تكوين أداة حماية تشفير البيانات الشفافة (TDE)

ينطبق على: قاعدة بيانات Azure SQL Azure Synapse Analytics

توضح هذه المقالة تدوير المفتاح للخادم باستخدام أداة حماية TDE من Azure Key Vault. تدوير أداة حماية TDE المنطقية للخادم يعني التبديل إلى مفتاح غير متماثل جديد يحمي قواعد البيانات على الخادم. تدوير المفتاح هو عملية عبر الإنترنت ويجب أن يستغرق بضع ثوانٍ فقط لإكماله، لأن هذا يقوم فقط بفك تشفير مفتاح تشفير البيانات في قاعدة البيانات وإعادة تشفيره، وليس قاعدة البيانات بأكملها.

اعتبارات مهمة عند تدوير واقي TDE

• عندما يتم تغيير/تدوير واقي TDE، لا يتم تحديث النسخ الاحتياطية القديمة لقاعدة البيانات، بما في ذلك ملفات السجل الاحتياطية، لاستخدام أحدث واقي TDE. لاستعادة نسخة احتياطية مشفرة باستخدام أداة حماية TDE من Key Vault، فتأكد من توفر المواد الرئيسية للخادم الهدف. لذلك، نوصي بالاحتفاظ بجميع الإصدارات القديمة من واقي TDE في Azure Key Vault (AKV)، حتى يمكن استعادة النسخ الاحتياطية لقاعدة البيانات.
• حتى عند التبديل من المفتاح المُدار بواسطة العميل (CMK) إلى المفتاح المُدار بواسطة الخدمة، احتفظ بجميع المفاتيح المستخدمة مسبقاً في AKV. يضمن ذلك إمكانية استعادة النسخ الاحتياطية لقاعدة البيانات، بما في ذلك ملفات السجل الاحتياطية، باستخدام واقيات TDE المخزنة في AKV.
• بصرف النظر عن النسخ الاحتياطية القديمة، قد تتطلب ملفات سجل العمليات أيضاً الوصول إلى واقي TDE الأقدم. لتحديد ما إذا كانت هناك أي سجلات متبقية لا تزال تتطلب المفتاح الأقدم، بعد إجراء تدوير المفتاح، استخدم sys.dm_db_log_info طريقة عرض الإدارة الديناميكي (DMV). يقوم DMV هذا بإرجاع معلومات حول ملف السجل الظاهري (VLF) الخاص بسجل العمليات إلى جانب بصمة مفتاح التشفير الخاصة به في VLF.
• يجب الاحتفاظ بالمفاتيح الأقدم في AKV وإتاحتها للخادم بناءً على فترة الاستبقاء بالنسخ الاحتياطي التي تم تكوينها كخلفية لنُهج استبقاء النسخ الاحتياطية في قاعدة البيانات. يساعد هذا في ضمان إمكانية استعادة أي نسخ احتياطية طويلة الأمد (LTR) على الخادم باستخدام المفاتيح الأقدم.

ملاحظة

يجب استئناف تجمع SQL المخصص المتوقف مؤقتاً في Azure Synapse Analytics قبل عمليات تدوير المفاتيح.

هام

لا تقم بحذف الإصدارات السابقة من المفتاح بعد التبديل. عند تمرير المفاتيح، تظل بعض البيانات مشفرة بالمفاتيح السابقة، مثل النسخ الاحتياطية لقاعدة البيانات الأقدم، وملفات السجل الاحتياطية وملفات سجل العمليات.

ملاحظة

تنطبق هذه المقالة على قاعدة بيانات Azure SQL ومثيل SQL Azure المدار وAzure Synapse Analytics (تجمعات SQL المخصصة ( المعروفة سابقًا بـ SQL DW)). للحصول على وثائق حول تشفير البيانات الشفاف لتجمعات SQL المخصصة داخل مساحات عمل Synapse، راجع تشفير Azure Synapse Analytics.

المتطلبات الأساسية

• يفترض دليل الكيفية هذا أنك تستخدم بالفعل مفتاحاً من Azure Key Vault كأداة حماية TDE لقاعدة بيانات Azure SQL أو Azure Synapse Analytics. راجع تشفير البيانات الشفافة مع دعم BYOK.
• يجب أن يكون لديك Azure PowerShell مثبت وقيد التشغيل.
• [موصى به ولكن اختياري] قم بإنشاء المواد الأساسية لأداة حماية TDE في وحدة أمان الأجهزة (HSM) أو مخزن المفاتيح المحلي أولاً، واستورد المواد الرئيسة إلى Azure Key Vault. اتبع الإرشادات الخاصة باستخدام وحدة أمان الأجهزة (HSM) و Key Vault لمعرفة المزيد.

PowerShell

للحصول على إرشادات تثبيت وحدة Az، راجع تثبيت Azure PowerShell. بخصوص أوامر cmdlets معينة، راجع AzureRM.Sql.

هام

لا تزال الوحدة النمطيةPowerShell Azure Resource Manager مدعومة، ولكن جميع التطويرات المستقبلية تكون للوحدة النمطية Az.Sql. ستستمر الوحدة النمطية AzureRM في تلقي إصلاحات الأخطاء حتى ديسمبر 2020 على الأقل. تتطابق وسائط الأوامر في الوحدة النمطية Az وفي الوحدات النمطية AzureRm بشكل كبير. لمعرفة المزيد حول توافقها، اطّلع على تقديم الوحدة النمطية Azure PowerShell Az الجديدة.

The Azure CLI

للتثبيت، راجع تثبيت Azure CLI.

تدوير المفاتيح اليدوي

يستخدم تدوير المفاتيح اليدوي الأوامر التالية لإضافة مفتاح جديد تماماً، والذي يمكن أن يكون تحت اسم مفتاح جديد أو حتى مخزن مفتاح آخر. يدعم استخدام هذا الأسلوب إضافة نفس المفتاح إلى مخازن المفاتيح المختلفة لدعم سيناريوهات التوفر العالي والتعافي من الكوارث الجغرافية.

ملاحظة

لا يمكن أن يتجاوز الطول المجمّع لاسم مخزن المفاتيح واسم المفتاح 94 حرفاً.

PowerShell

استخدم أوامر cmdlets Add-AzKeyVaultKey وAdd-AzSqlServerKeyVaultKey وSet-AzSqlServerTransparentDataEncryptionProtector.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

The Azure CLI

استخدم الأوامر az keyvault key create، وaz sql server key create، وaz sql server tde-key set.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

تبديل وضع أداة حماية TDE

PowerShell

• استخدم الأمر cmdlet Set-AzSqlServerTransparentDataEncryptionProtector لتعيين المفتاح كحامي TDE لجميع موارد الخادم.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• لتبديل أداة حماية TDE من وضع BYOK إلى وضع مدار بواسطة Microsoft، استخدم الأمر Set-AzSqlServerTransparentDataEncryptionProtector cmdlet.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

The Azure CLI

تستخدم اأمثلة التالية az sql server tde-key set.

• للتبديل حامي TDE من Microsoft المدارة إلى وضع BYOK،

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• لتبديل أداة حماية TDE من وضع BYOK إلى وضع مدار بواسطة Microsoft،

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

الخطوات التالية

• في حالة وجود خطر أمني، تعرف على كيفية إزالة أداة حماية TDE المحتمل اختراقها: قم بإزالة المفتاح المحتمل اختراقه.

• ابدأ مع تكامل Azure Key Vault واجلب دعم المفتاح الخاص بك لـ TDE: قم بتشغيل TDE باستخدام المفتاح الخاص بك من Key Vault باستخدام PowerShell.