Extensible Key Management Using Azure Key Vault (SQL Server)

Der SQL Server-Connector für Microsoft Azure Key Vault ermöglicht die SQL Server-Verschlüsselung, damit der Azure Key Vault-Dienst als Erweiterbare Schlüsselverwaltung (Extensible Key Management, EKM)-Anbieter für den Schutz der Verschlüsselungsschlüssel genutzt wird.

In diesem Thema:

• Verwendung von EKM

• Schritt 1: Key Vault für die Verwendung durch SQL Server einrichten

• Schritt 2: Installieren des SQL Server-Connectors

• Schritt 3: Konfigurieren von SQL Server, um einen EKM-Anbieter für Key Vault zu verwenden

• Beispiel A: Transparente Datenverschlüsselung mit einem asymmetrischen Schlüssel aus Key Vault

• Beispiel B: Verschlüsseln von Sicherungen mit einem asymmetrischen Schlüssel aus Key Vault

• Beispiel C: Verschlüsselung auf Spaltenebene mit einem asymmetrischen Schlüssel aus Key Vault

Verwendung von EKM

Eine Organisation kann dieSQL Server-Verschlüsselung zum Schutz sensibler Daten nutzen. SQL Server Verschlüsselung umfasst Transparente Datenverschlüsselung (TDE),Verschlüsselung auf Spaltenebene (Column Lebel Encryption, CLE) und Backup Encryption. In all diesen Fällen werden die Daten mit einem symmetrischen Datenverschlüsselungsschlüssel verschlüsselt. Der symmetrische Datenverschlüsselungsschlüssel wird weiterhin durch die Verschlüsselung mit einer Hierarchie an Schlüsseln geschützt, die in SQL Server gespeichert werden. Alternativ ermöglicht die EKM-Architektur SQL Server den Schutz der Datenverschlüsselungsschlüssel mithilfe eines asymmetrischen Schlüssels, der außerhalb von SQL Server bei einem externen Kryptografieanbieter gespeichert wird. Die EKM-Anbieterarchitektur fügt eine zusätzliche Sicherheitsebene hinzu und ermöglicht es Unternehmen, die Verwaltung von Schlüsseln und Daten zu trennen.

Der SQL Server-Connector für Azure Key Vault ermöglicht SQL Server die Nutzung des skalierbaren, leistungsfähigen und hochverfügbaren Schlüsseltresordienstes als EKM-Anbieter für Datenverschlüsselungsschlüssel. Der Schlüsseltresordienst kann mit SQL Server-Installationen auf Microsoft Azure Virtual Machines und lokalen Servern verwendet werden. Der Schlüsseltresordienst bietet auch die Option zur Verwendung eng gesteuerter und überwachter Hardwaresicherheitsmodule (HSMs) für ein höheres Maß an Schutz für asymmetrische Verschlüsselungsschlüssel. Weitere Informationen zu Schlüsseltresoren finden Sie unter Azure Key Vault.

Nach oben

Die folgende Abbildung enthält eine Zusammenfassung des Prozessablaufs von EKM mit Schlüsseltresor. Die Prozessschrittnummern in der Abbilung stimmen nicht mit den darauffolgenden Setupschrittnummern überein.

Schritt 1: Richten Sie Key Vault für die Verwendung von SQL Server ein

Führen Sie die folgenden Schritte aus, um einen Schlüsseltresor für die Verwendung mit SQL Server-Datenbankmodul für den Schutz des Verschlüsselungsschlüssels einzurichten. Für die Organisation wird möglicherweise bereits ein Tresor verwendet. Wenn kein Tresor vorhanden ist, kann der Azure-Administrator in Ihrer Organisation, der für die Verwaltung von Verschlüsselungsschlüsseln verantwortlich ist, einen Tresor erstellten, einen asymmetrischen Schlüssel im Tresor generieren und dann SQL Server autorisieren, um den Schlüssel zu verwenden. Um sich mit dem Key Vault-Dienst vertraut zu machen, lesen Sie Erste Schritte mit Azure Key Vault und den Verweis für PowerShell Azure Key Vault Cmdlets.

Wichtig
Wenn Sie über mehrere Azure-Abonnements verfügen, müssen Sie das Abonnement verwenden, das SQL Server enthält.

1. Erstellen Sie einen Tresor: Erstellen eines Tresors mithilfe der Anweisungen im Abschnitt Erstellen eines Schlüsseltresors von Erste Schritte mit Azure Key Vault. Notieren Sie den Namen des Tresors. In diesem Thema wird ContosoKeyVault als Name für den Schlüsseltresor verwendet.

2. Generieren eines asymmetrischen Schlüssels im Tresor: Der asymmetrische Schlüssel im Schlüsseltresor dient zum Schutz des SQL Server-Verschlüsselungsschlüssels. Nur der öffentliche Teil des asymmetrischen Schlüssels verlässt je Tresor, der private Teil wird nie vom Tresor exportiert. Alle kryptografischen Vorgänge, die mit dem asymmetrischen Schlüssel durchgeführt werden, werden an Azure Key Vault delegiert und von der Schlüsseltresorsicherheit geschützt.

   Es gibt mehrere Möglichkeiten, einen asymmetrischen Schlüssel zu generieren und ihn im Tresor zu speichern. Sie können einen Schlüssel extern generieren und ihn als .pfx-Datei in den Tresor importieren. Oder Sie erstellen den Schlüssel mithilfe der Schlüsseltresor-APIs direkt im Tresor.

   Für den SQL Server-Connector müssen die asymmetrischen Schlüssel mit 2048 Bit RSA-verschlüsselt sein und der Schlüsselname darf nur die Zeichen "a-z", "A-Z", "0-9", und "-" enthalten. In diesem Dokument wird der asymmetrische Schlüssel ContosoMasterKey genannt. Ersetzen Sie diesen durch den eindeutigen Namen, den Sie für den Schlüssel verwenden.

   Sicherheitshinweis

   Das Importieren des asymmetrischen Schlüssels wird für Produktionsszenarien dringend empfohlen, da der Administrator dadurch den Schlüssel in einem Schlüsselhinterlegungssystem hinterlegen kann. Wenn der asymmetrische Schlüssel im Tresor erstellt wird, kann er nicht hinterlegt werden, da der private Schlüssel niemals den Tresor verlassen kann. Schlüssel zum Schützen wichtiger Daten sollten hinterlegt werden. Der Verlust eines asymmetrischen Schlüssels führt zu dauerhaft nicht wiederherstellbaren Daten.

   Sicherheitshinweis

   Der wichtigste Tresor unterstützt mehrere Versionen des gleichnamigen Schlüssels. Vom SQL Server-Connector zu verwendende Schlüssel sollten nicht mit Versionsangabe belegt oder wiederhergestellt sein. Wenn der Administrator den Schlüssel für die SQL Server-Verschlüsselung wiederherstellen möchte, sollte ein neuer Schlüssel mit einem anderen Namen im Tresor erstellt und zum Verschlüsseln des DEKs verwendet werden.

   Finden Sie weitere Informationen zum Importieren eines Schlüssels in den Schlüsseltresor oder zum Erstellen eines Schlüssels im Schlüsseltresor (nicht für Produktionsumgebungen empfohlen) im Abschnitt Hinzufügen eines Schlüssels oder eines geheimen Schlüssels zum Schlüsseltresor von Erste Schritte mit Azure Key Vault.

   Wichtig
   Benutzer müssen mindestens über die WrapKey- und UnwrapKey-Vorgänge für den Schlüsseltresor verfügen.

3. So funktioniert Azure Active Directory Service Principals mit SQL Server: Wenn sich die Organisation für einen Microsoft-Clouddienst anmeldet, erhält sie ein Azure Active Directory. Erstellen Sie Service Principals im Azure Active Directory zur Verwendung für SQL Server (zur Authentifizierung gegenüber Azure Active Directory) beim Zugriff auf den Schlüsseltresor.

   • Ein Service Principal ist für einen SQL Server-Administrator erforderlich, um auf den Tresor zuzugreifen, während SQL Server für die Verschlüsselung konfiguriert wird.

   • Eine anderer Service Principal wird von SQL Server-Datenbankmodul benötigt, um auf den Tresor für das Entpacken von Schlüsseln in der SQL Server-Verschlüsselung zuzugreifen.

   Weitere Informationen zum Registrieren einer Anwendung und Generieren eines Dienstprinzipals finden Sie im Abschnitt Registrieren einer Anwendung in Azure Active Directory in Erste Schritte mit Azure Key Vault. Der Registrierungsprozess gibt eine Anwendungs-ID (auch bekannt als CLIENT-ID) und einen Authentifizierungsschlüssel (auch bekannt als geheimer Schlüssel) für jeden Azure Active Directory Service Principal zurück. Bei Verwendung in der CREATE CREDENTIAL-Anweisung muss der Bindestrich aus der CLIENT-ID entfernt werden. Notieren Sie diese für die Verwendung in den folgenden Skripts:

   • Service Principal für eine SysAdmin-Anmeldung: CLIENTID_sysadmin_login und SECRET_sysadmin_login

   • Service Principal für SQL Server-Datenbankmodul: CLIENTID_DBEngine und SECRET_DBEngine.

4. Berechtigung erteilen, damit Service Principals auf Key Vault zugreifen können: Sowohl CLIENTID_sysadmin_login- als auch CLIENTID_DBEngine-Service Principals erfordern die Berechtigungen für den Get-Liste-WrapKey und -UnwrapKey im Schlüsseltresor. Wenn Sie beabsichtigen, Schlüssel durch SQL Server zu erstellen, müssen Sie die Erstellen-Berechtigung auch im Schlüsseltresor erteilen.

   Weitere Informationen zum Erteilen von Berechtigungen im Tresor finden Sie im Abschnitt Autorisieren der Anwendung zur Verwendung des Schlüssels oder des geheimen Schlüssels in Erste Schritte mit Azure Key Vault.

   Links zur Azure Key Vault-Dokumentation

   • Was ist Azure Key Vault?

   • Erste Schritte mit Azure Key Vault

   • Verweis auf PowerShell Azure Key Vault-Cmdlets

Nach oben

Schritt 2: Installieren des SQL Server-Connectors

Der SQL Server-Connector wird vom Administrator des SQL Server-Computers heruntergeladen und installiert. Der SQL Server-Connector steht im Microsoft-Downloadcenter zum Herunterladen zur Verfügung. Suchen Sie nach SQL Server-Connector für Microsoft Azure Key Vault, lesen Sie sich die Details, Systemanforderungen und Installationsanweisungen durch, wählen Sie "Connector herunterladen" aus und starten Sie die Installation mit Ausführen. Lesen Sie die Lizenzbedingungen, akzeptieren Sie diese und fahren Sie fort.

Standardmäßig wird der Connector in C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault installiert. Dieser Speicherort kann während des Setups geändert werden. (Falls geändert, passen Sie unten aufgeführte Skripts an.)

Bei Abschluss der Installation ist Folgendes auf dem Computer installiert:

• Microsoft.AzureKeyVaultService.EKM.dll: Dies ist die kryptografische EKM-Anbieter-DLL, die bei SQL Server mithilfe der CREATE CRYPTOGRAPHIC PROVIDER-Anweisung registriert werden soll.

• Azure Key Vault SQL Server-Connector: Dies ist ein Windowsdienst, der den EKM-Kryptografieanbieter für die Kommunikation mit den wichtigsten Tresor ermöglicht.

Die SQL Server-Connectorinstallation ermöglicht Ihnen auch das optionale Herunterladen von Beispielskripts für die SQL Server-Verschlüsselung.

Nach oben

Schritt 3: Konfigurieren von SQL Server, um einen EKM-Anbieter für Key Vault zu verwenden

Berechtigungen

Das Abschließen des gesamten Prozesses erfordert die CONTROL SERVER-Berechtigung oder die Mitgliedschaft in der festgelegten SysAdmin-Serverrolle. Bestimmte Aktionen erfordern die folgenden Berechtigungen:

• Das Erstellen eines Kryptografieanbieters erfordert die CONTROL SERVER-Berechtigung oder die Mitgliedschaft in der festgelegten SysAdmin-Serverrolle.

• Zum Ändern einer Konfigurationsoption und Ausführen der RECONFIGURE-Anweisung muss Ihnen die ALTER SETTINGS-Berechtigung auf Serverebene erteilt worden sein. Die ALTER SETTINGS-Berechtigung ist in den festen Serverrollen sysadmin und serveradmin implizit eingeschlossen.

• Das Erstellen von Anmeldeinformationen erfordert die ALTER ANY CREDENTIAL-Berechtigung.

• Das Hinzufügen von Anmeldeinformationen zu einem Anmeldenamen erfordert die ALTER ANY LOGIN-Berechtigung.

• Das Erstellen ein asymmetrisches Schlüssels erfordert die CREATE ASYMMETRIC KEY-Berechtigung.

[Top]

Konfigurieren von SQL Server für die Verwendung mit einem Kryptografieanbieter

1. Konfigurieren von Datenbankmodul zur Verwendung mit EKM und Registrieren (Erstellen) des Kryptografieanbieters mit SQL Server.

   -- Enable advanced options.
   USE master;
   GO
   
   sp_configure 'show advanced options', 1 ;
   GO
   RECONFIGURE ;
   GO
   -- Enable EKM provider
   sp_configure 'EKM provider enabled', 1 ;
   GO
   RECONFIGURE ;
   GO
   
   -- Create a cryptographic provider, using the SQL Server Connector
   -- which is an EKM provider for the Azure Key Vault. This example uses 
   -- the name AzureKeyVault_EKM_Prov.
   
   CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov 
   FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';
   GO 
   

2. Einrichten von SQL Server-Anmeldeinformationen für eine SQL Server-Administratoranmeldung zur Verwendung des Schlüsseltresors, um SQL Server-Verschlüsselungsszenarios einzurichten und zu verwalten.

   Wichtig
   Das IDENTITY-Argument von CREATE CREDENTIAL erfordert den Schlüsseltresornamen. Das SECRET-Argument von CREATE CREDENTIAL erfordert, dass die <Client-ID> (ohne Bindestriche) und der <Geheime Schlüssel> zusammen ohne Leerzeichen dazwischen übergeben werden.

   Im folgenden Beispiel wird die Client-ID (EF5C8E09-4D2A-4A76-9998-D93440D8115D) ohne Bindestriche und als Zeichenfolge EF5C8E094D2A4A769998D93440D8115D eingegeben, und der Geheime Schlüssel wird durch die Zeichenfolge SECRET_sysadmin_login dargestellt.

   USE master;
   CREATE CREDENTIAL sysadmin_ekm_cred 
       WITH IDENTITY = 'ContosoKeyVault', 
       SECRET = 'EF5C8E094D2A4A769998D93440D8115DSECRET_sysadmin_login' 
   FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov ;
   
   -- Add the credential to the SQL Server administrators domain login 
   ALTER LOGIN [<domain>/<login>]
   ADD CREDENTIAL sysadmin_ekm_cred;
   

   Ein Beispiel für die Verwendung von Variablen für die CREATE CREDENTIAL-Argumente und die programmgesteuerte Entfernung der Bindestriche von der Client-ID finden Sie unter CREATE CREDENTIAL (Transact-SQL).

3. Wenn Sie einen asymmetrischen Schlüssel wie zuvor in Schritt 1, Abschnitt 3 beschrieben importiert haben, öffnen Sie den Schlüssel, indem Sie Ihren Schlüsselnamen im folgenden Beispiel bereitstellen.

   CREATE ASYMMETRIC KEY CONTOSO_KEY 
   FROM PROVIDER [AzureKeyVault_EKM_Prov]
   WITH PROVIDER_KEY_NAME = 'ContosoMasterKey',
   CREATION_DISPOSITION = OPEN_EXISTING;
   

   Obwohl dies für die Produktion nicht empfohlen wird (da der Schlüssel nicht exportiert werden kann), ist es möglich, einen asymmetrischen Schlüssel direkt im Tresor aus SQL Server zu erstellen. Wenn Sie zuvor keinen Schlüssel importiert haben, erstellen Sie zu Testzwecken einen asymmetrischen Schlüssel im Schlüsseltresor, indem Sie das folgende Skript verwenden. Führen Sie das Skript mithilfe eines Anmeldenamens aus, der mit den Sysadmin_ekm_cred-Anmeldeinformationen bereitgestellt wird.

   CREATE ASYMMETRIC KEY CONTOSO_KEY 
   FROM PROVIDER [AzureKeyVault_EKM_Prov]
   WITH ALGORITHM = RSA_2048,
   PROVIDER_KEY_NAME = 'ContosoMasterKey';
   

Weitere Informationen finden Sie unter den folgenden Links:

• sp_configure (Transact-SQL)

• CREATE CRYPTOGRAPHIC PROVIDER (Transact-SQL)

• CREATE CREDENTIAL (Transact-SQL)

• CREATE ASYMMETRIC KEY (Transact-SQL)

• CREATE LOGIN (Transact-SQL)

• ALTER LOGIN (Transact-SQL)

[Top]

Beispiele

Beispiel A: Transparente Datenverschlüsselung mit einem asymmetrischen Schlüssel aus Key Vault

Erstellen Sie nach Abschluss der oben genannten Schritte Anmeldeinformationen und einen Anmeldenamen sowie einen Verschlüsselungsschlüssel für die Datenbank, der vom asymmetrischen Schlüssel im Tresorschlüssel geschützt wird. Verwenden Sie den Verschlüsselungsschlüssel für die Datenbank zum Verschlüsseln einer Datenbank mithilfe von TDE.

Das Verschlüsseln einer Datenbank erfordert die CONTROL-Berechtigung für die Datenbank.

So aktivieren Sie TDE mit EKM und dem Schlüsseltresor

1. Erstellen Sie SQL Server-Anmeldeinformationen für Datenbankmodul zur Verwendung beim Zugriff auf die Schlüsseltresor-EKM während des Ladens der Datenbank..

   Wichtig
   Das IDENTITY-Argument von CREATE CREDENTIAL erfordert den Schlüsseltresornamen. Das SECRET-Argument von CREATE CREDENTIAL erfordert, dass die <Client-ID> (ohne Bindestriche) und der <Geheime Schlüssel> zusammen ohne Leerzeichen dazwischen übergeben werden.

   Im folgenden Beispiel wird die Client-ID (EF5C8E09-4D2A-4A76-9998-D93440D8115D) ohne Bindestriche und als Zeichenfolge EF5C8E094D2A4A769998D93440D8115D eingegeben und der Geheime Schlüssel wird von der Zeichenfolge SECRET_DBEngine dargestellt.

   USE master;
   CREATE CREDENTIAL Azure_EKM_TDE_cred 
       WITH IDENTITY = 'ContosoKeyVault', 
       SECRET = 'EF5C8E094D2A4A769998D93440D8115DSECRET_DBEngine' 
       FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov ;
   

2. Erstellen Sie eine SQL Server-Anmeldung zur Verwendung mit Datenbankmodul für TDE, und fügen Sie die Anmeldeinformationen hinzu. In diesem Beispiel wird der im Schlüsseltresor gespeicherte asymmetrische Schlüssel CONTOSO_KEY verwendet, der zuvor für die Masterdatenbank importiert oder erstellt wurde, wie in Schritt 3, Abschnitt 3 oben beschrieben.

   USE master;
   -- Create a SQL Server login associated with the asymmetric key 
   -- for the Database engine to use when it loads a database 
   -- encrypted by TDE.
   CREATE LOGIN TDE_Login 
   FROM ASYMMETRIC KEY CONTOSO_KEY;
   GO 
   
   -- Alter the TDE Login to add the credential for use by the 
   -- Database Engine to access the key vault
   ALTER LOGIN TDE_Login 
   ADD CREDENTIAL Azure_EKM_TDE_cred ;
   GO
   

3. Erstellen Sie den Datenbank-Verschlüsselungsschlüssel (DEK), der für TDE verwendet wird. Der DEK kann mithilfe von jeden SQL Server-unterstützten Algorithmen oder Schlüssellängen erstellt werden. Der DEK wird durch den asymmetrischen Schlüssel im Tresorschlüssel geschützt.

   In diesem Beispiel wird der asymmetrische Schlüssel CONTOSO_KEY im Schlüsseltresor verwendet, der zuvor importiert oder erstellt wurde, wir in Schritt 3, Abschnitt 3 oben beschrieben.

   USE ContosoDatabase;
   GO
   
   
   
   
   
   
   
   CREATE DATABASE ENCRYPTION KEY 
   WITH ALGORITHM = AES_128 
   ENCRYPTION BY SERVER ASYMMETRIC KEY CONTOSO_KEY;
   GO
   
   -- Alter the database to enable transparent data encryption.
   ALTER DATABASE ContosoDatabase 
   SET ENCRYPTION ON ;
   GO
   

   Weitere Informationen finden Sie unter den folgenden Links:

   • CREATE DATABASE ENCRYPTION KEY (Transact-SQL)

   • ALTER DATABASE (Transact-SQL)

Nach oben

Beispiel B: Verschlüsseln von Sicherungen mit einem asymmetrischen Schlüssel aus Key Vault

Verschlüsselte Sicherungen werden ab unterstützt. Im folgenden Beispiel wird ein Datenverschlüsselungsschlüssel als Sicherung erstellt und wiederhergestellt, der vom asymmetrischen Schlüssel im Schlüsseltresor geschützt wird.

USE master;
BACKUP DATABASE [DATABASE_TO_BACKUP]
TO DISK = N'[PATH TO BACKUP FILE]' 
WITH FORMAT, INIT, SKIP, NOREWIND, NOUNLOAD, 
ENCRYPTION(ALGORITHM = AES_256, SERVER ASYMMETRIC KEY = [CONTOSO_KEY]);
GO

Wiederherstellen von Beispielcode.

RESTORE DATABASE [DATABASE_TO_BACKUP]
FROM DISK = N'[PATH TO BACKUP FILE]' WITH FILE = 1, NOUNLOAD, REPLACE;
GO

Weitere Informationen zu Indexoptionen finden Sie unter BACKUP (Transact-SQL).

Beispiel C: Verschlüsselung auf Spaltenebene mit einem asymmetrischen Schlüssel aus Key Vault

Im folgenden Beispiel wird ein vom asymmetrischen Schlüssel geschützter symmetrischer Schlüssel im Schlüsseltresor erstellt. Anschließend wird der symmetrische Schlüssel zum Verschlüsseln von Daten in der Datenbank verwendet.

In diesem Beispiel wird der asymmetrische Schlüssel CONTOSO_KEY im Schlüsseltresor verwendet, der zuvor importiert oder erstellt wurde, wir in Schritt 3, Abschnitt 3 oben beschrieben. Um diesen asymmetrischen Schlüssel in der ContosoDatabase-Datenbank zu verwenden, müssen Sie die CREATE ASYMMETRIC KEY-Anweisung erneut ausführen, damit die ContosoDatabase-Datenbank mit Verweis auf den Schlüssel bereitgestellt wird.

USE [ContosoDatabase];
GO

-- Create a reference to the key in the key vault
CREATE ASYMMETRIC KEY CONTOSO_KEY 
FROM PROVIDER [AzureKeyVault_EKM_Prov]
WITH PROVIDER_KEY_NAME = 'ContosoMasterKey',
CREATION_DISPOSITION = OPEN_EXISTING;

-- Create the data encryption key.
-- The data encryption key can be created using any SQL Server 
-- supported algorithm or key length.
-- The DEK will be protected by the asymmetric key in the key vault

CREATE SYMMETRIC KEY DATA_ENCRYPTION_KEY
    WITH ALGORITHM=AES_256
    ENCRYPTION BY ASYMMETRIC KEY CONTOSO_KEY;

DECLARE @DATA VARBINARY(MAX);

--Open the symmetric key for use in this session
OPEN SYMMETRIC KEY DATA_ENCRYPTION_KEY 
DECRYPTION BY ASYMMETRIC KEY CONTOSO_KEY;

--Encrypt syntax
SELECT @DATA = ENCRYPTBYKEY(KEY_GUID('DATA_ENCRYPTION_KEY'), CONVERT(VARBINARY,'Plain text data to encrypt'));

-- Decrypt syntax
SELECT CONVERT(VARCHAR, DECRYPTBYKEY(@DATA));

--Close the symmetric key
CLOSE SYMMETRIC KEY DATA_ENCRYPTION_KEY;

Siehe auch

Verweis

CREATE CRYPTOGRAPHIC PROVIDER (Transact-SQL)

CREATE CREDENTIAL (Transact-SQL)

CREATE ASYMMETRIC KEY (Transact-SQL)

CREATE SYMMETRIC KEY (Transact-SQL)

Konzepte

Erweiterbare Schlüsselverwaltung (Extensible Key Management, EKM)

Aktivieren von TDE mit EKM

Andere Ressourcen

Backup Encryption

Create an Encrypted Backup