, or switch to customer-managed key.

Bir TDE korumalı veritabanını dışarı aktardığınızda, veritabanının dışarı aktarılmış içeriği şifrelenmez.When you export a TDE-protected database, the exported content of the database isn't encrypted. Bu içe aktarılmış içerik şifrelenmemiş BACPAC dosyalarında depolanır.This exported content is stored in unencrypted BACPAC files. BACPAC dosyalarını uygun şekilde koruduğunuzdan emin olun ve yeni veritabanını içeri aktarma işlemi tamamlandıktan sonra TDE 'ı etkinleştirin.Be sure to protect the BACPAC files appropriately and enable TDE after import of the new database is finished.

Örneğin, BACPAC dosyası bir SQL Server örneğinden aktarılmışsa, yeni veritabanının içeri aktarılan içeriği otomatik olarak şifrelenmez.For example, if the BACPAC file is exported from a SQL Server instance, the imported content of the new database isn't automatically encrypted. Benzer şekilde, BACPAC dosyası bir SQL Server örneğine aktarılmışsa, yeni veritabanı da otomatik olarak şifrelenmez.Likewise, if the BACPAC file is imported to a SQL Server instance, the new database also isn't automatically encrypted.

Bir özel durum, SQL veritabanından ve bir veritabanını dışarı aktardığınızda olur.The one exception is when you export a database to and from SQL Database. TDE, yeni veritabanında etkinleştirilmiştir, ancak BACPAC dosyası hala şifrelenmemiştir.TDE is enabled on the new database, but the BACPAC file itself still isn't encrypted.

Saydam veri şifrelemesini yönetmeManage transparent data encryption

Azure portal de TDE yönetin.Manage TDE in the Azure portal.

TDE Azure portal aracılığıyla yapılandırmak için Azure sahibi, katkıda bulunan veya SQL güvenlik yöneticisi olarak bağlı olmanız gerekir.To configure TDE through the Azure portal, you must be connected as the Azure Owner, Contributor, or SQL Security Manager.

Veritabanı düzeyinde TDE 'ı etkinleştirin ve devre dışı bırakın.Enable and disable TDE on the database level. Azure SQL yönetilen örneği için Transact-SQL (T-SQL) kullanarak bir veritabanında TDE açın ve kapatın.For Azure SQL Managed Instance use Transact-SQL (T-SQL) to turn TDE on and off on a database. Azure SQL veritabanı ve Azure SYNAPSE için, Azure yönetici veya katkıda bulunan hesabıyla oturum açtıktan sonra Azure Portal veritabanı için TDE yönetebilirsiniz.For Azure SQL Database and Azure Synapse, you can manage TDE for the database in the Azure portal after you've signed in with the Azure Administrator or Contributor account. Kullanıcı veritabanınız altındaki TDE ayarlarını bulun.Find the TDE settings under your user database. Varsayılan olarak, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılır.By default, service-managed transparent data encryption is used. Bir TDE sertifikası, veritabanını içeren sunucu için otomatik olarak oluşturulur.A TDE certificate is automatically generated for the server that contains the database.

Hizmet tarafından yönetilen saydam veri şifrelemesi

TDE koruyucusu olarak bilinen TDE ana anahtarını sunucu veya örnek düzeyinde ayarlarsınız.You set the TDE master key, known as the TDE protector, at the server or instance level. BYOK desteği ile TDE kullanmak ve veritabanlarınızı Key Vault bir anahtarla korumak için, sunucunuzun altındaki TDE ayarlarını açın.To use TDE with BYOK support and protect your databases with a key from Key Vault, open the TDE settings under your server.

Kendi Anahtarını Getir desteği ile saydam veri şifrelemesi