Transparentní šifrování dat pro službu SQL Database, SQL Managed Instance a Azure Synapse Analytics

Platí pro:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Transparentní šifrování dat (TDE) pomáhá chránit službu Azure SQL Database, Azure SQL Managed Instance a Azure Synapse Analytics před hrozbou škodlivých offline aktivit šifrováním neaktivních uložených dat. Šifruje a dešifruje databáze, související zálohy a soubory transakčních protokolů v reálném čase, a přitom nevyžaduje změny v aplikaci. Ve výchozím nastavení je TDE povoleno pro všechny nově nasazené databáze Azure SQL Database a pro starší databáze Azure SQL Database musí být povoleno ručně. Pro Azure SQL Managed Instance je TDE povoleno na úrovni instance a pro nově vytvořené databáze. Pro TDE v Azure Synapse Analytics musí být povoleno ručně.

Poznámka:

Tento článek se týká Azure SQL Database, Azure SQL Managed Instance a Azure Synapse Analytics (vyhrazené fondy SQL (dříve SQL DW)). Dokumentaci k transparentní šifrování dat vyhrazených fondů SQL v pracovních prostorech Synapse najdete v tématu Šifrování služby Azure Synapse Analytics.

Některé položky považované za zákaznický obsah, jako jsou názvy tabulek, názvy objektů a názvy indexů, se můžou přenášet v souborech protokolů pro podporu a řešení potíží od Microsoftu.

TDE provádí šifrování a dešifrování dat v reálném čase na úrovni stránky. Každá stránka se při načtení do paměti dešifruje a pak se před zápisem na disk zašifruje. TDE šifruje úložiště celé databáze pomocí symetrického klíče nazývaného šifrovací klíč databáze (DEK). Při spuštění databáze se šifrovaný klíč DEK dešifruje a pak se použije k dešifrování a opětovnému šifrování databázových souborů v procesu databázového stroje SQL Serveru. DEK je chráněn pomocí ochrany TDE. TDE ochrana je buď certifikát spravovaný službou (service-managed transparentní šifrování dat) nebo asymetrický klíč uložený ve službě Azure Key Vault nebo v Azure Key Vault Managed HSM (customer-managed transparentní šifrování dat).

Pro Azure SQL Database a Azure Synapse je ochrana transparentním šifrováním dat nastavená na úrovni serveru a dědí ji všechny databáze přidružené k danému serveru. Pro službu Azure SQL Managed Instance je ochrana TDE nastavena na úrovni instance a dědí se všemi šifrovanými databázemi v této instanci. Termínový server odkazuje na server i instanci v celém tomto dokumentu, pokud není uvedeno jinak.

Důležité

Všechny nově vytvořené databáze SQL se ve výchozím nastavení šifrují pomocí transparentního šifrování dat spravovaných službou. Když je zdroj databáze zašifrovaný, cílové databáze vytvořené prostřednictvím obnovení, geografické replikace a kopírování databáze se ve výchozím nastavení šifrují. Pokud ale zdroj databáze není šifrovaný, cílové databáze vytvořené prostřednictvím obnovení, geografické replikace a kopírování databáze se ve výchozím nastavení nešifrují. Existující databáze SQL vytvořené před květnem 2017 a existující databáze SQL Managed Instance vytvořené před únorem 2019 se ve výchozím nastavení nešifrují. Databáze služby SQL Managed Instance vytvořené prostřednictvím obnovení dědí stav šifrování ze zdroje. Pokud chcete obnovit existující databázi šifrovanou transparentním šifrováním dat, nejprve je potřeba do služby SQL Managed Instance importovat požadovaný certifikát TDE. Pokud chcete zjistit stav šifrování databáze, spusťte výběrový dotaz z sys.dm_database_encryption_keys zobrazení dynamické správy a zkontrolujte stav encryption_state_desc sloupce.

Poznámka:

Transparentní šifrování dat se nedá použít k šifrování systémových databází, jako je databáze master, ve službě SQL Database a ve spravované instanci SQL. Databáze master obsahuje objekty potřebné k provádění operací transparentního šifrování dat u uživatelských databází. Nedoporučuje se ukládat žádná citlivá data do systémových databází. Výjimkou je tempdb, který je vždy šifrován speciální asymetrickým klíčem vlastněným Microsoftem. To je záměrně a zajišťuje ochranu dočasných objektů.

Transparentní šifrování dat spravované službou

V Azure je ve výchozím nastavení TDE šifrovací klíč (DEK) chráněn integrovaným serverovým certifikátem. Integrovaný certifikát serveru je pro každý server jedinečný a použitý šifrovací algoritmus je AES 256 v režimu CBC (Cipher Block Chaining). Pokud je databáze geograficky replikovaná do jiné databáze, jsou obě databáze (primární i geograficky replikovaná) chráněny klíčem nadřazeného serveru primární databáze. Pokud jsou obě databáze připojeny ke stejnému serveru, mají také společný integrovaný certifikát. Microsoft tyto certifikáty automaticky obměňuje jednou za rok, v souladu s interními zásadami zabezpečení a kořenový klíč je chráněný interním úložištěm tajných kódů Microsoftu. Zákazníci můžou ověřit dodržování předpisů sql Database a služby SQL Managed Instance pomocí interních zásad zabezpečení v sestavách auditu nezávislých třetích stran dostupných v Centru zabezpečení Microsoftu.

Microsoft také podle potřeby bezproblémově přesouvá a spravuje klíče pro účely geografické replikace a obnovení.

Transparentní šifrování dat spravovaných zákazníkem – Používání vlastního klíče

Transparentní šifrování dat (TDE) spravované zákazníkem se také označuje jako podpora BYOK (Bring Your Own Key) pro TDE. V tomto scénáři je TDE Protector, který šifruje klíč DEK, spravován zákazníkem jako asymetrický klíč, který je uložen a spravován v jím vlastněné a spravované službě Azure Key Vault (cloudový systém pro správu externích klíčů Azure) a nikdy tento Key Vault neopustí. Ochranu transparentním šifrováním dat může vygenerovat trezor klíčů nebo ho přenést do trezoru klíčů z místního zařízení hardwarového zabezpečení (HSM). Alternativně mohou zákazníci použít Azure Managed HSM k ukládání a správě TDE Protectoru. Sql Database, SQL Managed Instance a Azure Synapse musí mít udělená oprávnění k trezoru klíčů vlastněným zákazníkem, aby bylo možné dešifrovat a šifrovat klíč DEK. Pokud dojde k odvolání oprávnění serveru k trezoru klíčů, databáze bude nepřístupná a všechna data se zašifrují.

S integrací TDE s Azure Key Vault nebo Spravovaným HSM Azure mohou uživatelé ovládat úlohy správy klíčů, včetně rotace klíčů, oprávnění pro trezor klíčů, zálohování klíčů a umožnění auditu/vytváření sestav pro všechny chrániče TDE využitím funkčnosti Azure Key Vault nebo Spravovaného HSM Azure. Azure Key Vault a Azure Managed HSM poskytují centrální správu klíčů, využívají úzce monitorované moduly HSM a umožňují oddělení povinností mezi správou klíčů a dat, které pomáhají splňovat zásady zabezpečení. Další informace o BYOK pro Azure SQL Database a Azure Synapse najdete v tématu Transparentní šifrování dat Azure SQL pomocí klíče spravovaného zákazníkem.

Pokud chcete začít používat transparentní šifrování dat s integrací služby Azure Key Vault, projděte si průvodce PowerShellem a Azure CLI: Povolení transparentního šifrování dat pomocí klíče spravovaného zákazníkem ze služby Azure Key Vault.

Přesun transparentní databáze chráněné šifrováním dat

Databáze pro operace v Azure nemusíte dešifrovat. Nastavení transparentního šifrování dat ve zdrojové nebo primární databázi se automaticky přenáší do cílové databáze. Mezi zahrnuté operace patří:

• Geografické obnovení
• Samoobslužné obnovení k určitému bodu v čase
• Obnovení odstraněné databáze
• Aktivní geografická replikace
• Vytvoření kopie databáze
• Obnovení záložního souboru do služby Azure SQL Managed Instance

Důležité

Azure SQL Managed Instance nepodporuje ruční zálohování COPY-ONLY databáze šifrované transparentním šifrováním dat (TDE) spravovaným službou, protože certifikát použitý pro šifrování v této službě není přístupný. Pomocí funkce obnovení k určitému bodu v čase přesuňte tento typ databáze do jiné spravované instance SQL nebo přepněte na klíč spravovaný zákazníkem.

Při exportu databáze chráněné transparentním šifrováním dat do souboru BACPAC není exportovaný obsah databáze šifrovaný. Pokud importujete do existující prázdné databáze, šifrování závisí na tom, jestli je transparentní šifrování dat pro danou databázi povolené, nebo ne. Pokud se během importu vytvoří nová databáze, použije výchozí nastavení transparentního šifrování dat logického serveru pro Azure SQL Database nebo Azure SQL Managed Instance.

Správa transparentního šifrování dat

Azure Portal

Spravujte TDE (transparentní šifrování dat) v Azure Portalu.

Pokud chcete nakonfigurovat transparentní šifrování dat prostřednictvím Azure Portalu, musíte být připojeni jako Vlastník Azure, Přispěvatel nebo Správce zabezpečení SQL.

Povolte a zakažte TDE na úrovni databáze. Pro službu Azure SQL Managed Instance použijte transact-SQL (T-SQL) k zapnutí a vypnutí transparentního šifrování dat v databázi. Pro Azure SQL Database a Azure Synapse můžete TDE pro databázi spravovat v Azure portálu po přihlášení pomocí účtu správce nebo přispěvatele Azure. Ve vaší uživatelské databázi vyhledejte nastavení TDE. Ve výchozím nastavení se používá šifrovací klíč na úrovni serveru. Pro server, který obsahuje databázi, se automaticky vygeneruje certifikát transparentního šifrování dat.

Hlavní klíč transparentního šifrování dat, označovaný jako ochrana transparentním šifrováním dat, nastavíte na úrovni serveru nebo instance. Pokud chcete používat transparentní šifrování dat s podporou BYOK a chránit databáze pomocí klíče ze služby Azure Key Vault nebo spravovaného HSM Azure, otevřete nastavení transparentního šifrování dat v rámci serveru nebo spravované instance.

Můžete také použít klíč spravovaný zákazníkem pro transparentní šifrování dat (TDE) na úrovni jednotlivé databáze Azure SQL Database. Další informace najdete v tématu Transparentní šifrování dat (TDE) s klíči spravovanými zákazníkem na úrovni databáze.

PowerShell

Správa transparentního šifrování dat (TDE) pomocí PowerShellu

Poznámka:

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Důležité

Modul Az nahrazuje AzureRM. Veškerý budoucí vývoj je určený pro modul Az.Sql.

Aby bylo možné nakonfigurovat transparentní šifrování dat (TDE) prostřednictvím PowerShellu, musíte být připojeni jako vlastník Azure, přispěvatel nebo správce zabezpečení SQL.

Cmdlety pro Azure SQL Database a Azure Synapse

Pro Azure SQL Database a Azure Synapse použijte následující rutiny:

cmdlet	Popis
Set-AzSqlDatabaseTransparentDataEncryption	Povolí nebo zakáže transparentní šifrování dat pro databázi.
Get-AzSqlDatabaseTransparentDataEncryption	Získá transparentní stav šifrování dat pro databázi.
Add-AzSqlServerKeyVaultKey	Přidá klíč služby Azure Key Vault na server.
Get-AzSqlServerKeyVaultKey	Získá klíče služby Azure Key Vault pro server.
Set-AzSqlServerTransparentDataEncryptionProtector	Nastaví ochranu transparentního šifrování dat pro server.
Get-AzSqlServerTransparentDataEncryptionProtector	Získá transparentní ochranu šifrování dat.
Remove-AzSqlServerKeyVaultKey	Odebere klíč služby Azure Key Vault ze serveru.

Důležité

Pro azure SQL Managed Instance použijte příkaz T-SQL ALTER DATABASE k zapnutí a vypnutí transparentního šifrování dat na úrovni databáze a zkontrolujte ukázkový skript PowerShellu pro správu transparentního šifrování dat na úrovni instance.

Transact-SQL

Spravujte TDE pomocí jazyka Transact-SQL.

Připojte se k databázi pomocí přihlášení, které je správcem nebo členem role dbmanager v databázi master.

Příkaz	Popis
ALTER DATABASE (Azure SQL Database)	NASTAVENÍ ŠIFROVÁNÍ ZAPNUTO/VYPNUTO šifruje nebo dešifruje databázi
sys.dm_database_encryption_keys	Vrátí informace o stavu šifrování databáze a přidružených šifrovacích klíčů databáze.
sys.dm_pdw_nodes_database_encryption_keys	Vrátí informace o stavu šifrování každého uzlu Azure Synapse a přidružených šifrovacích klíčů databáze.

Nemůžete přepnout ochranu Transparentní šifrování dat (TDE) na klíč z Azure Key Vault nebo Azure Managed HSM pomocí jazyka Transact-SQL. Použijte PowerShell nebo Azure Portal.

REST API

Spravujte TDE pomocí rozhraní REST API.

Pokud chcete nakonfigurovat TDE (transparentní šifrování dat) prostřednictvím rozhraní REST API, musíte být přihlášeni jako vlastník, přispěvatel nebo manažer bezpečnosti SQL. Pro Azure SQL Database a Azure Synapse použijte následující sadu příkazů:

Příkaz	Popis
Vytvoření nebo aktualizace serveru	Přidá identitu z Microsoft Entra ID (dříve Azure Active Directory) na server. (slouží k udělení přístupu ke službě Azure Key Vault)
Vytvoření nebo aktualizace klíče serveru	Přidá klíč služby Azure Key Vault na server.
Odstranění klíče serveru	Odebere klíč služby Azure Key Vault ze serveru.
Získání klíčů serveru	Získá konkrétní klíč služby Azure Key Vault ze serveru.
Výpis klíčů serveru podle serveru	Získá klíče služby Azure Key Vault pro server.
Vytvoření nebo aktualizace ochrany šifrování	Nastaví ochránce TDE pro server.
Získání ochrany šifrování	Získá TDE ochránce pro server.
Výpis ochrany šifrování podle serveru	Získá ochránce TDE pro server.
Vytvoření nebo aktualizace konfigurace transparentní šifrování dat	Povolí nebo zakáže TDE pro databázi.
Získání konfigurace transparentní šifrování dat	Získá konfiguraci transparentního šifrování dat pro databázi.
Výpis výsledků konfigurace transparentní šifrování dat	Získá výsledek šifrování pro databázi.

Související obsah

• Rozšiřitelná správa klíčů pomocí služby Azure Key Vault (SQL Server)
• Transparentní šifrování dat (TDE)
• Transparentní šifrování dat Azure SQL s využitím klíče spravovaného zákazníkem
• PowerShell a Azure CLI: Povolte transparentní šifrování dat klíčem spravovaným zákazníkem z Azure Key Vault
• Zabezpečený přístup ke službě Azure Key Vault