Del via

Datakryptering i SQL-database i Microsoft Fabric

Gælder for:SQL-database i Microsoft Fabric

Vigtigt

Denne funktion er i prøveversion.

Microsoft Fabric krypterer alle data i hvile ved hjælp af Microsoft-administrerede nøgler. Alle SQL-databasedata gemmes i eksterne Azure Storage-konti. For at overholde krav til kryptering i hvile ved brug af Microsoft-administrerede nøgler er hver Azure Storage-konto, der bruges af SQL-databasen, konfigureret med service-side kryptering aktiveret.

Med kundeadministrerede nøgler til Fabric-arbejdsområder kan du bruge dine Azure Key Vault-nøgler til at tilføje et ekstra lag beskyttelse til dataene i dine Microsoft Fabric-arbejdsområder, inklusive alle data i SQL-databasen i Microsoft Fabric. En kundeadministrerede nøgle giver større fleksibilitet, så du kan administrere dens rotation, styre adgang og overvågning af forbrug. Kundeadministrerede nøgler hjælper også organisationer med at opfylde datastyringsbehov og overholde standarder for databeskyttelse og kryptering.

  • Når en kundeadministreret nøgle konfigureres til et arbejdsområde i Microsoft Fabric, aktiveres transparent datakryptering automatisk for alle SQL-databaser (og tempdb) i det arbejdsområde ved brug af den specificerede kundeadministrerede nøgle. Denne proces er fuldstændig problemfri og kræver ingen manuel indgriben.
    • Selvom krypteringsprocessen starter automatisk for alle eksisterende SQL-databaser, er den ikke øjeblikkelig; varigheden afhænger af størrelsen på hver SQL-database, hvor større SQL-databaser kræver mere tid for at færdiggøre kryptering.
    • Når den kundeadministrerede nøgle er konfigureret, vil alle SQL-databaser, der oprettes i arbejdsområdet, også blive krypteret med kundeadministreret nøgle.
  • Hvis den kundeadministrerede nøgle fjernes, udløses dekrypteringsprocessen for alle SQL-databaser i arbejdsområdet. Ligesom kryptering afhænger dekryptering også af størrelsen på SQL-databasen og kan tage tid at gennemføre. Når de er dekrypteret, vender SQL-databaserne tilbage til at bruge Microsoft-administrerede nøgler til kryptering.

Hvordan transparent datakryptering fungerer i SQL-databaser i Microsoft Fabric

Transparent datakryptering udfører realtidskryptering og dekryptering af databasen, tilknyttede backups og transaktionslogfiler i hvile.

  • Denne proces foregår på sideniveau, hvilket betyder, at hver side dekrypteres, når den læses ind i hukommelsen, og krypteres igen, før den skrives tilbage til disken.
  • Transparent datakryptering sikrer hele databasen ved hjælp af en symmetrisk nøgle kendt som Database Encryption Key (DEK).
  • Når databasen startes op, dekrypteres den krypterede DEK og bruges af SQL Server-databasemotoren til at administrere krypterings- og dekrypteringsoperationer.
  • DEK er beskyttet af den gennemsigtige datakrypteringsbeskytter, som er en kundeadministreret asymmetrisk nøgle – specifikt den kundeadministrerede nøgle, der er konfigureret på arbejdsområdeniveau.

Diagram over kryptering for SQL-database i Microsoft Fabric.

Sikkerhedskopiering og gendannelse

Når en SQL-database er krypteret med en kundeadministreret nøgle, krypteres alle nygenererede backups også med den samme nøgle.

Når nøglen ændres, opdateres gamle backups af SQL-databasen ikke til at bruge den nyeste nøgle. For at gendanne en backup krypteret med en kundeadministreret nøgle, skal du sikre dig, at nøglematerialet er tilgængeligt i Azure Key Vault. Derfor anbefaler vi, at kunder beholder alle de gamle versioner af de kundeadministrerede nøgler i Azure Key Vault, så SQL-databasebackups kan gendannes.

SQL-databasegendannelsesprocessen vil altid respektere den kundeadministrerede nøglearbejdsområdeindstilling. Tabellen nedenfor viser forskellige gendannelsesscenarier baseret på de kundeadministrerede nøgleindstillinger og om backupen er krypteret.

Backupen er... Kundeadministreret nøglearbejdsområdeindstilling Krypteringsstatus efter gendannelse
Ikke krypteret Handicappet SQL-databasen er ikke krypteret
Ikke krypteret Aktiveret SQL-databasen krypteres med kundeadministreret nøgle
Krypteret med kundeadministreret nøgle Handicappet SQL-databasen er ikke krypteret
Krypteret med kundeadministreret nøgle Aktiveret SQL-databasen krypteres med kundeadministreret nøgle
Krypteret med kundeadministreret nøgle Aktiveret, men forskellig kundeadministreret nøgle SQL-databasen krypteres med den nye kundeadministrerede nøgle

Verificér en succesfuld kundeadministreret nøgle

Når du aktiverer kundeadministreret nøglekryptering i arbejdsområdet, vil den eksisterende database blive krypteret. En ny database i et arbejdsområde vil også blive krypteret, når kundeadministreret nøgle aktiveres. For at verificere om din database er krypteret med succes, skal du køre følgende T-SQL-forespørgsel:

SELECT DB_NAME(database_id) as DatabaseName, * 
FROM sys.dm_database_encryption_keys 
WHERE database_id <> 2;
  • En database krypteres, hvis encryption_state_desc feltet vises ENCRYPTED med ASYMMETRIC_KEY som .encryptor_type
  • Hvis tilstanden er ENCRYPTION_IN_PROGRESS, vil kolonnen percent_complete angive fremskridtet for krypteringstilstandsændringen. Dette vil ske, 0 hvis der ikke sker en tilstandsændring i gang.
  • Hvis den ikke er krypteret, vil en database ikke fremgå af forespørgselsresultaterne for sys.dm_database_encryption_keys.

Fejlsøg utilgængelig kundeadministreret nøgle

Når en kundeadministreret nøgle konfigureres til et arbejdsområde i Microsoft Fabric, kræves kontinuerlig adgang til nøglen for, at SQL-databasen forbliver online. Hvis SQL-databasen mister adgangen til nøglen i Azure Key Vault, begynder SQL-databasen efter op til 10 minutter at nægte alle forbindelser og ændrer sin tilstand til Utilgængelig. Brugere vil modtage en tilsvarende fejlmeddelelse såsom "Databasen <database ID>.database.fabric.microsoft.com er ikke tilgængelig på grund af kritisk fejl i Azure Key Vault."

  • Hvis nøgleadgangen genoprettes inden for 30 minutter, vil SQL-databasen automatisk hele inden for den næste time.
  • Hvis nøgleadgang genoprettes efter mere end 30 minutter, er automatisk helbredelse af SQL-databasen ikke mulig. At bringe SQL-databasen tilbage kræver ekstra trin og kan tage betydelig tid afhængigt af SQL-databasens størrelse.

Brug følgende trin til at genvalidere den kundeadministrerede nøgle:

  1. I dit arbejdsområde skal du højreklikke på SQL-databasen eller kontekstmenuen ... . Vælg Indstillinger.
  2. Vælg Kryptering (forhåndsvisning).
  3. For at forsøge at revalidere den kundeadministrerede nøgle, vælg knappen Genvalider kundeadministreret nøgle . Hvis revalideringen lykkes, kan det tage noget tid at genoprette adgangen til din SQL-database.

Notat

Når du validerer nøglen til en SQL-database, bliver nøglen automatisk revalideret for alle SQL-databaser i dit arbejdsområde.

Limitations

Nuværende begrænsninger ved brug af kundeadministreret nøgle til en SQL-database i Microsoft Fabric:

  • 4.096-bit nøgler understøttes ikke for SQL Database i Microsoft Fabric. Understøttede nøglelængder er 2.048 bit og 3.072 bit.
  • Den kundeadministrerede nøgle skal være en RSA- eller RSA-HSM asymmetrisk nøgle.
  • I øjeblikket er kundestyret nøglekryptering tilgængelig i følgende regioner:
    • US: East US 2, North Central US, South Central US
    • Asien: Australien Øst, Sydøstasien, UAE Nord
    • Europa: Nordeuropa, Vesteuropa

Relateret indhold

  • Last updated on