Resistencia entre regiones para TDE de SQL con HSM administrado de Azure Key Vault

Instancia administrada de Azure SQL

Azure Key Vault

Ideas de solución

En este artículo se describe una idea de solución. El arquitecto de la nube puede usar esta guía para ayudar a visualizar los componentes principales de una implementación típica de esta arquitectura. Use este artículo como punto de partida para diseñar una solución bien diseñada que se adapte a los requisitos específicos de la carga de trabajo.

En esta solución se describe un patrón de implementación seguro y resistente para Azure SQL Managed Instance. Resalta cómo se usa HSM administrado de Azure Key Vault para almacenar las claves del protector de cifrado de datos transparente (TDE) administradas por el cliente.

Arquitectura

El diagrama incluye dos secciones clave, la región primaria y la región secundaria. La región primaria tiene una subsección que incluye INSTANCIA administrada de SQL, zonas de disponibilidad y una subred con un grupo de seguridad de red (NSG). La región primaria tiene otra subsección que incluye una subred con un grupo de seguridad de red, un punto de conexión privado de la región primaria de HSM administrado, otro punto de conexión privado, un equilibrador de carga y un grupo de HSM administrados. Cada subsección tiene una red virtual y grupos de recursos. Una zona DNS privada para mHSM también está en la región primaria. La región secundaria replica los recursos de la región primaria. Una flecha etiquetada como plano de administración apunta de SQL Managed Instance a Traffic Manager en la sección recursos globales externos. Flecha etiquetada como puntos de replicación de datos entre regiones desde la subsección Instancia administrada de SQL en la región primaria a la misma subsección de la región secundaria. Flecha etiquetada como puntos de replicación entre regiones desde la subsección grupo de HSM administrado de la región primaria a la misma subsección de la región secundaria. En cada región, una flecha etiquetada como puntos del plano de datos de SQL Managed Instance al punto de conexión privado y, a continuación, a Traffic Manager. En cada región, una flecha etiquetada como puntos del plano de administración de SQL Managed Instance a Traffic Manager. En cada región, una flecha apunta de Traffic Manager al grupo de HSM administrado, que indica que Traffic Manager redirige al mHSM más cercano.

Descargue un archivo de Visio de esta arquitectura.

Flujo de trabajo

El siguiente flujo de trabajo corresponde al diagrama anterior:

1. Sql Managed Instance se configura con grupos de disponibilidad en la región secundaria no emparejada para replicar los datos para la recuperación ante desastres.

2. HSM administrado está configurado con un grupo entre regiones. Este grupo replica automáticamente el material de clave y los permisos en el almacén de la región secundaria no emparejada.

3. El tráfico del plano de datos de SQL Managed Instance fluye a través del punto de conexión privado de HSM administrado.

4. HSM administrado usa Azure Traffic Manager para enrutar el tráfico al almacén operativo más cercano.

5. Si la instancia administrada necesita comprobar los permisos en una clave, envía una solicitud del plano de administración a través de la red troncal de Azure.

Componentes

• INSTANCIA administrada de SQL es una oferta de plataforma como servicio (PaaS) que es casi totalmente compatible con el motor de base de datos sql Server Enterprise Edition más reciente. Proporciona una implementación de red virtual nativa que mejora la seguridad y proporciona un modelo de negocio beneficioso para los clientes existentes de SQL Server. Puede usar SQL Managed Instance para migrar las aplicaciones locales a la nube con modificaciones mínimas en las aplicaciones y bases de datos.

  Sql Managed Instance también proporciona funcionalidades completas de PaaS, incluidas las actualizaciones automáticas de revisiones y versiones, las copias de seguridad automatizadas y la alta disponibilidad. Estas características reducen significativamente la sobrecarga de administración y el costo total de propiedad. En esta arquitectura, SQL Managed Instance es la base de datos que usa las claves del protector de TDE.

• Managed HSM es un servicio en la nube totalmente administrado que proporciona alta disponibilidad, inquilino único y cumplimiento con los estándares del sector. HSM administrado está diseñado para proteger las claves criptográficas para las aplicaciones en la nube. Usa estándares federales de procesamiento de información 140-2 HSM validados por 3 niveles. Managed HSM es una de varias soluciones de administración de claves en Azure. En esta arquitectura, HSM administrado almacena de forma segura las claves del protector de TDE y proporciona resistencia entre regiones.

• Un punto de conexión privado de Azure actúa como una interfaz de red que conecta de forma segura los servicios PaaS, como Azure Storage, Azure SQL Database y Azure Key Vault a una red virtual a través de una dirección IP privada. Esta característica elimina la necesidad de exposición pública a Internet, lo que mejora la seguridad manteniendo el tráfico dentro de la red troncal de Azure. También usa la red virtual del cliente para mayor protección. En esta arquitectura, un punto de conexión privado de Azure garantiza que el tráfico entre los servicios fluye a través de una red virtual privada.

• Dns privado de Azure proporciona una resolución de nombres sin problemas para los puntos de conexión privados, lo que permite que los recursos de una red virtual accedan a los servicios de Azure de forma privada. Permite usar nombres de dominio completos en lugar de direcciones IP públicas, lo que mejora la seguridad y la accesibilidad. Cuando se crea un punto de conexión privado, se registra automáticamente un registro correspondiente del sistema de nombres de dominio (DNS) en la zona DNS privada vinculada. Una zona DNS privada garantiza que el tráfico al servicio permanezca dentro de la red troncal de Azure. Este enfoque mejora la seguridad, el rendimiento y el cumplimiento al evitar la exposición a la red pública de Internet. Si se produce una interrupción del servicio regional, DNS privado de Azure proporciona resistencia nativa de resolución de nombres entre regiones para HSM administrado. En esta arquitectura, los servicios usan DNS privado de Azure para comunicarse entre sí a través de sus direcciones de red privada.

Detalles del escenario

En esta solución, un cliente tiene como objetivo cumplir los estrictos umbrales de acuerdo de nivel de servicio para su sistema crítico, a la vez que garantiza la funcionalidad completa de los servicios enumerados. Para lograr este objetivo, usan SQL Managed Instance con una clave de protector TDE administrada por el cliente. La clave se almacena en un almacén que admite sus regiones elegidas y cumple todos los requisitos de cumplimiento y seguridad. El acceso al punto de conexión privado también se aplica para mejorar la protección.

Casos de uso potenciales

• Un cliente usa dos regiones emparejadas o no emparejadas. La instancia administrada de SQL principal se encuentra en una región y los grupos de conmutación por error están configurados para conectarla con la instancia administrada de SQL en la región secundaria.

• Un cliente usa una instancia de HSM administrada en una región primaria con una réplica entre regiones en una región secundaria. Cuando se habilita una réplica entre regiones, se crea una instancia de Traffic Manager. La instancia de Traffic Manager controla el enrutamiento del tráfico al almacén local si ambos almacenes están operativos o en el almacén que está operativo si un almacén no está disponible.

• Un cliente usa dos zonas DNS personalizadas para admitir un punto de conexión privado para una instancia de HSM administrada en cada región.

• Un TDE habilitado para el cliente en bases de datos de usuario usa un modelo de clave administrada por el cliente y almacena una clave de protector en HSM administrado.

• Un cliente usa este diseño para proporcionar la máxima resistencia posible.

Colaboradores

Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.

Autores principales:

• Laura Grob | Arquitecto principal de soluciones en la nube
• Armen Kaleshian | Arquitecto principal de soluciones en la nube
• Michael Piskorski | Arquitecto sénior de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Guía completa de HSM administrado para sectores regulados
• Roles integrados de control de acceso basado en rol local para HSM administrado
• Habilitación de la replicación de varias regiones en HSM administrado
• Configuración de HSM administrado con puntos de conexión privados
• Introducción a la recuperación de HSM administrado
• Soberanía clave, disponibilidad, rendimiento y escalabilidad en HSM administrado
• Procedimientos recomendados para proteger HSM administrado
• Introducción a la seguridad de Key Vault
• Acerca de las claves de Key Vault
• Generación y transferencia de claves protegidas con HSM
• Disponibilidad y redundancia de Key Vault

Ideas de solución

En este artículo se describe una idea de solución. El arquitecto de la nube puede usar esta guía para ayudar a visualizar los componentes principales de una implementación típica de esta arquitectura. Use este artículo como punto de partida para diseñar una solución bien diseñada que se adapte a los requisitos específicos de la carga de trabajo.

En esta solución se describe un patrón de implementación seguro y resistente para Azure SQL Managed Instance. Resalta cómo se usa HSM administrado de Azure Key Vault para almacenar las claves del protector de cifrado de datos transparente (TDE) administradas por el cliente.

Arquitectura

El diagrama incluye dos secciones clave, la región primaria y la región secundaria. La región primaria tiene una subsección que incluye INSTANCIA administrada de SQL, zonas de disponibilidad y una subred con un grupo de seguridad de red (NSG). La región primaria tiene otra subsección que incluye una subred con un grupo de seguridad de red, un punto de conexión privado de la región primaria de HSM administrado, otro punto de conexión privado, un equilibrador de carga y un grupo de HSM administrados. Cada subsección tiene una red virtual y grupos de recursos. Una zona DNS privada para mHSM también está en la región primaria. La región secundaria replica los recursos de la región primaria. Una flecha etiquetada como plano de administración apunta de SQL Managed Instance a Traffic Manager en la sección recursos globales externos. Flecha etiquetada como puntos de replicación de datos entre regiones desde la subsección Instancia administrada de SQL en la región primaria a la misma subsección de la región secundaria. Flecha etiquetada como puntos de replicación entre regiones desde la subsección grupo de HSM administrado de la región primaria a la misma subsección de la región secundaria. En cada región, una flecha etiquetada como puntos del plano de datos de SQL Managed Instance al punto de conexión privado y, a continuación, a Traffic Manager. En cada región, una flecha etiquetada como puntos del plano de administración de SQL Managed Instance a Traffic Manager. En cada región, una flecha apunta de Traffic Manager al grupo de HSM administrado, que indica que Traffic Manager redirige al mHSM más cercano.

Descargue un archivo de Visio de esta arquitectura.

Flujo de trabajo

El siguiente flujo de trabajo corresponde al diagrama anterior:

1. Sql Managed Instance se configura con grupos de disponibilidad en la región secundaria no emparejada para replicar los datos para la recuperación ante desastres.

2. HSM administrado está configurado con un grupo entre regiones. Este grupo replica automáticamente el material de clave y los permisos en el almacén de la región secundaria no emparejada.

3. El tráfico del plano de datos de SQL Managed Instance fluye a través del punto de conexión privado de HSM administrado.

4. HSM administrado usa Azure Traffic Manager para enrutar el tráfico al almacén operativo más cercano.

5. Si la instancia administrada necesita comprobar los permisos en una clave, envía una solicitud del plano de administración a través de la red troncal de Azure.

Componentes

• INSTANCIA administrada de SQL es una oferta de plataforma como servicio (PaaS) que es casi totalmente compatible con el motor de base de datos sql Server Enterprise Edition más reciente. Proporciona una implementación de red virtual nativa que mejora la seguridad y proporciona un modelo de negocio beneficioso para los clientes existentes de SQL Server. Puede usar SQL Managed Instance para migrar las aplicaciones locales a la nube con modificaciones mínimas en las aplicaciones y bases de datos.

  Sql Managed Instance también proporciona funcionalidades completas de PaaS, incluidas las actualizaciones automáticas de revisiones y versiones, las copias de seguridad automatizadas y la alta disponibilidad. Estas características reducen significativamente la sobrecarga de administración y el costo total de propiedad. En esta arquitectura, SQL Managed Instance es la base de datos que usa las claves del protector de TDE.

• Managed HSM es un servicio en la nube totalmente administrado que proporciona alta disponibilidad, inquilino único y cumplimiento con los estándares del sector. HSM administrado está diseñado para proteger las claves criptográficas para las aplicaciones en la nube. Usa estándares federales de procesamiento de información 140-2 HSM validados por 3 niveles. Managed HSM es una de varias soluciones de administración de claves en Azure. En esta arquitectura, HSM administrado almacena de forma segura las claves del protector de TDE y proporciona resistencia entre regiones.

• Un punto de conexión privado de Azure actúa como una interfaz de red que conecta de forma segura los servicios PaaS, como Azure Storage, Azure SQL Database y Azure Key Vault a una red virtual a través de una dirección IP privada. Esta característica elimina la necesidad de exposición pública a Internet, lo que mejora la seguridad manteniendo el tráfico dentro de la red troncal de Azure. También usa la red virtual del cliente para mayor protección. En esta arquitectura, un punto de conexión privado de Azure garantiza que el tráfico entre los servicios fluye a través de una red virtual privada.

• Dns privado de Azure proporciona una resolución de nombres sin problemas para los puntos de conexión privados, lo que permite que los recursos de una red virtual accedan a los servicios de Azure de forma privada. Permite usar nombres de dominio completos en lugar de direcciones IP públicas, lo que mejora la seguridad y la accesibilidad. Cuando se crea un punto de conexión privado, se registra automáticamente un registro correspondiente del sistema de nombres de dominio (DNS) en la zona DNS privada vinculada. Una zona DNS privada garantiza que el tráfico al servicio permanezca dentro de la red troncal de Azure. Este enfoque mejora la seguridad, el rendimiento y el cumplimiento al evitar la exposición a la red pública de Internet. Si se produce una interrupción del servicio regional, DNS privado de Azure proporciona resistencia nativa de resolución de nombres entre regiones para HSM administrado. En esta arquitectura, los servicios usan DNS privado de Azure para comunicarse entre sí a través de sus direcciones de red privada.

Detalles del escenario

En esta solución, un cliente tiene como objetivo cumplir los estrictos umbrales de acuerdo de nivel de servicio para su sistema crítico, a la vez que garantiza la funcionalidad completa de los servicios enumerados. Para lograr este objetivo, usan SQL Managed Instance con una clave de protector TDE administrada por el cliente. La clave se almacena en un almacén que admite sus regiones elegidas y cumple todos los requisitos de cumplimiento y seguridad. El acceso al punto de conexión privado también se aplica para mejorar la protección.

Casos de uso potenciales

• Un cliente usa dos regiones emparejadas o no emparejadas. La instancia administrada de SQL principal se encuentra en una región y los grupos de conmutación por error están configurados para conectarla con la instancia administrada de SQL en la región secundaria.

• Un cliente usa una instancia de HSM administrada en una región primaria con una réplica entre regiones en una región secundaria. Cuando se habilita una réplica entre regiones, se crea una instancia de Traffic Manager. La instancia de Traffic Manager controla el enrutamiento del tráfico al almacén local si ambos almacenes están operativos o en el almacén que está operativo si un almacén no está disponible.

• Un cliente usa dos zonas DNS personalizadas para admitir un punto de conexión privado para una instancia de HSM administrada en cada región.

• Un TDE habilitado para el cliente en bases de datos de usuario usa un modelo de clave administrada por el cliente y almacena una clave de protector en HSM administrado.

• Un cliente usa este diseño para proporcionar la máxima resistencia posible.

Colaboradores

Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.

Autores principales:

• Laura Grob | Arquitecto principal de soluciones en la nube
• Armen Kaleshian | Arquitecto principal de soluciones en la nube
• Michael Piskorski | Arquitecto sénior de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Guía completa de HSM administrado para sectores regulados
• Roles integrados de control de acceso basado en rol local para HSM administrado
• Habilitación de la replicación de varias regiones en HSM administrado
• Configuración de HSM administrado con puntos de conexión privados
• Introducción a la recuperación de HSM administrado
• Soberanía clave, disponibilidad, rendimiento y escalabilidad en HSM administrado
• Procedimientos recomendados para proteger HSM administrado
• Introducción a la seguridad de Key Vault
• Acerca de las claves de Key Vault
• Generación y transferencia de claves protegidas con HSM
• Disponibilidad y redundancia de Key Vault