Κρυπτογράφηση δεδομένων στη βάση δεδομένων SQL στο Microsoft Fabric

Ισχύει για:✅Βάση δεδομένων SQL στο Microsoft Fabric

Σημαντικό

Αυτή η δυνατότητα είναι σε προεπισκόπηση.

Το Microsoft Fabric κρυπτογραφεί όλα τα αδρανή δεδομένα χρησιμοποιώντας κλειδιά που διαχειρίζεται η Microsoft. Όλα τα δεδομένα βάσης δεδομένων SQL αποθηκεύονται σε απομακρυσμένους λογαριασμούς χώρου αποθήκευσης Azure. Για να συμμορφωθείτε με τις απαιτήσεις κρυπτογράφησης σε αδράνεια χρησιμοποιώντας κλειδιά διαχειριζόμενα από τη Microsoft, κάθε λογαριασμός Υπηρεσίας αποθήκευσης Azure που χρησιμοποιείται από τη βάση δεδομένων SQL έχει ρυθμιστεί με ενεργοποιημένη την κρυπτογράφηση από την πλευρά της υπηρεσίας .

Με τα κλειδιά που διαχειρίζονται οι πελάτες για χώρους εργασίας Fabric, μπορείτε να χρησιμοποιήσετε τα κλειδιά Azure Key Vault για να προσθέσετε ένα άλλο επίπεδο προστασίας στα δεδομένα στους χώρους εργασίας Microsoft Fabric, συμπεριλαμβανομένων όλων των δεδομένων στη βάση δεδομένων SQL στο Microsoft Fabric. Ένα κλειδί διαχειριζόμενο από τον πελάτη παρέχει μεγαλύτερη ευελιξία, η οποία σας επιτρέπει να διαχειρίζεστε την περιστροφή, τον έλεγχο πρόσβασης και τον έλεγχο χρήσης. Τα κλειδιά που διαχειρίζονται οι πελάτες βοηθούν επίσης τους οργανισμούς να ανταποκρίνονται στις ανάγκες διαχείρισης δεδομένων και να συμμορφώνονται με τα πρότυπα προστασίας δεδομένων και κρυπτογράφησης.

• Όταν ένα κλειδί διαχειριζόμενο από τον πελάτη έχει ρυθμιστεί για έναν χώρο εργασίας στο Microsoft Fabric, η διαφανής κρυπτογράφηση δεδομένων ενεργοποιείται αυτόματα για όλες τις βάσεις δεδομένων SQL (και tempdb) εντός αυτού του χώρου εργασίας χρησιμοποιώντας το καθορισμένο κλειδί διαχειριζόμενο από τον πελάτη. Αυτή η διαδικασία είναι εντελώς απρόσκοπτη και δεν απαιτεί χειροκίνητη παρέμβαση.
  • Ενώ η διαδικασία κρυπτογράφησης ξεκινά αυτόματα για όλες τις υπάρχουσες βάσεις δεδομένων SQL, δεν είναι στιγμιαία. Η διάρκεια εξαρτάται από το μέγεθος κάθε βάσης δεδομένων SQL, με τις μεγαλύτερες βάσεις δεδομένων SQL να απαιτούν περισσότερο χρόνο για την ολοκλήρωση της κρυπτογράφησης.
  • Μετά τη ρύθμιση παραμέτρων του κλειδιού που διαχειρίζεται ο πελάτης, τυχόν βάσεις δεδομένων SQL που δημιουργούνται στον χώρο εργασίας θα κρυπτογραφούνται επίσης χρησιμοποιώντας το κλειδί που διαχειρίζεται ο πελάτης.
• Εάν καταργηθεί το κλειδί που διαχειρίζεται ο πελάτης, ενεργοποιείται η διαδικασία αποκρυπτογράφησης για όλες τις βάσεις δεδομένων SQL στον χώρο εργασίας. Όπως και η κρυπτογράφηση, η αποκρυπτογράφηση εξαρτάται επίσης από το μέγεθος της βάσης δεδομένων SQL και μπορεί να χρειαστεί χρόνος για να ολοκληρωθεί. Μόλις αποκρυπτογραφηθούν, οι βάσεις δεδομένων SQL επανέρχονται στη χρήση κλειδιών που διαχειρίζεται η Microsoft για κρυπτογράφηση.

Πώς λειτουργεί η διαφανής κρυπτογράφηση δεδομένων στη βάση δεδομένων SQL στο Microsoft Fabric

Η διαφανής κρυπτογράφηση δεδομένων εκτελεί κρυπτογράφηση και αποκρυπτογράφηση σε πραγματικό χρόνο της βάσης δεδομένων, των σχετικών αντιγράφων ασφαλείας και των αρχείων καταγραφής συναλλαγών σε κατάσταση ηρεμίας.

• Αυτή η διαδικασία λαμβάνει χώρα σε επίπεδο σελίδας, που σημαίνει ότι κάθε σελίδα αποκρυπτογραφείται όταν διαβάζεται στη μνήμη και κρυπτογραφείται εκ νέου πριν εγγραφεί ξανά στο δίσκο.
• Η διαφανής κρυπτογράφηση δεδομένων προστατεύει ολόκληρη τη βάση δεδομένων χρησιμοποιώντας ένα συμμετρικό κλειδί γνωστό ως κλειδί κρυπτογράφησης βάσης δεδομένων (DEK).
• Κατά την εκκίνηση της βάσης δεδομένων, το κρυπτογραφημένο DEK αποκρυπτογραφείται και χρησιμοποιείται από τη μηχανή βάσης δεδομένων του SQL Server για τη διαχείριση των λειτουργιών κρυπτογράφησης και αποκρυπτογράφησης.
• Το ίδιο το DEK προστατεύεται από το διαφανές προστατευτικό κρυπτογράφησης δεδομένων, το οποίο είναι ένα ασύμμετρο κλειδί που διαχειρίζεται ο πελάτης—συγκεκριμένα, το κλειδί που διαχειρίζεται ο πελάτης που έχει διαμορφωθεί σε επίπεδο χώρου εργασίας.

Δημιουργία αντιγράφων ασφαλείας και επαναφορά

Μόλις μια βάση δεδομένων SQL κρυπτογραφηθεί με ένα κλειδί που διαχειρίζεται ο πελάτης, τυχόν αντίγραφα ασφαλείας που δημιουργούνται πρόσφατα κρυπτογραφούνται επίσης με το ίδιο κλειδί.

Όταν αλλάζει το κλειδί, τα παλιά αντίγραφα ασφαλείας της βάσης δεδομένων SQL δεν ενημερώνονται για να χρησιμοποιούν το πιο πρόσφατο κλειδί. Για να επαναφέρετε ένα αντίγραφο ασφαλείας κρυπτογραφημένο με ένα κλειδί που διαχειρίζεται ο πελάτης, βεβαιωθείτε ότι το υλικό κλειδιού είναι διαθέσιμο στο Azure Key Vault. Επομένως, συνιστούμε στους πελάτες να διατηρούν όλες τις παλιές εκδόσεις των κλειδιών που διαχειρίζονται οι πελάτες στο Azure Key Vault, ώστε να είναι δυνατή η επαναφορά των αντιγράφων ασφαλείας της βάσης δεδομένων SQL.

Η διαδικασία επαναφοράς της βάσης δεδομένων SQL θα τηρεί πάντα τη ρύθμιση χώρου εργασίας κλειδιού που διαχειρίζεται ο πελάτης. Ο παρακάτω πίνακας περιγράφει διάφορα σενάρια επαναφοράς με βάση τις ρυθμίσεις κλειδιού που διαχειρίζεται ο πελάτης και εάν το αντίγραφο ασφαλείας είναι κρυπτογραφημένο.

Το αντίγραφο ασφαλείας είναι...	Ρύθμιση βασικού χώρου εργασίας διαχειριζόμενου από τον πελάτη	Κατάσταση κρυπτογράφησης μετά την επαναφορά
Μη κρυπτογραφημένο	Απενεργοποιημένη	Η βάση δεδομένων SQL δεν είναι κρυπτογραφημένη
Μη κρυπτογραφημένο	Ενεργοποιημένο	Η βάση δεδομένων SQL είναι κρυπτογραφημένη με κλειδί που διαχειρίζεται ο πελάτης
Κρυπτογραφημένο με κλειδί διαχειριζόμενο από τον πελάτη	Απενεργοποιημένη	Η βάση δεδομένων SQL δεν είναι κρυπτογραφημένη
Κρυπτογραφημένο με κλειδί διαχειριζόμενο από τον πελάτη	Ενεργοποιημένο	Η βάση δεδομένων SQL είναι κρυπτογραφημένη με κλειδί που διαχειρίζεται ο πελάτης
Κρυπτογραφημένο με κλειδί διαχειριζόμενο από τον πελάτη	Ενεργοποιημένο αλλά διαφορετικό κλειδί διαχειριζόμενο από τον πελάτη	Η βάση δεδομένων SQL κρυπτογραφείται με το νέο κλειδί που διαχειρίζεται ο πελάτης

Επαλήθευση επιτυχούς κλειδιού διαχειριζόμενου από τον πελάτη

Μόλις ενεργοποιήσετε την κρυπτογράφηση κλειδιού διαχειριζόμενη από τον πελάτη στον χώρο εργασίας, η υπάρχουσα βάση δεδομένων θα κρυπτογραφηθεί. Μια νέα βάση δεδομένων σε έναν χώρο εργασίας θα κρυπτογραφηθεί επίσης όταν ενεργοποιηθεί το κλειδί που διαχειρίζεται ο πελάτης. Για να επαληθεύσετε εάν η βάση δεδομένων σας είναι κρυπτογραφημένη με επιτυχία, εκτελέστε το ακόλουθο ερώτημα T-SQL:

SELECT DB_NAME(database_id) as DatabaseName, * 
FROM sys.dm_database_encryption_keys 
WHERE database_id <> 2;

• Μια βάση δεδομένων κρυπτογραφείται εάν το encryption_state_desc πεδίο εμφανίζεται ENCRYPTED με ASYMMETRIC_KEY το encryptor_type.
• Εάν η κατάσταση είναι ENCRYPTION_IN_PROGRESS, η percent_complete στήλη θα υποδεικνύει την πρόοδο της αλλαγής κατάστασης κρυπτογράφησης. Αυτό θα συμβεί 0 εάν δεν υπάρξει αλλαγή κατάστασης σε εξέλιξη.
• Εάν δεν είναι κρυπτογραφημένη, μια βάση δεδομένων δεν θα εμφανίζεται στα αποτελέσματα ερωτήματος του sys.dm_database_encryption_keys.

Αντιμετώπιση προβλημάτων μη προσβάσιμου κλειδιού διαχειριζόμενου από τον πελάτη

Όταν ένα κλειδί διαχειριζόμενο από τον πελάτη έχει ρυθμιστεί για έναν χώρο εργασίας στο Microsoft Fabric, απαιτείται συνεχής πρόσβαση στο κλειδί για να παραμείνει συνδεδεμένη η βάση δεδομένων SQL. Εάν η βάση δεδομένων SQL χάσει την πρόσβαση στο κλειδί στο Azure Key Vault, σε έως και 10 λεπτά η βάση δεδομένων SQL αρχίζει να αρνείται όλες τις συνδέσεις και αλλάζει την κατάστασή της σε Μη προσβάσιμη. Οι χρήστες θα λάβουν ένα αντίστοιχο μήνυμα σφάλματος, όπως "Δεν είναι δυνατή η πρόσβαση στη βάση δεδομένων <database ID>.database.fabric.microsoft.com λόγω κρίσιμου σφάλματος Azure Key Vault".

• Εάν η πρόσβαση στο κλειδί αποκατασταθεί εντός 30 λεπτών, η βάση δεδομένων SQL θα θεραπευτεί αυτόματα εντός της επόμενης ώρας.
• Εάν η πρόσβαση στο κλειδί αποκατασταθεί μετά από περισσότερα από 30 λεπτά, δεν είναι δυνατή η αυτόματη επούλωση της βάσης δεδομένων SQL. Η επαναφορά της βάσης δεδομένων SQL απαιτεί επιπλέον βήματα και μπορεί να διαρκέσει σημαντικό χρόνο ανάλογα με το μέγεθος της βάσης δεδομένων SQL.

Χρησιμοποιήστε τα παρακάτω βήματα για να επικυρώσετε ξανά το κλειδί που διαχειρίζεται ο πελάτης:

1. Στον χώρο εργασίας σας, κάντε δεξί κλικ στη βάση δεδομένων SQL ή στο ... μενού περιβάλλοντος. Επιλέξτε Ρυθμίσεις.
2. Επιλέξτε Κρυπτογράφηση (έκδοση προεπισκόπησης).
3. Για να επιχειρήσετε να επικυρώσετε εκ νέου το κλειδί που διαχειρίζεται ο πελάτης, επιλέξτε το κουμπί Επανεπικύρωση κλειδιού διαχειριζόμενου από τον πελάτη . Εάν η επανεπικύρωση είναι επιτυχής, η επαναφορά της πρόσβασης στη βάση δεδομένων SQL μπορεί να διαρκέσει αρκετή ώρα.

Σημείωση

Όταν επικυρώνετε ξανά το κλειδί για μια βάση δεδομένων SQL, το κλειδί επικυρώνεται ξανά αυτόματα για όλες τις βάσεις δεδομένων SQL στο χώρο εργασίας σας.

Limitations

Τρέχοντες περιορισμοί κατά τη χρήση κλειδιού διαχειριζόμενου από τον πελάτη για μια βάση δεδομένων SQL στο Microsoft Fabric:

• Τα κλειδιά 4.096 bit δεν υποστηρίζονται για τη βάση δεδομένων SQL στο Microsoft Fabric. Τα υποστηριζόμενα μήκη κλειδιών είναι 2.048 bit και 3.072 bit.
• Το κλειδί που διαχειρίζεται ο πελάτης πρέπει να είναι RSA ή RSA-HSM ασύμμετρο κλειδί.
• Προς το παρόν, η κρυπτογράφηση κλειδιού διαχειριζόμενη από τον πελάτη είναι διαθέσιμη στις ακόλουθες περιοχές:
  • ΗΠΑ: Ανατολικές ΗΠΑ 2, Βόρειες Κεντρικές ΗΠΑ, Νότιες Κεντρικές ΗΠΑ
  • Ασία: Ανατολική Αυστραλία, Νοτιοανατολική Ασία, Βόρεια ΗΑΕ
  • Ευρώπη: Βόρεια Ευρώπη, Δυτική Ευρώπη

Σχετικό περιεχόμενο

• Κλειδιά διαχειριζόμενα από τον πελάτη για χώρους εργασίας Fabric
• Επαναφορά από ένα αντίγραφο ασφαλείας στη βάση δεδομένων SQL στο Microsoft Fabric