Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:✅databáze SQL v Microsoft Fabric
Důležité
Tato funkce je ve verzi Preview.
Microsoft Fabric šifruje všechna neaktivní uložená data pomocí klíčů spravovaných Microsoftem. Všechna data databáze SQL jsou uložená ve vzdálených účtech Azure Storage. Aby bylo možné vyhovět požadavkům na šifrování v klidovém stavu pomocí klíčů spravovaných Microsoftem, je každý účet služby Azure Storage používaný databází SQL nakonfigurovaný s povoleným šifrováním na straně služby .
Pomocí klíčů spravovaných zákazníkem pro pracovní prostory Fabric můžete s využitím klíčů Azure Key Vault přidat další vrstvu ochrany k datům v pracovních prostorech Microsoft Fabric, včetně všech dat v SQL databázi v Microsoft Fabric. Klíč spravovaný zákazníkem poskytuje větší flexibilitu a umožňuje spravovat jeho rotaci, řídit přístup a auditování využití. Klíče spravované zákazníkem také pomáhají organizacím splňovat požadavky zásad správného řízení dat a dodržovat standardy ochrany a šifrování dat.
- Pokud je klíč spravovaný zákazníkem nakonfigurovaný pro pracovní prostor v Microsoft Fabric, transparentní šifrování dat se automaticky povolí pro všechny databáze SQL (a
tempdb) v tomto pracovním prostoru pomocí zadaného klíče spravovaného zákazníkem. Tento proces je zcela bezproblémový a nevyžaduje žádný ruční zásah.- I když proces šifrování začne automaticky pro všechny existující databáze SQL, není okamžitý; doba trvání závisí na velikosti každé databáze SQL, přičemž větší databáze SQL vyžadují k dokončení šifrování více času.
- Po nakonfigurování klíče spravovaného zákazníkem se všechny databáze SQL vytvořené v pracovním prostoru zašifrují také pomocí klíče spravovaného zákazníkem.
- Pokud se klíč spravovaný zákazníkem odebere, proces dešifrování se aktivuje pro všechny databáze SQL v pracovním prostoru. Podobně jako šifrování je dešifrování závislé také na velikosti databáze SQL a dokončení může nějakou dobu trvat. Po dešifrování se databáze SQL vrátí k šifrování pomocí klíčů spravovaných Microsoftem.
Jak funguje transparentní šifrování dat v databázi SQL v Microsoft Fabric
Transparentní šifrování dat provádí v reálném čase šifrování a dešifrování databáze, záloh a souborů transakčních protokolů v klidu.
- K tomuto procesu dochází na úrovni stránky, což znamená, že každá stránka se dešifruje při čtení do paměti a opětovném zašifrování před zápisem zpět na disk.
- Transparentní šifrování dat zabezpečuje celou databázi pomocí symetrického klíče označovaného jako šifrovací klíč databáze (DEK).
- Při spuštění databáze se šifrovaný klíč DEK dešifruje a používá databázový stroj SQL Serveru ke správě operací šifrování a dešifrování.
- Samotný klíč DEK je chráněn transparentní ochranou šifrování dat, což je asymetrickým klíčem spravovaným zákazníkem – konkrétně klíčem spravovaným zákazníkem nakonfigurovaným na úrovni pracovního prostoru.
Zálohování a obnovení
Jakmile se databáze SQL zašifruje pomocí klíče spravovaného zákazníkem, všechny nově vygenerované zálohy se zašifrují také stejným klíčem.
Při změně klíče se staré zálohy databáze SQL neaktualizují, aby používaly nejnovější klíč. Pokud chcete obnovit zálohu zašifrovanou pomocí klíče spravovaného zákazníkem, ujistěte se, že je materiál klíče k dispozici ve službě Azure Key Vault. Proto doporučujeme, aby zákazníci zachovali všechny staré verze klíčů spravovaných zákazníkem ve službě Azure Key Vault, aby bylo možné obnovit zálohy databází SQL.
Proces obnovení databáze SQL bude vždy respektovat nastavení klíče spravovaného zákazníkem v pracovním prostoru. Následující tabulka popisuje různé scénáře obnovení na základě nastavení klíče spravovaného zákazníkem a toho, jestli je zálohování šifrované.
| Záloha je... | Nastavení klíče spravovaného zákazníkem v pracovním prostoru | Stav šifrování po obnovení |
|---|---|---|
| Nešifrováno | Disabled | Databáze SQL není šifrovaná |
| Nešifrováno | Enabled | Databáze SQL je šifrovaná pomocí klíče spravovaného zákazníkem. |
| Šifrované pomocí klíče spravovaného zákazníkem | Disabled | Databáze SQL není šifrovaná |
| Šifrované pomocí klíče spravovaného zákazníkem | Enabled | Databáze SQL je šifrovaná pomocí klíče spravovaného zákazníkem. |
| Šifrované pomocí klíče spravovaného zákazníkem | Povoleno, ale jiný klíč spravovaný zákazníkem | Databáze SQL je šifrovaná pomocí nového klíče spravovaného zákazníkem. |
Ověření úspěšného klíče spravovaného zákazníkem
Po povolení šifrování klíče spravovaného zákazníkem v pracovním prostoru se stávající databáze zašifruje. Nová databáze v pracovním prostoru se také zašifruje, když je povolený klíč spravovaný zákazníkem. Pokud chcete ověřit, jestli je vaše databáze úspěšně zašifrovaná, spusťte následující dotaz T-SQL:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Databáze je zašifrovaná, pokud se
encryption_state_descpole zobrazíENCRYPTEDASYMMETRIC_KEYjakoencryptor_type. - Pokud je
ENCRYPTION_IN_PROGRESSstav,percent_completesloupec bude indikovat průběh změny stavu šifrování. To bude v0případě, že neprobíhá žádná změna stavu. - Pokud není zašifrováno, databáze se nezobrazí ve výsledcích
sys.dm_database_encryption_keysdotazu .
Řešení potíží s nepřístupným klíčem spravovaným zákazníkem
Pokud je klíč spravovaný zákazníkem nakonfigurovaný pro pracovní prostor v Microsoft Fabric, vyžaduje se nepřetržitý přístup ke klíči, aby databáze SQL zůstala online. Pokud databáze SQL ztratí přístup ke klíči ve službě Azure Key Vault, za 10 minut začne databáze SQL odepřít všechna připojení a změní jeho stav na Nepřístupný. Uživatelům se zobrazí odpovídající chybová zpráva typu Databáze <database ID>.database.fabric.microsoft.com není přístupná kvůli kritické chybě služby Azure Key Vault.
- Pokud se přístup ke klíči obnoví do 30 minut, databáze SQL se během následující hodiny automaticky opraví.
- Pokud se přístup ke klíči obnoví po více než 30 minutách, automatická oprava databáze SQL není možná. Přenesení databáze SQL vyžaduje další kroky a může trvat značné množství času v závislosti na velikosti databáze SQL.
Pomocí následujících kroků znovu ověřte klíč spravovaný zákazníkem:
- V pracovním prostoru klikněte pravým tlačítkem myši na databázi SQL nebo na
...místní nabídku. Vyberte Nastavení. - Vyberte Šifrování (Preview).
- Pokud se chcete pokusit znovu obnovit klíč spravovaný zákazníkem, vyberte tlačítko Znovu obnovit klíč spravovaný zákazníkem . Pokud je opětovné ověření úspěšné, může obnovení přístupu k vaší databázi SQL nějakou dobu trvat.
Poznámka:
Po opětovném ověření klíče pro jednu databázi SQL se klíč automaticky znovu aktualizuje pro všechny databáze SQL v rámci vašeho pracovního prostoru.
Omezení
Aktuální omezení při použití klíče spravovaného zákazníkem pro databázi SQL v Microsoft Fabric:
- 4 096bitové klíče nejsou podporovány pro SLUŽBU SQL Database v Microsoft Fabric. Podporované délky klíčů jsou 2 048 bitů a 3 072 bitů.
- Klíč spravovaný zákazníkem musí být RSA nebo RSA-HSM asymetrický klíč.
- Šifrování klíče spravovaného zákazníkem je v současné době dostupné v následujících oblastech:
- USA: US – východní region 2, US – středojih
- Asie: Austrálie – východ, Jihovýchodní Asie, Spojené arabské emiráty – sever
- Evropa: Severní Evropa, Západní Evropa