Quản lý các khóa mật mã hóa

Tất cả môi trường của Microsoft Dataverse đều sử dụng chế độ Mã hóa dữ liệu minh bạch (TDE) của SQL Server để thực hiện mã hóa dữ liệu trong thời gian thực khi ghi vào đĩa, còn được gọi là mã hóa cuối cùng.

Theo mặc định, Microsoft lưu trữ và quản lý khóa mã hóa cơ sở dữ liệu cho các môi trường của bạn nên bạn không cần phải thực hiện thao tác này. Tính năng quản lý khóa trong Trung tâm quản trị Microsoft Power Platform cấp cho quản trị viên khả năng tự quản lý khóa mã hóa cơ sở dữ liệu được liên kết với đối tượng thuê Dataverse.

Quan trọng

• Kể từ ngày 2 tháng 6 năm 2023, dịch vụ này được nâng cấp lên khóa mã hóa do khách hàng quản lý. Những khách hàng mới cần quản lý khóa mã hóa của riêng mình sẽ sử dụng dịch vụ đã nâng cấp vì dịch vụ này không còn được cung cấp nữa.
• Khóa mật mã hóa cơ sở dữ liệu tự quản lý chỉ khả dụng cho những khách hàng có hơn 1000 giấy phép Power Apps trên mỗi người dùng hoặc hơn 1.000 giấy phép Dynamics 365 Enterprise, hoặc hơn 1.000 giấy phép kết hợp cả hai trong một đối tượng thuê. Để chọn tham gia chương trình này, hãy gửi yêu cầu hỗ trợ.

Quản lý khóa mật mã hóa chỉ áp dụng cho cơ sở dữ liệu môi trường Azure SQL. Các tính năng và dịch vụ sau đây tiếp tục sử dụng khóa mã hóa do Microsoft quản lý để mã hóa dữ liệu của mình và không thể mã hóa bằng khóa mã hóa tự quản lý:

• Cơ chế điều khiển phụ và các tính năng AI tổng hợp trong Microsoft Power Platform và Microsoft Dynamics 365
• Tìm kiếm Dataverse
• Bàn đàn hồi
• Mobile Offline
• Nhật ký hoạt động (cổng thông tin Microsoft 365)
• Exchange (đồng bộ phía máy chủ)

Lưu ý

• Tính năng khóa mật mã hóa cơ sở dữ liệu tự quản lý phải được Microsoft bật cho đối tượng thuê của bạn trước khi bạn có thể sử dụng tính năng này.
• Để sử dụng các tính năng quản lý mã hóa dữ liệu cho một môi trường, môi trường đó phải được tạo sau khi Microsoft bật tính năng khóa mật mã hóa cơ sở dữ liệu tự quản lý.
• Sau khi bật tính năng này trong đối tượng thuê của bạn, tất cả môi trường mới chỉ được tạo bằng bộ lưu trữ Azure SQL. Những môi trường này, bất kể được mã hóa bằng khóa mang theo của bạn (BYOK) hay khóa do Microsoft quản lý, đều có những hạn chế về kích thước tải lên tệp, không thể sử dụng các dịch vụ Cosmos và Datalake và Dataverse Chỉ mục tìm kiếm được mã hóa bằng khóa do Microsoft quản lý. Để sử dụng các dịch vụ này, bạn phải chuyển sang khóa do khách hàng quản lý.
• Có thể sử dụng các tệp và Hình ảnh có kích thước nhỏ hơn 128 MB nếu môi trường của bạn là phiên bản 9.2.21052.00103 trở lên.
• Phần lớn các môi trường hiện có có tệp và nhật ký được lưu trữ trong cơ sở dữ liệu SQL không phải Azure. Các môi trường này không thể được chọn để có tính năng khóa mật mã hóa tự quản lý. Chỉ các môi trường mới (sau khi bạn đã đăng ký chương trình này) mới có thể được bật bằng khóa mật mã hóa tự quản lý.

Giới thiệu về quản lý khóa

Với tính năng quản lý khóa, quản trị viên có thể cung cấp khóa mật mã hóa của riêng họ hoặc tạo khóa mật mã hóa cho họ được dùng để bảo vệ cơ sở dữ liệu cho một môi trường.

Tính năng quản lý khóa hỗ trợ cả tệp khóa mật mã hóa PFX và BYOK, chẳng hạn như các tệp được lưu trữ trong mô đun bảo mật phần cứng (HSM). Để sử dụng tùy chọn tải lên khóa mật mã hóa, bạn cần cả khóa mật mã hóa riêng tư và công cộng.

Tính năng quản lý khóa giúp việc quản lý khóa mật mã hóa trở nên đơn giản bằng cách sử dụng Azure Key Vault để lưu trữ an toàn các khóa mật mã hóa. Azure Key Vault giúp bảo vệ các khóa mật mã hóa và thông tin bí mật mà các ứng dụng và dịch vụ đám mây sử dụng. Tính năng quản lý khóa không yêu cầu bạn phải có gói đăng ký Azure Key Vault và trong hầu hết các trường hợp, bạn không cần phải truy nhập khóa mã hóa dùng cho Dataverse trong vault.

Tính năng quản lý khóa cho phép bạn thực hiện các nhiệm vụ sau.

• Cho phép khả năng tự quản lý khóa mật mã hóa cơ sở dữ liệu được liên kết với các môi trường.

• Tạo khóa mật mã hóa mới hoặc tải lên tệp khóa mật mã hóa .PFX hoặc .BYOK hiện có.

• Khóa và mở khóa môi trường của đối tượng thuê.

  Cảnh báo

  Trong khi đối tượng thuê bị khóa, bất kỳ ai cũng không thể truy cập vào tất cả các môi trường trong đối tượng thuê. Thông tin thêm: Khóa đối tượng thuê.

Hiểu được rủi ro tiềm tàng khi bạn quản lý khóa của mình

Như với bất kỳ ứng dụng quan trọng nào khác trong công việc, những nhân viên trong tổ chức bạn có quyền truy cập cấp độ quản trị viên phải là người đáng tin cậy. Trước khi bạn sử dụng tính năng quản lý khóa, bạn phải hiểu được rủi ro khi quản lý khóa mật mã hóa cơ sở dữ liệu của mình. Mọi người đều hiểu rằng một quản trị viên không đáng tin (người được cấp quyền hoặc có quyền truy cập cấp độ quản trị viên với ý định gây hại cho tính bảo mật hoặc quy trình kinh doanh của tổ chức) làm việc trong tổ chức bạn có thể sử dụng tính năng quản lý khóa để tạo một khóa và sử dụng khóa đó để khóa tất cả các môi trường trong đối tượng thuê.

Cân nhắc trình tự các sự kiện sau.

Quản trị viên vấn đề độc hại đăng nhập vào Trung tâm quản trị Power Platform, chuyển đến tab Môi trường và chọn Quản lý khóa mã hóa. Sau đó, quản trị viên độc hại tạo một khóa mới bằng mật khẩu và tải xuống khóa mật mã hóa vào ổ đĩa cục bộ của họ và kích hoạt khóa mới. Hiện tại, tất cả các cơ sở dữ liệu môi trường đều được mã hóa bằng khóa mới. Tiếp theo, quản trị viên độc hại sẽ khóa đối tượng thuê bằng khóa mới tải xuống, sau đó lấy hoặc xóa khóa mật mã hóa đã tải xuống.

Những hành động này sẽ dẫn đến việc vô hiệu hóa tất cả các môi trường trong đối tượng thuê khỏi truy cập trực tuyến và làm cho tất cả các bản sao lưu cơ sở dữ liệu không thể phục hồi.

Quan trọng

Để ngăn quản trị viên độc hại làm gián đoạn hoạt động kinh doanh bằng cách khóa cơ sở dữ liệu, tính năng khóa được quản lý không cho phép khóa môi trường của đối tượng thuê trong vòng 72 giờ sau khi khóa mật mã hóa đã thay đổi hoặc kích hoạt. Điều này cung cấp cho các quản trị viên khác tối đa 72 giờ để mở lại bất kỳ thay đổi khóa nào trái phép.

Yêu cầu về khóa mật mã hóa

Nếu bạn cung cấp khóa mật mã hóa của riêng mình, khóa của bạn phải đáp ứng các điều kiện sau được Azure Key Vault chấp nhận.

• Định dạng tệp khóa mật mã hóa phải là PFX hoặc BYOK.
• RSA 2048-bit.
• Loại khóa RSA-HSM (yêu cầu yêu cầu Hỗ trợ của Microsoft).
• Tệp khóa mật mã hóa PFX phải được bảo vệ bằng mật khẩu.

Để biết thêm thông tin về cách tạo và truyền khóa được bảo vệ HSM qua Internet, hãy xem Cách tạo và truyền khóa được bảo vệ HSM cho Azure Key Vault. Chỉ hỗ trợ khóa nCipher Vendor HSM. Trước khi tạo khóa HSM của bạn, hãy chuyển đến cửa sổ trung tâm quản trị Power Platform Quản lý khóa mã hóa/Tạo khóa mới để lấy ID đăng ký cho khu vực môi trường của bạn. Bạn cần sao chép và dán ID đăng ký này vào HSM của mình để tạo khóa. Điều này sẽ đảm bảo rằng chỉ Azure Key Vault của chúng tôi mới có thể mở tệp của bạn.

Nhiệm vụ quản lý khóa

Để đơn giản hóa các tác vụ quản lý chính, các tác vụ được chia thành ba khu vực:

1. Tạo hoặc tải lên khóa mật mã hóa cho đối tượng thuê
2. Kích hoạt khóa mật mã hóa cho đối tượng thuê
3. Quản lý quá trình mã hóa cho môi trường

Quản trị viên có thể sử dụng trung tâm quản trị Power Platform hoặc lệnh ghép ngắn mô-đun quản trị Power Platform để thực hiện các nhiệm vụ quản lý khóa được mô tả dưới đây.

Tạo hoặc tải lên khóa mật mã hóa cho đối tượng thuê

Tất cả các khóa mật mã hóa được lưu trữ trong Azure Key Vault và chỉ có thể có một khóa hoạt động bất cứ lúc nào. Vì khóa hoạt động được sử dụng để mã hóa tất cả các môi trường trong đối tượng thuê, nên việc quản lý quá trình mã hóa được vận hành ở cấp độ đối tượng thuê. Khi khóa được kích hoạt, mỗi môi trường riêng lẻ có thể được chọn để sử dụng khóa cho quá trình mã hóa.

Sử dụng quy trình sau để đặt tính năng quản lý khóa phiên bản lần đầu tiên cho một môi trường hoặc thay đổi (hoặc chuyển sang) khóa mật mã hóa cho đối tượng thuê đã tự quản lý.

Cảnh báo

Khi thực hiện các bước được mô tả ở đây lần đầu tiên, bạn sẽ chọn tự quản lý các khóa mật mã hóa của mình. Thông tin thêm: Hiểu được rủi ro tiềm tàng khi bạn quản lý khóa của mình.

1. Đăng nhập vào trung tâm quản trị Power Platform với tư cách là quản trị viên (quản trị viên Dynamics 365, quản trị viên Toàn cầu hoặc quản trị viên Microsoft Power Platform).

2. Chọn tab Môi trường rồi trên thanh công cụ, hãy chọn Quản lý khóa mật mã hóa.

3. Chọn Xác nhận để xác nhận rủi ro quản lý khóa.

4. Trên thanh công cụ, chọn Khóa mới.

5. Trên khung bên trái, hãy hoàn tất các chi tiết để tạo hoặc tải lên một khóa:

   • Chọn một Khu vực. Tùy chọn này chỉ hiển thị nếu đối tượng thuê của bạn có nhiều khu vực.
   • Nhập Tên khóa.
   • Chọn từ các tùy chọn sau:
     • Để tạo khóa mới, hãy chọn Tạo mới (.pfx). Thông tin thêm: Tạo khóa mới (.pfx).
     • Để sử dụng khóa được tạo riêng của bạn, hãy chọn Tải lên (.pfx hoặc .byok). Thông tin thêm: Tải lên một khóa (.pfx hoặc .byok).

6. Chọn Tiếp theo.

Tạo khóa mới (.pfx)

1. Nhập mật khẩu, sau đó nhập lại mật khẩu để xác nhận.
2. Chọn Tạo và sau đó chọn thông báo tệp đã tạo trên trình duyệt của bạn.
3. Tệp .PFX của khóa mật mã hóa được tải xuống thư mục tải xuống mặc định của trình duyệt web của bạn. Lưu tệp ở một vị trí an toàn (bạn nên sao lưu khóa này cùng với mật khẩu của nó).

Tải lên khóa (.pfx hoặc .byok)

1. Chọn Tải lên khóa, chọn tệp .pfx hoặc .byok¹ rồi chọn Mở.
2. Nhập mật khẩu cho khóa rồi chọn Tạo.

¹ Đối với các tệp khóa mật mã hóa .byok, hãy đảm bảo bạn sử dụng ID đăng ký hiển thị trên màn hình khi bạn xuất khóa mật mã hóa từ HSM cục bộ. Thông tin thêm: Cách tạo và truyền khóa được bảo vệ HSM cho Azure Key Vault.

Lưu ý

Để giảm số bước quản lý quy trình khóa cho quản trị viên, khóa được tự động kích hoạt khi được tải lên lần đầu tiên. Tất cả các lần tải khóa lên về sau chỉ yêu cầu một bước bổ sung để kích hoạt khóa.

Kích hoạt khóa mật mã hóa cho đối tượng thuê

Khi một khóa mật mã hóa được tạo hoặc tải lên cho đối tượng thuê, khóa đó có thể được kích hoạt.

1. Đăng nhập vào trung tâm quản trị Power Platform với tư cách là quản trị viên (quản trị viên Dynamics 365, quản trị viên Toàn cầu hoặc quản trị viên Microsoft Power Platform).
2. Chọn tab Môi trường rồi trên thanh công cụ, hãy chọn Quản lý khóa mật mã hóa.
3. Chọn Xác nhận để xác nhận rủi ro quản lý khóa.
4. Chọn một khóa có trạng thái Sẵn có rồi chọn Kích hoạt khóa trên thanh công cụ.
5. Chọn Xác nhận để xác nhận thay đổi khóa.

Khi bạn kích hoạt khóa cho đối tượng thuê, phải mất một lúc để dịch vụ quản lý khóa kích hoạt khóa. Trạng thái của Trạng thái chính hiển thị khóa là Đang cài đặt khi khóa mới hoặc tải lên được kích hoạt. Khi khóa được kích hoạt, điều sau đây sẽ xảy ra:

• Tất cả các môi trường được mã hóa sẽ tự động được mã hóa bằng khóa hoạt động (không có tình trạng ngừng hoạt động với hành động này).
• Khi được kích hoạt, khóa mật mã hóa sẽ được áp dụng cho tất cả các môi trường được thay đổi từ khóa mật mã hóa do Microsoft cung cấp sang khóa mật mã hóa tự quản lý.

Quan trọng

Để hợp lý hóa quy trình quản lý khóa sao cho tất cả các môi trường được quản lý bởi cùng một khóa, khóa hoạt động không thể được cập nhật khi có môi trường bị khóa. Tất cả các môi trường bị khóa phải được mở khóa trước khi khóa mới có thể được kích hoạt. Nếu có các môi trường bị khóa không cần phải mở khóa, chúng phải bị xóa.

Lưu ý

Sau khi khóa mã hóa được kích hoạt, bạn không thể kích hoạt khóa khác trong 24 giờ.

Quản lý quá trình mã hóa cho môi trường

Theo mặc định, mỗi môi trường được mã hóa bằng khóa mật mã hóa do Microsoft cung cấp. Khi khóa mật mã hóa được kích hoạt cho đối tượng thuê, quản trị viên có thể chọn thay đổi mã hóa mặc định để sử dụng khóa mật mã hóa được kích hoạt. Để sử dụng khóa đã kích hoạt, hãy làm theo các bước sau.

Áp dụng khóa mật mã hóa cho môi trường

1. Đăng nhập vào trung tâm quản trị Power Platform, sử dụng thông tin xác thực vai trò Quản trị viên môi trường hoặc Quản trị viên hệ thống.
2. Chọn tab Môi trường.
3. Mở một môi trường được mã hóa do Microsoft cung cấp.
4. Chọn Xem tất cả.
5. Trong phần Mã hóa môi trường, hãy chọn Quản lý.
6. Chọn Xác nhận để xác nhận rủi ro quản lý khóa.
7. Chọn Áp dụng khóa này để chấp nhận thay đổi mã hóa nếu muốn sử dụng khóa kích hoạt.
8. Chọn Xác nhận để xác nhận rằng bạn đang quản lý khóa trực tiếp và không có tình trạng ngừng hoạt động cho hành động này.

Trả khóa mật mã hóa được quản lý về khóa mật mã hóa do Microsoft cung cấp

Trả về khóa mật mã hóa do Microsoft cung cấp sẽ cấu hình môi trường trở lại hành vi mặc định trong đó Microsoft quản lý khóa mật mã hóa cho bạn.

1. Đăng nhập vào trung tâm quản trị Power Platform, sử dụng thông tin xác thực vai trò Quản trị viên môi trường hoặc Quản trị viên hệ thống.
2. Chọn tab Môi trường rồi chọn một môi trường được mã hóa bằng khóa tự quản lý.
3. Chọn Xem tất cả.
4. Trong phần Mã hóa môi trường, hãy chọn Quản lý rồi chọn Xác nhận.
5. Trong phần Quay lại chế độ quản lý khóa mật mã hóa tiêu chuẩn, hãy chọn Quay lại .
6. Đối với môi trường sản xuất, hãy xác nhận môi trường bằng cách nhập tên của môi trường.
7. Chọn Xác nhận để quay lại chế độ quản lý khóa mật mã hóa tiêu chuẩn.

Khóa đối tượng thuê

Do chỉ có một khóa hoạt động cho mỗi đối tượng thuê, nên việc mã hóa cho đối tượng thuê sẽ vô hiệu hóa tất cả các môi trường trong đối tượng thuê. Không ai có thể truy nhập vào môi trường bị khóa, kể cả Microsoft, cho đến khi quản trị viên dịch vụ Power Platform trong tổ chức bạn mở khóa bằng khóa được dùng để khóa môi trường.

Thận trọng

Bạn không bao giờ nên khóa môi trường đối tượng thuê trong quy trình làm việc bình thường. Khi bạn khóa một đối tượng thuê Dataverse, tất cả các môi trường sẽ được thực hiện hoàn toàn ngoại tuyến và bất kỳ ai cũng không thể truy cập vào đó, kể cả Microsoft. Ngoài ra, tất cả các dịch vụ như đồng bộ hóa và bảo trì đều dừng. Nếu bạn quyết định rời khỏi dịch vụ, việc khóa đối tượng thuê có thể đảm bảo rằng dữ liệu trực tuyến của bạn sẽ không bao giờ được bất kỳ ai truy cập lại.
Lưu ý những điều sau đây về việc khóa môi trường của đối tượng thuê:

• Không thể khôi phục môi trường bị khóa từ bản sao lưu.
• Môi trường bị khóa sẽ bị xóa nếu không được mở khóa sau 28 ngày.
• Bạn không thể khóa môi trường trong 72 giờ sau khi thay đổi khóa mã hóa.
• Việc khóa đối tượng thuê sẽ khóa tất cả các môi trường hoạt động trong đối tượng thuê.

Quan trọng

• Bạn phải đợi ít nhất một giờ sau khi khóa môi trường hoạt động trước khi có thể mở khóa chúng.
• Khi quá trình khóa bắt đầu, tất cả các khóa mật mã hóa ở trạng thái Hoạt động hoặc Sẵn có sẽ bị xóa. Quá trình khóa có thể mất tới một giờ và trong thời gian này, việc mở khóa môi trường bị khóa không được phép.

1. Đăng nhập vào trung tâm quản trị Power Platform với tư cách là quản trị viên (quản trị viên Dynamics 365, quản trị viên Toàn cầu hoặc quản trị viên Microsoft Power Platform).
2. Chọn tab Môi trường rồi trên thanh lệnh, hãy chọn Quản lý khóa mật mã hóa.
3. Chọn khóa Hoạt động rồi chọn Khóa môi trường hoạt động.
4. Trên khung bên phải, hãy chọn Tải lên khóa hoạt động, duyệt đến và chọn khóa, nhập mật khẩu, sau đó chọn Khóa.
5. Khi được nhắc, hãy nhập văn bản được hiển thị trên màn hình của bạn để xác nhận rằng bạn muốn khóa tất cả các môi trường trong khu vực, sau đó chọn Xác nhận.

Mở khóa môi trường bị khóa

Để mở khóa môi trường, trước tiên bạn phải tải lên và sau đó kích hoạt khóa mật mã hóa đối tượng thuê có cùng khóa được sử dụng để khóa đối tượng thuê. Xin lưu ý rằng môi trường bị khóa không được mở khóa tự động sau khi khóa được kích hoạt. Mỗi môi trường bị khóa phải được mở khóa riêng.

Quan trọng

• Bạn phải đợi ít nhất một giờ sau khi khóa môi trường hoạt động trước khi có thể mở khóa chúng.
• Quá trình mở khóa có thể mất đến một giờ. Khi khóa được mở khóa, bạn có thể sử dụng khóa để Quản lý quá trình mã hóa cho môi trường.
• Bạn không thể tạo mới hoặc tải lên khóa hiện tại cho đến khi tất cả các môi trường bị khóa được mở khóa.

Mở khóa khóa mật mã hóa

1. Đăng nhập vào trung tâm quản trị Power Platform với tư cách là quản trị viên (quản trị viên Dynamics 365, quản trị viên Toàn cầu hoặc quản trị viên Microsoft Power Platform).
2. Chọn tab Môi trường rồi chọn Quản lý khóa mật mã hóa.
3. Chọn một khóa có trạng thái Đã khóa rồi chọn Mở khóa trên thanh lệnh.
4. Chọn Tải lên khóa bị khóa, duyệt đến và chọn khóa được dùng để khóa đối tượng thuê, nhập mật khẩu, sau đó chọn Mở khóa. Khóa sẽ ở trạng thái Đang cài đặt. Bạn phải đợi cho đến khi khóa ở trạng thái Hoạt động trước khi bạn có thể mở khóa môi trường bị khóa.
5. Để mở khóa một môi trường, hãy xem phần tiếp theo.

Mở khóa môi trường

1. Chọn tab Môi trường và sau đó chọn tên môi trường bị khóa.

   Tiền bo

   Không chọn hàng. Chọn tên môi trường.

2. Trong phần Chi tiết, hãy chọn Xem tất cả để hiển thị khung Chi tiết ở bên phải.

3. Trong phần mã hóa Môi trường trên khung Chi tiết, hãy chọn Quản lý.

   

4. Trong trang Mã hóa môi trường, hãy chọn Mở khóa.

   

5. Chọn Xác nhận để xác nhận rằng bạn muốn mở khóa môi trường.

6. Lặp lại các bước trước để mở khóa môi trường bổ sung.

Hoạt động cơ sở dữ liệu môi trường

Đối tượng thuê khách hàng có thể có các môi trường được mã hóa bằng khóa được Microsoft quản lý và các môi trường được mã hóa bằng khóa được khách hàng quản lý. Để duy trì tính toàn vẹn dữ liệu và bảo vệ dữ liệu, các điều khiển sau có sẵn khi quản lý các hoạt động cơ sở dữ liệu môi trường.

1. Khôi phục Môi trường để ghi đè (môi trường được khôi phục) bị giới hạn trong cùng một môi trường mà bản sao lưu được lấy từ hoặc đến một môi trường khác được mã hóa bằng cùng một khóa do khách hàng quản lý.

   

2. Sao chép Môi trường ghi đè (môi trường sao chép vào) bị giới hạn ở một môi trường khác được mã hóa với cùng khóa do khách hàng quản lý.

   

   Lưu ý

   Nếu môi trường Hỗ trợ điều tra được tạo để giải quyết vấn đề hỗ trợ trong môi trường do khách hàng quản lý, khóa mã hóa cho môi trường Hỗ trợ điều tra phải được đổi thành khóa do khách hàng quản lý trước khi có thể thực hiện thao tác Sao chép môi trường.

3. Đặt lại Dữ liệu được mã hóa của môi trường sẽ bị xóa, kể cả bản sao lưu. Sau khi môi trường được đặt lại, mã hóa môi trường sẽ trở lại khóa do Microsoft quản lý.

Xem thêm

Máy chủ SQL: Mã hóa dữ liệu trong suốt (TDE)