Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Server
Konektor SQL Serveru pro Azure Key Vault umožňuje šifrování SQL Serveru využívat službu Azure Key Vault jako poskytovatele EKM (Extensible Key Management) k ochraně šifrovacích klíčů SQL Serveru.
Tento článek popisuje konektor SQL Serveru. Další informace jsou k dispozici v:
- Nastavení rozšiřitelné správy klíčů pro transparentní šifrování dat SQL Serveru s využitím služby Azure Key Vault
- Použití konektoru SQL Serveru s funkcemi šifrování SQL
- Řešení potíží s údržbou konektoru SQL Serveru
Co je Extensible Key Management (EKM) a proč ho používat?
SQL Server poskytuje několik typů šifrování, které pomáhají chránit citlivá data, včetně transparentního šifrování dat (TDE),šifrování sloupce dat (CLE) a šifrování záloh. Ve všech těchto případech se data v této tradiční hierarchii klíčů šifrují pomocí symetrického šifrovacího klíče dat (DEK). Šifrovací klíč symetrických dat je dále chráněn šifrováním pomocí hierarchie klíčů uložených na SQL Serveru.
Místo tohoto modelu je alternativou model poskytovatele EKM. Použití architektury poskytovatele EKM umožňuje SQL Serveru chránit šifrovací klíče dat pomocí asymetrického klíče uloženého mimo SQL Server v externím zprostředkovateli kryptografických služeb. Tento model přidá další vrstvu zabezpečení a odděluje správu klíčů a dat.
Následující obrázek porovnává tradiční hierarchii klíčů správy služeb se systémem Azure Key Vault.
Konektor SQL Serveru slouží jako most mezi SQL Serverem a službou Azure Key Vault, takže SQL Server může využívat škálovatelnost, vysoký výkon a vysokou dostupnost služby Azure Key Vault. Následující obrázek znázorňuje, jak funguje hierarchie klíčů v architektuře poskytovatele EKM se službou Azure Key Vault a konektorem SQL Serveru.
Azure Key Vault je možné použít s instalacemi SQL Serveru na virtuálních počítačích Azure a pro místní servery. Služba trezoru klíčů také poskytuje možnost používat úzce řízené a monitorované moduly hardwarového zabezpečení (HSM) pro vyšší úroveň ochrany asymetrických šifrovacích klíčů. Další informace o trezoru klíčů najdete v tématu Azure Key Vault.
Poznámka:
Podporovány jsou pouze Azure Key Vault a Azure Key Vault Managed HSM. Cloud HSM Azure se nepodporuje.
Následující obrázek shrnuje tok procesu EKM pomocí trezoru klíčů. (Čísla kroků procesu na obrázku nejsou určená tak, aby odpovídala číslům kroků nastavení, která následují po obrázku.)
Poznámka:
Verze 1.0.0.440 a starší už nejsou podporovány v produkčních prostředích. Upgradujte na verzi 1.0.1.0 nebo novější, přejděte do Centrum pro stažení Microsoft a použijte pokyny na stránce Údržba a řešení potíží s konektorem SQL Server v části "Upgrade konektoru SQL Server".
Podívejte se na další krok Nastavení rozšiřitelné správy klíčů TDE SQL Serveru pomocí služby Azure Key Vault.
Scénáře použití najdete v tématu Použití konektoru SQL Serveru s funkcemi šifrování SQL.