Σημείωμα
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να εισέλθετε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Ισχύει για:✅Βάση δεδομένων SQL στο Microsoft Fabric
Το Microsoft Fabric κρυπτογραφεί όλα τα αδρανή δεδομένα χρησιμοποιώντας κλειδιά που διαχειρίζεται η Microsoft. Η βάση δεδομένων SQL αποθηκεύει όλα τα δεδομένα σε απομακρυσμένους λογαριασμούς χώρου αποθήκευσης Azure. Για να συμμορφωθείτε με τις απαιτήσεις κρυπτογράφησης σε αδράνεια χρησιμοποιώντας κλειδιά διαχειριζόμενα από τη Microsoft, κάθε λογαριασμός Αποθήκευσης Azure που χρησιμοποιείται από τη βάση δεδομένων SQL έχει ενεργοποιημένη την κρυπτογράφηση από την πλευρά της υπηρεσίας .
Με τα κλειδιά που διαχειρίζονται οι πελάτες για χώρους εργασίας Fabric, μπορείτε να χρησιμοποιήσετε τα κλειδιά Azure Key Vault για να προσθέσετε ένα άλλο επίπεδο προστασίας στα δεδομένα στους χώρους εργασίας Microsoft Fabric, συμπεριλαμβανομένων όλων των δεδομένων στη βάση δεδομένων SQL στο Microsoft Fabric. Ένα κλειδί που διαχειρίζεται ο πελάτης παρέχει μεγαλύτερη ευελιξία, επιτρέποντάς σας να διαχειρίζεστε την περιστροφή του, να ελέγχετε την πρόσβαση και να ελέγχετε τη χρήση του. Τα κλειδιά που διαχειρίζονται οι πελάτες βοηθούν επίσης τους οργανισμούς να ανταποκρίνονται στις ανάγκες διαχείρισης δεδομένων και να συμμορφώνονται με τα πρότυπα προστασίας δεδομένων και κρυπτογράφησης.
- Όταν ρυθμίζετε τις παραμέτρους ενός κλειδιού διαχειριζόμενου από τον πελάτη για έναν χώρο εργασίας στο Microsoft Fabric, η διαφανής κρυπτογράφηση δεδομένων ενεργοποιείται αυτόματα για όλες τις βάσεις δεδομένων SQL (και
tempdb) εντός αυτού του χώρου εργασίας χρησιμοποιώντας το καθορισμένο κλειδί που διαχειρίζεται ο πελάτης. Αυτή η διαδικασία είναι απρόσκοπτη και δεν απαιτεί χειροκίνητη παρέμβαση.- Ενώ η διαδικασία κρυπτογράφησης ξεκινά αυτόματα για όλες τις υπάρχουσες βάσεις δεδομένων SQL, δεν είναι στιγμιαία. Η διάρκεια εξαρτάται από το μέγεθος κάθε βάσης δεδομένων SQL, με τις μεγαλύτερες βάσεις δεδομένων SQL να απαιτούν περισσότερο χρόνο για την ολοκλήρωση της κρυπτογράφησης.
- Αφού ρυθμίσετε τις παραμέτρους του κλειδιού που διαχειρίζεται ο πελάτης, τυχόν βάσεις δεδομένων SQL που δημιουργείτε στον χώρο εργασίας κρυπτογραφούνται επίσης χρησιμοποιώντας το κλειδί που διαχειρίζεται ο πελάτης.
- Εάν καταργήσετε το κλειδί που διαχειρίζεται ο πελάτης, ξεκινά η αποκρυπτογράφηση για όλες τις βάσεις δεδομένων SQL στον χώρο εργασίας. Όπως και η κρυπτογράφηση, η αποκρυπτογράφηση εξαρτάται επίσης από το μέγεθος της βάσης δεδομένων SQL και μπορεί να χρειαστεί χρόνος για να ολοκληρωθεί. Μόλις αποκρυπτογραφηθούν, οι βάσεις δεδομένων SQL επανέρχονται στη χρήση κλειδιών που διαχειρίζεται η Microsoft για κρυπτογράφηση.
Πώς λειτουργεί η διαφανής κρυπτογράφηση δεδομένων στη βάση δεδομένων SQL στο Microsoft Fabric
Η διαφανής κρυπτογράφηση δεδομένων εκτελεί κρυπτογράφηση και αποκρυπτογράφηση σε πραγματικό χρόνο της βάσης δεδομένων, των σχετικών αντιγράφων ασφαλείας και των αρχείων καταγραφής συναλλαγών σε κατάσταση ηρεμίας.
- Αυτή η διαδικασία λαμβάνει χώρα σε επίπεδο σελίδας, που σημαίνει ότι κάθε σελίδα αποκρυπτογραφείται όταν διαβάζεται στη μνήμη και κρυπτογραφείται εκ νέου πριν εγγραφεί ξανά στο δίσκο.
- Η διαφανής κρυπτογράφηση δεδομένων προστατεύει ολόκληρη τη βάση δεδομένων χρησιμοποιώντας ένα συμμετρικό κλειδί γνωστό ως κλειδί κρυπτογράφησης βάσης δεδομένων (DEK).
- Κατά την εκκίνηση της βάσης δεδομένων, ο μηχανισμός βάσης δεδομένων του SQL Server αποκρυπτογραφεί το DEK και το χρησιμοποιεί για τη διαχείριση των λειτουργιών κρυπτογράφησης και αποκρυπτογράφησης.
- Το διαφανές προστατευτικό κρυπτογράφησης δεδομένων —συγκεκριμένα, το κλειδί που διαχειρίζεται ο πελάτης που έχει ρυθμιστεί σε επίπεδο χώρου εργασίας— προστατεύει το DEK.
Δημιουργία αντιγράφων ασφαλείας και επαναφορά
Μόλις μια βάση δεδομένων SQL κρυπτογραφηθεί με ένα κλειδί που διαχειρίζεται ο πελάτης, τυχόν αντίγραφα ασφαλείας που δημιουργούνται πρόσφατα κρυπτογραφούνται επίσης με το ίδιο κλειδί.
Όταν αλλάζετε το κλειδί, τα παλιά αντίγραφα ασφαλείας της βάσης δεδομένων SQL δεν ενημερώνονται για να χρησιμοποιούν το πιο πρόσφατο κλειδί. Για να επαναφέρετε ένα αντίγραφο ασφαλείας κρυπτογραφημένο με ένα κλειδί που διαχειρίζεται ο πελάτης, βεβαιωθείτε ότι το υλικό κλειδιού είναι διαθέσιμο στο Azure Key Vault. Διατηρήστε όλες τις παλιές εκδόσεις των κλειδιών που διαχειρίζεται ο πελάτης στο Azure Key Vault, ώστε να είναι δυνατή η επαναφορά των αντιγράφων ασφαλείας της βάσης δεδομένων SQL.
Η διαδικασία επαναφοράς βάσης δεδομένων SQL τηρεί πάντα τη ρύθμιση χώρου εργασίας κλειδιού που διαχειρίζεται ο πελάτης. Ο παρακάτω πίνακας περιγράφει διάφορα σενάρια επαναφοράς με βάση τις ρυθμίσεις κλειδιού που διαχειρίζεται ο πελάτης και εάν το αντίγραφο ασφαλείας είναι κρυπτογραφημένο.
| Το αντίγραφο ασφαλείας είναι... | Ρύθμιση βασικού χώρου εργασίας διαχειριζόμενου από τον πελάτη | Κατάσταση κρυπτογράφησης μετά την επαναφορά |
|---|---|---|
| Μη κρυπτογραφημένο | Απενεργοποιημένη | Η βάση δεδομένων SQL δεν είναι κρυπτογραφημένη |
| Μη κρυπτογραφημένο | Ενεργοποιημένο | Η βάση δεδομένων SQL είναι κρυπτογραφημένη με κλειδί που διαχειρίζεται ο πελάτης |
| Κρυπτογραφημένο με κλειδί διαχειριζόμενο από τον πελάτη | Απενεργοποιημένη | Η βάση δεδομένων SQL δεν είναι κρυπτογραφημένη |
| Κρυπτογραφημένο με κλειδί διαχειριζόμενο από τον πελάτη | Ενεργοποιημένο | Η βάση δεδομένων SQL είναι κρυπτογραφημένη με κλειδί που διαχειρίζεται ο πελάτης |
| Κρυπτογραφημένο με κλειδί διαχειριζόμενο από τον πελάτη | Ενεργοποιημένο αλλά διαφορετικό κλειδί διαχειριζόμενο από τον πελάτη | Η βάση δεδομένων SQL κρυπτογραφείται με το νέο κλειδί που διαχειρίζεται ο πελάτης |
Επαλήθευση επιτυχούς κλειδιού διαχειριζόμενου από τον πελάτη
Μόλις ενεργοποιήσετε την κρυπτογράφηση κλειδιού διαχειριζόμενη από τον πελάτη στο χώρο εργασίας, η υπάρχουσα βάση δεδομένων κρυπτογραφείται. Μια νέα βάση δεδομένων στον χώρο εργασίας κρυπτογραφείται επίσης όταν είναι ενεργοποιημένο το κλειδί που διαχειρίζεται ο πελάτης. Για να επαληθεύσετε ότι η βάση δεδομένων σας είναι κρυπτογραφημένη με επιτυχία, εκτελέστε το ακόλουθο ερώτημα T-SQL:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Μια βάση δεδομένων κρυπτογραφείται εάν το
encryption_state_descπεδίο εμφανίζεταιENCRYPTEDμεASYMMETRIC_KEYτοencryptor_type. - Εάν η κατάσταση είναι
ENCRYPTION_IN_PROGRESS, ηpercent_completeστήλη υποδεικνύει την πρόοδο της αλλαγής κατάστασης κρυπτογράφησης. Αυτή η τιμή είναι0εάν δεν βρίσκεται σε εξέλιξη καμία αλλαγή κατάστασης. - Εάν δεν είναι κρυπτογραφημένη, μια βάση δεδομένων δεν εμφανίζεται στα αποτελέσματα του ερωτήματος του
sys.dm_database_encryption_keys.
Αντιμετώπιση προβλημάτων μη προσβάσιμου κλειδιού διαχειριζόμενου από τον πελάτη
Όταν ρυθμίζετε τις παραμέτρους ενός κλειδιού που διαχειρίζεται ο πελάτης για έναν χώρο εργασίας στο Microsoft Fabric, η βάση δεδομένων SQL απαιτεί συνεχή πρόσβαση στο κλειδί για να παραμείνει συνδεδεμένο. Εάν η βάση δεδομένων SQL χάσει την πρόσβαση στο κλειδί στο Azure Key Vault, σε έως και 10 λεπτά η βάση δεδομένων SQL αρχίζει να αρνείται όλες τις συνδέσεις και αλλάζει την κατάστασή της σε Μη προσβάσιμη. Οι χρήστες λαμβάνουν ένα αντίστοιχο μήνυμα σφάλματος, όπως "Δεν είναι δυνατή η πρόσβαση στη βάση δεδομένων <database ID>.database.fabric.microsoft.com λόγω κρίσιμου σφάλματος Azure Key Vault".
- Εάν η πρόσβαση στο κλειδί αποκατασταθεί εντός 30 λεπτών, η βάση δεδομένων SQL θεραπεύεται αυτόματα εντός της επόμενης ώρας.
- Εάν αποκατασταθεί η πρόσβαση κλειδιού μετά από περισσότερα από 30 λεπτά, δεν είναι δυνατή η αυτόματη διόρθωση της βάσης δεδομένων SQL. Η επαναφορά της βάσης δεδομένων SQL απαιτεί επιπλέον βήματα και μπορεί να διαρκέσει σημαντικό χρόνο, ανάλογα με το μέγεθος της βάσης δεδομένων SQL.
Χρησιμοποιήστε τα παρακάτω βήματα για να επικυρώσετε ξανά το κλειδί που διαχειρίζεται ο πελάτης:
- Στον χώρο εργασίας σας, κάντε δεξί κλικ στη βάση δεδομένων SQL ή επιλέξτε το
...μενού περιβάλλοντος. Επιλέξτε Ρυθμίσεις. - Επιλέξτε Κρυπτογράφηση.
- Για να επικυρώσετε ξανά το κλειδί που διαχειρίζεται ο πελάτης, επιλέξτε Επανεπικύρωση κλειδιού διαχειριζόμενου από τον πελάτη. Εάν η επανεπικύρωση είναι επιτυχής, η επαναφορά της πρόσβασης στη βάση δεδομένων SQL μπορεί να διαρκέσει αρκετή ώρα.
Σημείωση
Όταν επικυρώνετε ξανά το κλειδί για μια βάση δεδομένων SQL, το κλειδί επικυρώνεται ξανά αυτόματα για όλες τις βάσεις δεδομένων SQL στο χώρο εργασίας σας.
Limitations
Τρέχοντες περιορισμοί κατά τη χρήση κλειδιού διαχειριζόμενου από τον πελάτη για μια βάση δεδομένων SQL στο Microsoft Fabric:
- Τα κλειδιά 4.096-bit δεν υποστηρίζονται για τη βάση δεδομένων SQL στο Microsoft Fabric. Τα υποστηριζόμενα μήκη κλειδιών είναι 2.048 bit και 3.072 bit.
- Το κλειδί που διαχειρίζεται ο πελάτης πρέπει να είναι RSA ή RSA-HSM ασύμμετρο κλειδί.