Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:✅databáze SQL v Microsoft Fabric
Microsoft Fabric šifruje všechna neaktivní uložená data pomocí klíčů spravovaných Microsoftem. Databáze SQL ukládá všechna data ve vzdálených účtech Azure Storage. Pro splnění požadavků na šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem má každý účet Azure Storage používaný databází SQL povolené šifrování na straně služby .
Pomocí klíčů spravovaných zákazníkem pro pracovní prostory Fabric můžete s využitím klíčů Azure Key Vault přidat další vrstvu ochrany k datům v pracovních prostorech Microsoft Fabric, včetně všech dat v SQL databázi v Microsoft Fabric. Klíč spravovaný zákazníkem poskytuje větší flexibilitu, takže můžete spravovat jeho rotaci, řídit přístup a auditovat využití. Klíče spravované zákazníkem také pomáhají organizacím splňovat požadavky zásad správného řízení dat a dodržovat standardy ochrany a šifrování dat.
- Když nakonfigurujete klíč spravovaný zákazníkem pro pracovní prostor v Microsoft Fabric, transparentní šifrování dat se automaticky povolí pro všechny databáze SQL (a
tempdb) v tomto pracovním prostoru pomocí zadaného klíče spravovaného zákazníkem. Tento proces je bezproblémový a nevyžaduje žádný ruční zásah.- I když proces šifrování začne automaticky pro všechny existující databáze SQL, není okamžitý. Doba trvání závisí na velikosti každé databáze SQL, přičemž větší databáze SQL vyžadují k dokončení šifrování více času.
- Po nakonfigurování klíče spravovaného zákazníkem se všechny databáze SQL, které vytvoříte v pracovním prostoru, zašifrují také pomocí klíče spravovaného zákazníkem.
- Pokud odeberete klíč spravovaný zákazníkem, dešifrování se spustí pro všechny databáze SQL v pracovním prostoru. Podobně jako šifrování závisí dešifrování také na velikosti databáze SQL a dokončení může nějakou dobu trvat. Po dešifrování se databáze SQL vrátí k šifrování pomocí klíčů spravovaných Microsoftem.
Jak funguje transparentní šifrování dat v databázi SQL v Microsoft Fabric
Transparentní šifrování dat provádí v reálném čase šifrování a dešifrování databáze, záloh a souborů transakčních protokolů v klidu.
- K tomuto procesu dochází na úrovni stránky, což znamená, že každá stránka se dešifruje při čtení do paměti a opětovném zašifrování před zápisem zpět na disk.
- Transparentní šifrování dat zabezpečuje celou databázi pomocí symetrického klíče označovaného jako šifrovací klíč databáze (DEK).
- Po spuštění databáze databázový stroj SQL Serveru dešifruje klíč DEK a použije ho ke správě operací šifrování a dešifrování.
- Transparentní ochrana šifrování dat, konkrétně klíč spravovaný zákazníkem nakonfigurovaný na úrovni pracovního prostoru, chrání klíč DEK.
Zálohování a obnovení
Jakmile se databáze SQL zašifruje pomocí klíče spravovaného zákazníkem, všechny nově vygenerované zálohy se zašifrují také stejným klíčem.
Když klíč změníte, staré zálohy databáze SQL se neaktualizují, aby používaly nejnovější klíč. Pokud chcete obnovit zálohu zašifrovanou pomocí klíče spravovaného zákazníkem, ujistěte se, že je materiál klíče k dispozici ve službě Azure Key Vault. Uchovávejte všechny staré verze klíčů spravovaných zákazníkem ve službě Azure Key Vault, aby bylo možné obnovit zálohy databáze SQL.
Proces obnovení databáze SQL vždy respektuje nastavení pracovního prostoru klíče, který spravuje zákazník. Následující tabulka popisuje různé scénáře obnovení na základě nastavení klíče spravovaného zákazníkem a toho, jestli je zálohování šifrované.
| Záloha je... | Nastavení klíče spravovaného zákazníkem v pracovním prostoru | Stav šifrování po obnovení |
|---|---|---|
| Nešifrováno | Disabled | Databáze SQL není šifrovaná |
| Nešifrováno | Enabled | Databáze SQL je šifrovaná pomocí klíče spravovaného zákazníkem. |
| Šifrované pomocí klíče spravovaného zákazníkem | Disabled | Databáze SQL není šifrovaná |
| Šifrované pomocí klíče spravovaného zákazníkem | Enabled | Databáze SQL je šifrovaná pomocí klíče spravovaného zákazníkem. |
| Šifrované pomocí klíče spravovaného zákazníkem | Povoleno, ale jiný klíč spravovaný zákazníkem | Databáze SQL je šifrovaná pomocí nového klíče spravovaného zákazníkem. |
Ověření úspěšného klíče spravovaného zákazníkem
Jakmile povolíte šifrování klíčů spravovaných zákazníkem v pracovním prostoru, stávající databáze se zašifruje. Nová databáze v pracovním prostoru se také zašifruje, když je povolený klíč spravovaný zákazníkem. Pokud chcete ověřit, že je databáze úspěšně zašifrovaná, spusťte následující dotaz T-SQL:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Databáze je zašifrovaná, pokud se
encryption_state_descpole zobrazíENCRYPTEDASYMMETRIC_KEYjakoencryptor_type. - Pokud je
ENCRYPTION_IN_PROGRESSstav,percent_completesloupec označuje průběh změny stavu šifrování. Tato hodnota je0v případě, že neprobíhá žádná změna stavu. - Pokud není zašifrovaná, databáze se ve výsledcích
sys.dm_database_encryption_keysdotazu nezobrazí .
Řešení potíží s nepřístupným klíčem spravovaným zákazníkem
Když nakonfigurujete klíč spravovaný zákazníkem pro pracovní prostor v Microsoft Fabric, databáze SQL vyžaduje nepřetržitý přístup ke klíči, aby zůstal online. Pokud databáze SQL ztratí přístup ke klíči ve službě Azure Key Vault, za 10 minut začne databáze SQL odepřít všechna připojení a změní jeho stav na Nepřístupný. Uživatelům se zobrazí odpovídající chybová zpráva typu Databáze <database ID>.database.fabric.microsoft.com není přístupná kvůli kritické chybě služby Azure Key Vault.
- Pokud se přístup ke klíči obnoví do 30 minut, databáze SQL se během příští hodiny automaticky opraví.
- Pokud se přístup ke klíči obnoví po více než 30 minutách, automatické opravy databáze SQL není možné. Obnovení databáze SQL vyžaduje další kroky a může trvat značné množství času v závislosti na velikosti databáze SQL.
Pomocí následujících kroků znovu ověřte klíč spravovaný zákazníkem:
- V pracovním prostoru klikněte pravým tlačítkem na databázi SQL nebo vyberte
...kontextovou nabídku. Vyberte Nastavení. - Vyberte Šifrování.
- Pokud chcete znovu obnovit klíč spravovaný zákazníkem, vyberte Znovu obnovit klíč spravovaný zákazníkem. Pokud je opětovné ověření úspěšné, může obnovení přístupu k vaší databázi SQL nějakou dobu trvat.
Poznámka:
Po opětovném ověření klíče pro jednu databázi SQL se klíč automaticky znovu aktualizuje pro všechny databáze SQL v rámci vašeho pracovního prostoru.
Omezení
Aktuální omezení při použití klíče spravovaného zákazníkem pro databázi SQL v Microsoft Fabric:
- 4 096bitové klíče nejsou podporované pro databázi SQL v Microsoft Fabric. Podporované délky klíčů jsou 2 048 bitů a 3 072 bitů.
- Klíč spravovaný zákazníkem musí být RSA nebo RSA-HSM asymetrický klíč.