Odolnost mezi regiony pro SQL TDE se spravovaným HSM služby Azure Key Vault

Azure SQL Managed Instance

Azure Key Vault

Nápady na řešení

Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.

Toto řešení popisuje model zabezpečeného a odolného nasazení pro spravovanou instanci Azure SQL. Zdůrazňuje, jak se spravované HSM služby Azure Key Vault používá k ukládání klíčů ochrany transparentního šifrování dat spravovaných zákazníkem.

Architektura

Diagram obsahuje dvě klíčové části, primární oblast a sekundární oblast. Primární oblast má pododdíl, který zahrnuje spravovanou instanci SQL, zóny dostupnosti a podsíť se skupinou zabezpečení sítě (NSG). Primární oblast má další dílčí část, která zahrnuje podsíť se skupinou zabezpečení sítě, privátním koncovým bodem spravované oblasti HSM, dalším privátním koncovým bodem, nástrojem pro vyrovnávání zatížení a spravovaným fondem HSM. Každá podsekce má virtuální síť a skupiny prostředků. Privátní zóna DNS pro mHSM je také v primární oblasti. Sekundární oblast replikuje prostředky primární oblasti. Šipka označená jako řídicí rovina směřuje od spravované instance SQL k Traffic Manageru v sekci externích globálních prostředků. Čára označená replikací dat mezi regiony směřuje z pododdílu SQL Managed Instance v primárním regionu do stejného pododdílu v sekundárním regionu. Šipka označená jako replikace mezi oblastmi směřuje z pododdílu spravovaného fondu HSM v primární oblasti do stejného pododdílu v sekundární oblasti. V každé oblasti šipka označená jako datová rovina směřuje ze služby SQL Managed Instance k privátnímu koncovému bodu a pak k Traffic Manageru. V každé oblasti je šipka označená jako plán správy směrem od SQL Managed Instance k Traffic Manager. V každé oblasti ukazuje šipka z Traffic Manageru do spravovaného fondu HSM, čímž je naznačeno, že Traffic Manager přesměrovává na nejbližší mHSM.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Následující pracovní postup odpovídá předchozímu diagramu:

1. Spravovaná instance SQL je nakonfigurovaná se skupinami dostupnosti v sekundární nepairované oblasti pro replikaci dat pro zotavení po havárii.

2. Spravovaný HSM je nakonfigurovaný s mezioblastním fondem. Tento pool automaticky replikuje klíčový materiál a oprávnění do úložiště v sekundární nezpárované oblasti.

3. Provoz roviny dat ze spravované instance SQL prochází privátním koncovým bodem spravovaného HSM.

4. Spravovaný HSM pomocí Azure Traffic Manageru směruje provoz do nejbližšího provozního trezoru.

5. Pokud spravovaná instance potřebuje zkontrolovat oprávnění ke klíči, odešle žádost o rovinu správy přes páteřní síť Azure.

Součásti

• SQL Managed Instance je nabídka paaS (platforma jako služba), která je téměř zcela kompatibilní s nejnovějším databázovým strojem SQL Server Enterprise Edition. Poskytuje nativní implementaci virtuální sítě, která zlepšuje zabezpečení a poskytuje výhodný obchodní model pro stávající zákazníky SQL Serveru. Spravovanou instanci SQL můžete použít k migraci místních aplikací do cloudu s minimálními úpravami aplikací a databází.

  Sql Managed Instance také poskytuje komplexní funkce PaaS, včetně automatických oprav a aktualizací verzí, automatizovaných záloh a vysoké dostupnosti. Tyto funkce výrazně snižují režijní náklady na správu a celkové náklady na vlastnictví. V této architektuře je SQL Managed Instance databází, která používá klíče ochrany TDE (Transparentní šifrování dat).

• Spravovaný HSM je plně spravovaná cloudová služba, která poskytuje vysokou dostupnost, architekturu s jedním tenantem a dodržování oborových standardů. Spravovaný HSM je navržený tak, aby chránil kryptografické klíče pro cloudové aplikace. Používá HSM validované podle Federálních standardů pro zpracování informací FIPS 140-2 úrovně 3. Spravovaný HSM je jedním z několika řešení správy klíčů v Azure. V této architektuře spravovaný HSM bezpečně ukládá klíče chránící TDE a zajišťuje odolnost napříč regiony.

• Privátní koncový bod Azure slouží jako síťové rozhraní, které bezpečně propojuje služby PaaS, jako je Azure Storage, Azure SQL Database a Azure Key Vault, k virtuální síti prostřednictvím privátní IP adresy. Tato funkce eliminuje potřebu vystavení veřejného internetu, což zvyšuje zabezpečení tím, že udržuje provoz v páteřní síti Azure. Používá také virtuální síť zákazníka k přidání ochrany. V této architektuře privátní koncový bod Azure zajišťuje, že provoz mezi službami prochází přes privátní virtuální síť.

• Privátní DNS Azure poskytuje bezproblémové řešení názvů pro privátní koncové body, což umožňuje prostředkům ve virtuální síti soukromý přístup ke službám Azure. Umožňuje jim používat plně kvalifikované názvy domén místo veřejných IP adres, což zvyšuje zabezpečení a přístupnost. Při vytvoření privátního koncového bodu se automaticky zaregistruje odpovídající záznam DNS (Domain Name System) v propojené zóně privátního DNS. Privátní zóna DNS zajišťuje, aby provoz do služby zůstal v páteřní síti Azure. Tento přístup zlepšuje zabezpečení, výkon a dodržování předpisů tím, že zabraňuje vystavení veřejnému internetu. Pokud dojde k výpadku regionální služby, Azure Private DNS poskytuje nativní odolnost mezioblastního překladu názvů pro spravované HSM. V této architektuře používají služby Azure Private DNS ke vzájemné komunikaci prostřednictvím svých privátních síťových adres.

Podrobnosti scénáře

V tomto řešení má zákazník za cíl splnit přísné prahové hodnoty cíle na úrovni služeb (SLO) pro svůj kritický systém a zároveň zajistit plnou funkčnost uvedených služeb. K dosažení tohoto cíle používají spravovanou instanci SQL s klíčem ochranářem TDE (Transparent Data Encryption) spravovaným zákazníkem. Klíč je uložený v trezoru, který podporuje zvolené oblasti a splňuje všechny požadavky na dodržování předpisů a zabezpečení. Pro rozšířenou ochranu se také vynucuje přístup k privátnímu koncovému bodu.

Potenciální případy použití

• Zákazník používá dvě spárované nebo nepárované regiony. Primární spravovaná instance SQL se nachází v jedné oblasti a skupiny převzetí služeb při selhání jsou nakonfigurované tak, aby ji připojily ke spravované instanci SQL v sekundární oblasti.

• Zákazník používá instanci spravovaného HSM v primární oblasti se sekundární replikou v jiné oblasti. Když je povolená replika mezi oblastmi, vytvoří se instance Traffic Manageru. Instance služby Traffic Manager zajišťuje směrování provozu do místního trezoru, pokud jsou oba trezory funkční, nebo do funkčního trezoru, pokud jeden trezor není k dispozici.

• Zákazník používá dvě vlastní zóny DNS k podpoře privátního koncového bodu pro spravovanou instanci HSM v každé oblasti.

• Transparentní šifrování dat aktivované zákazníkem v uživatelských databázích používá model klíčů spravovaný zákazníkem a ukládá klíč ochrany do spravovaného HSM.

• Zákazník tento návrh používá k zajištění maximální možné odolnosti.

Přispěvatelé

Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.

Hlavní autoři:

• Laura Grob | Hlavní architekt cloudového řešení
• Armen Kaleshian | Hlavní architekt cloudového řešení
• Michael Piskorski | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Komplexní průvodce spravovaným HSM pro regulovaná odvětví
• Vestavěné role pro místní řízení přístupu na základě role pro spravované HSM
• Povolení replikace ve více oblastech ve spravovaném HSM
• Konfigurace spravovaného HSM s využitím privátních koncových bodů
• Přehled obnovení spravovaného HSM
• Klíčová suverenita, dostupnost, výkon a škálovatelnost ve spravovaném HSM
• Osvědčené postupy pro zabezpečení spravovaného HSM
• Přehled zabezpečení služby Key Vault
• Informace o klíčích služby Key Vault
• Generování a přenos klíčů chráněných modulem HSM
• Dostupnost a redundance služby Key Vault

Nápady na řešení

Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.

Toto řešení popisuje model zabezpečeného a odolného nasazení pro spravovanou instanci Azure SQL. Zdůrazňuje, jak se spravované HSM služby Azure Key Vault používá k ukládání klíčů ochrany transparentního šifrování dat spravovaných zákazníkem.

Architektura

Diagram obsahuje dvě klíčové části, primární oblast a sekundární oblast. Primární oblast má pododdíl, který zahrnuje spravovanou instanci SQL, zóny dostupnosti a podsíť se skupinou zabezpečení sítě (NSG). Primární oblast má další dílčí část, která zahrnuje podsíť se skupinou zabezpečení sítě, privátním koncovým bodem spravované oblasti HSM, dalším privátním koncovým bodem, nástrojem pro vyrovnávání zatížení a spravovaným fondem HSM. Každá podsekce má virtuální síť a skupiny prostředků. Privátní zóna DNS pro mHSM je také v primární oblasti. Sekundární oblast replikuje prostředky primární oblasti. Šipka označená jako řídicí rovina směřuje od spravované instance SQL k Traffic Manageru v sekci externích globálních prostředků. Čára označená replikací dat mezi regiony směřuje z pododdílu SQL Managed Instance v primárním regionu do stejného pododdílu v sekundárním regionu. Šipka označená jako replikace mezi oblastmi směřuje z pododdílu spravovaného fondu HSM v primární oblasti do stejného pododdílu v sekundární oblasti. V každé oblasti šipka označená jako datová rovina směřuje ze služby SQL Managed Instance k privátnímu koncovému bodu a pak k Traffic Manageru. V každé oblasti je šipka označená jako plán správy směrem od SQL Managed Instance k Traffic Manager. V každé oblasti ukazuje šipka z Traffic Manageru do spravovaného fondu HSM, čímž je naznačeno, že Traffic Manager přesměrovává na nejbližší mHSM.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Následující pracovní postup odpovídá předchozímu diagramu:

1. Spravovaná instance SQL je nakonfigurovaná se skupinami dostupnosti v sekundární nepairované oblasti pro replikaci dat pro zotavení po havárii.

2. Spravovaný HSM je nakonfigurovaný s mezioblastním fondem. Tento pool automaticky replikuje klíčový materiál a oprávnění do úložiště v sekundární nezpárované oblasti.

3. Provoz roviny dat ze spravované instance SQL prochází privátním koncovým bodem spravovaného HSM.

4. Spravovaný HSM pomocí Azure Traffic Manageru směruje provoz do nejbližšího provozního trezoru.

5. Pokud spravovaná instance potřebuje zkontrolovat oprávnění ke klíči, odešle žádost o rovinu správy přes páteřní síť Azure.

Součásti

• SQL Managed Instance je nabídka paaS (platforma jako služba), která je téměř zcela kompatibilní s nejnovějším databázovým strojem SQL Server Enterprise Edition. Poskytuje nativní implementaci virtuální sítě, která zlepšuje zabezpečení a poskytuje výhodný obchodní model pro stávající zákazníky SQL Serveru. Spravovanou instanci SQL můžete použít k migraci místních aplikací do cloudu s minimálními úpravami aplikací a databází.

  Sql Managed Instance také poskytuje komplexní funkce PaaS, včetně automatických oprav a aktualizací verzí, automatizovaných záloh a vysoké dostupnosti. Tyto funkce výrazně snižují režijní náklady na správu a celkové náklady na vlastnictví. V této architektuře je SQL Managed Instance databází, která používá klíče ochrany TDE (Transparentní šifrování dat).

• Spravovaný HSM je plně spravovaná cloudová služba, která poskytuje vysokou dostupnost, architekturu s jedním tenantem a dodržování oborových standardů. Spravovaný HSM je navržený tak, aby chránil kryptografické klíče pro cloudové aplikace. Používá HSM validované podle Federálních standardů pro zpracování informací FIPS 140-2 úrovně 3. Spravovaný HSM je jedním z několika řešení správy klíčů v Azure. V této architektuře spravovaný HSM bezpečně ukládá klíče chránící TDE a zajišťuje odolnost napříč regiony.

• Privátní koncový bod Azure slouží jako síťové rozhraní, které bezpečně propojuje služby PaaS, jako je Azure Storage, Azure SQL Database a Azure Key Vault, k virtuální síti prostřednictvím privátní IP adresy. Tato funkce eliminuje potřebu vystavení veřejného internetu, což zvyšuje zabezpečení tím, že udržuje provoz v páteřní síti Azure. Používá také virtuální síť zákazníka k přidání ochrany. V této architektuře privátní koncový bod Azure zajišťuje, že provoz mezi službami prochází přes privátní virtuální síť.

• Privátní DNS Azure poskytuje bezproblémové řešení názvů pro privátní koncové body, což umožňuje prostředkům ve virtuální síti soukromý přístup ke službám Azure. Umožňuje jim používat plně kvalifikované názvy domén místo veřejných IP adres, což zvyšuje zabezpečení a přístupnost. Při vytvoření privátního koncového bodu se automaticky zaregistruje odpovídající záznam DNS (Domain Name System) v propojené zóně privátního DNS. Privátní zóna DNS zajišťuje, aby provoz do služby zůstal v páteřní síti Azure. Tento přístup zlepšuje zabezpečení, výkon a dodržování předpisů tím, že zabraňuje vystavení veřejnému internetu. Pokud dojde k výpadku regionální služby, Azure Private DNS poskytuje nativní odolnost mezioblastního překladu názvů pro spravované HSM. V této architektuře používají služby Azure Private DNS ke vzájemné komunikaci prostřednictvím svých privátních síťových adres.

Podrobnosti scénáře

V tomto řešení má zákazník za cíl splnit přísné prahové hodnoty cíle na úrovni služeb (SLO) pro svůj kritický systém a zároveň zajistit plnou funkčnost uvedených služeb. K dosažení tohoto cíle používají spravovanou instanci SQL s klíčem ochranářem TDE (Transparent Data Encryption) spravovaným zákazníkem. Klíč je uložený v trezoru, který podporuje zvolené oblasti a splňuje všechny požadavky na dodržování předpisů a zabezpečení. Pro rozšířenou ochranu se také vynucuje přístup k privátnímu koncovému bodu.

Potenciální případy použití

• Zákazník používá dvě spárované nebo nepárované regiony. Primární spravovaná instance SQL se nachází v jedné oblasti a skupiny převzetí služeb při selhání jsou nakonfigurované tak, aby ji připojily ke spravované instanci SQL v sekundární oblasti.

• Zákazník používá instanci spravovaného HSM v primární oblasti se sekundární replikou v jiné oblasti. Když je povolená replika mezi oblastmi, vytvoří se instance Traffic Manageru. Instance služby Traffic Manager zajišťuje směrování provozu do místního trezoru, pokud jsou oba trezory funkční, nebo do funkčního trezoru, pokud jeden trezor není k dispozici.

• Zákazník používá dvě vlastní zóny DNS k podpoře privátního koncového bodu pro spravovanou instanci HSM v každé oblasti.

• Transparentní šifrování dat aktivované zákazníkem v uživatelských databázích používá model klíčů spravovaný zákazníkem a ukládá klíč ochrany do spravovaného HSM.

• Zákazník tento návrh používá k zajištění maximální možné odolnosti.

Přispěvatelé

Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.

Hlavní autoři:

• Laura Grob | Hlavní architekt cloudového řešení
• Armen Kaleshian | Hlavní architekt cloudového řešení
• Michael Piskorski | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Komplexní průvodce spravovaným HSM pro regulovaná odvětví
• Vestavěné role pro místní řízení přístupu na základě role pro spravované HSM
• Povolení replikace ve více oblastech ve spravovaném HSM
• Konfigurace spravovaného HSM s využitím privátních koncových bodů
• Přehled obnovení spravovaného HSM
• Klíčová suverenita, dostupnost, výkon a škálovatelnost ve spravovaném HSM
• Osvědčené postupy pro zabezpečení spravovaného HSM
• Přehled zabezpečení služby Key Vault
• Informace o klíčích služby Key Vault
• Generování a přenos klíčů chráněných modulem HSM
• Dostupnost a redundance služby Key Vault