تكوين أداة حماية تشفير البيانات الشفافة (TDE)

ينطبق على: قاعدة بيانات Azure SQL Azure Synapse Analytics

توضح هذه المقالة تدوير المفتاح للخادم باستخدام أداة حماية TDE من Azure Key Vault. تدوير أداة حماية TDE المنطقية للخادم يعني التبديل إلى مفتاح غير متماثل جديد يحمي قواعد البيانات على الخادم. تدوير المفتاح هو عملية عبر الإنترنت ويجب أن يستغرق بضع ثوانٍ فقط لإكماله، لأن هذا يقوم فقط بفك تشفير مفتاح تشفير البيانات في قاعدة البيانات وإعادة تشفيره، وليس قاعدة البيانات بأكملها.

اعتبارات مهمة عند تدوير واقي TDE

  • عندما يتم تغيير/تدوير واقي TDE، لا يتم تحديث النسخ الاحتياطية القديمة لقاعدة البيانات، بما في ذلك ملفات السجل الاحتياطية، لاستخدام أحدث واقي TDE. لاستعادة نسخة احتياطية مشفرة باستخدام أداة حماية TDE من Key Vault، فتأكد من توفر المواد الرئيسية للخادم الهدف. لذلك، نوصي بالاحتفاظ بجميع الإصدارات القديمة من واقي TDE في Azure Key Vault (AKV)، حتى يمكن استعادة النسخ الاحتياطية لقاعدة البيانات.
  • حتى عند التبديل من المفتاح المُدار بواسطة العميل (CMK) إلى المفتاح المُدار بواسطة الخدمة، احتفظ بجميع المفاتيح المستخدمة مسبقاً في AKV. يضمن ذلك إمكانية استعادة النسخ الاحتياطية لقاعدة البيانات، بما في ذلك ملفات السجل الاحتياطية، باستخدام واقيات TDE المخزنة في AKV.
  • بصرف النظر عن النسخ الاحتياطية القديمة، قد تتطلب ملفات سجل العمليات أيضاً الوصول إلى واقي TDE الأقدم. لتحديد ما إذا كانت هناك أي سجلات متبقية لا تزال تتطلب المفتاح الأقدم، بعد إجراء تدوير المفتاح، استخدم sys.dm_db_log_info طريقة عرض الإدارة الديناميكي (DMV). يقوم DMV هذا بإرجاع معلومات حول ملف السجل الظاهري (VLF) الخاص بسجل العمليات إلى جانب بصمة مفتاح التشفير الخاصة به في VLF.
  • يجب الاحتفاظ بالمفاتيح الأقدم في AKV وإتاحتها للخادم بناءً على فترة الاستبقاء بالنسخ الاحتياطي التي تم تكوينها كخلفية لنُهج استبقاء النسخ الاحتياطية في قاعدة البيانات. يساعد هذا في ضمان إمكانية استعادة أي نسخ احتياطية طويلة الأمد (LTR) على الخادم باستخدام المفاتيح الأقدم.

ملاحظة

يجب استئناف تجمع SQL المخصص المتوقف مؤقتاً في Azure Synapse Analytics قبل عمليات تدوير المفاتيح.

هام

لا تقم بحذف الإصدارات السابقة من المفتاح بعد التبديل. عند تمرير المفاتيح، تظل بعض البيانات مشفرة بالمفاتيح السابقة، مثل النسخ الاحتياطية لقاعدة البيانات الأقدم، وملفات السجل الاحتياطية وملفات سجل العمليات.

ملاحظة

تنطبق هذه المقالة على قاعدة بيانات Azure SQL ومثيل SQL Azure المدار وAzure Synapse Analytics (تجمعات SQL المخصصة ( المعروفة سابقًا بـ SQL DW)). للحصول على وثائق حول تشفير البيانات الشفاف لتجمعات SQL المخصصة داخل مساحات عمل Synapse، راجع تشفير Azure Synapse Analytics.

المتطلبات الأساسية

للحصول على إرشادات تثبيت وحدة Az، راجع تثبيت Azure PowerShell. بخصوص أوامر cmdlets معينة، راجع AzureRM.Sql.

هام

لا تزال الوحدة النمطيةPowerShell Azure Resource Manager مدعومة، ولكن جميع التطويرات المستقبلية تكون للوحدة النمطية Az.Sql. ستستمر الوحدة النمطية AzureRM في تلقي إصلاحات الأخطاء حتى ديسمبر 2020 على الأقل. تتطابق وسائط الأوامر في الوحدة النمطية Az وفي الوحدات النمطية AzureRm بشكل كبير. لمعرفة المزيد حول توافقها، اطّلع على تقديم الوحدة النمطية Azure PowerShell Az الجديدة.

تدوير المفاتيح اليدوي

يستخدم تدوير المفاتيح اليدوي الأوامر التالية لإضافة مفتاح جديد تماماً، والذي يمكن أن يكون تحت اسم مفتاح جديد أو حتى مخزن مفتاح آخر. يدعم استخدام هذا الأسلوب إضافة نفس المفتاح إلى مخازن المفاتيح المختلفة لدعم سيناريوهات التوفر العالي والتعافي من الكوارث الجغرافية.

ملاحظة

لا يمكن أن يتجاوز الطول المجمّع لاسم مخزن المفاتيح واسم المفتاح 94 حرفاً.

استخدم أوامر cmdlets Add-AzKeyVaultKey وAdd-AzSqlServerKeyVaultKey وSet-AzSqlServerTransparentDataEncryptionProtector.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

تبديل وضع أداة حماية TDE

  • استخدم الأمر cmdlet Set-AzSqlServerTransparentDataEncryptionProtector لتعيين المفتاح كحامي TDE لجميع موارد الخادم.

    Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
         -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
    
  • لتبديل أداة حماية TDE من وضع BYOK إلى وضع مدار بواسطة Microsoft، استخدم الأمر Set-AzSqlServerTransparentDataEncryptionProtector cmdlet.

    Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
         -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
    

الخطوات التالية