Compartir a través de

Cifrado de datos en base de datos SQL en Microsoft Fabric

Se aplica a :base de datos SQL en Microsoft Fabric

Importante

Esta característica se encuentra en versión preliminar.

Microsoft Fabric cifra todos los datos en reposo mediante claves administradas por Microsoft. Todos los datos de sql Database se almacenan en cuentas remotas de Azure Storage. Para cumplir los requisitos de cifrado en reposo mediante claves administradas por Microsoft, cada cuenta de Azure Storage usada por la base de datos SQL está configurada con el cifrado del lado del servicio habilitado.

Con las claves administradas por el cliente para las áreas de trabajo de Fabric, puede usar las claves de Azure Key Vault para agregar otra capa de protección a los datos de las áreas de trabajo de Microsoft Fabric, incluidos todos los datos de la base de datos SQL en Microsoft Fabric. Una clave administrada por el cliente proporciona una mayor flexibilidad, lo que le permite administrar su rotación, controlar el acceso y la auditoría de uso. Las claves administradas por el cliente también ayudan a las organizaciones a satisfacer las necesidades de gobernanza de datos y a cumplir con los estándares de cifrado y protección de datos.

  • Cuando se configura una clave administrada por el cliente para un área de trabajo en Microsoft Fabric, el cifrado de datos transparente se habilita automáticamente para todas las bases de datos SQL (y tempdb) dentro de esa área de trabajo mediante la clave administrada por el cliente especificada. Este proceso es completamente sin problemas y no requiere ninguna intervención manual.
    • Aunque el proceso de cifrado comienza automáticamente para todas las bases de datos SQL existentes, no es instantánea; la duración depende del tamaño de cada base de datos SQL, con bases de datos SQL más grandes que requieren más tiempo para completar el cifrado.
    • Una vez configurada la clave administrada por el cliente, las bases de datos SQL creadas en el área de trabajo también se cifrarán mediante la clave administrada por el cliente.
  • Si se quita la clave administrada por el cliente, el proceso de descifrado se desencadena para todas las bases de datos SQL del área de trabajo. Al igual que el cifrado, el descifrado también depende del tamaño de la base de datos SQL y puede tardar tiempo en completarse. Una vez descifrado, las bases de datos SQL vuelven a usar claves administradas por Microsoft para el cifrado.

Funcionamiento del cifrado de datos transparente en SQL Database en Microsoft Fabric

El cifrado de datos transparente realiza el cifrado en tiempo real y el descifrado de la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones en reposo.

  • Este proceso se produce en el nivel de página, lo que significa que cada página se descifra cuando se lee en la memoria y se vuelve a cifrar antes de volver a escribirse en el disco.
  • El cifrado de datos transparente protege toda la base de datos mediante una clave simétrica conocida como clave de cifrado de base de datos (DEK).
  • Cuando se inicia la base de datos, el DEK cifrado se descifra y lo usa el motor de base de datos de SQL Server para administrar las operaciones de cifrado y descifrado.
  • La propia DEK está protegida por el protector de cifrado de datos transparente, que es una clave asimétrica administrada por el cliente, específicamente la clave administrada por el cliente configurada en el nivel de área de trabajo.

Diagrama de cifrado para la base de datos SQL en Microsoft Fabric.

Copias de seguridad y restauración

Una vez que una base de datos SQL se cifra con una clave administrada por el cliente, las copias de seguridad recién generadas también se cifran con la misma clave.

Cuando se cambia la clave, las copias de seguridad antiguas de la base de datos SQL no se actualizan para usar la clave más reciente. Para restaurar una copia de seguridad cifrada con una clave administrada por el cliente, asegúrese de que el material de clave está disponible en Azure Key Vault. Por lo tanto, se recomienda que los clientes conserven todas las versiones anteriores de las claves administradas por el cliente en Azure Key Vault, por lo que se pueden restaurar las copias de seguridad de sql Database.

El proceso de restauración de la base de datos SQL siempre respetará la configuración del área de trabajo de clave administrada por el cliente. En la tabla siguiente se describen varios escenarios de restauración basados en la configuración de clave administrada por el cliente y si la copia de seguridad está cifrada.

La copia de seguridad es... Configuración del área de trabajo de clave administrada por el cliente Estado de cifrado posterior a la restauración
No cifrado Disabled La base de datos SQL no está cifrada
No cifrado Enabled Sql Database se cifra con clave administrada por el cliente
Cifrado con clave administrada por el cliente Disabled La base de datos SQL no está cifrada
Cifrado con clave administrada por el cliente Enabled Sql Database se cifra con clave administrada por el cliente
Cifrado con clave administrada por el cliente Habilitada pero con una clave administrada por el cliente diferente. Sql Database se cifra con la nueva clave administrada por el cliente

Verificar clave administrada por el cliente exitosa

Una vez que habilite el cifrado de claves administradas por el cliente en el área de trabajo, se cifrará la base de datos existente. Una nueva base de datos de un área de trabajo también se cifrará cuando la clave administrada por el cliente esté habilitada. Para comprobar si la base de datos se ha cifrado correctamente, ejecute la siguiente consulta de T-SQL:

SELECT DB_NAME(database_id) as DatabaseName, * 
FROM sys.dm_database_encryption_keys 
WHERE database_id <> 2;
  • Una base de datos se cifra si el encryption_state_desc campo se muestra ENCRYPTED con ASYMMETRIC_KEY como encryptor_type.
  • Si el estado es ENCRYPTION_IN_PROGRESS, la percent_complete columna indicará el progreso del cambio de estado de cifrado. Esto será 0 si no hay ningún cambio de estado en curso.
  • Si no se cifra, una base de datos no aparecerá en los resultados de la consulta de sys.dm_database_encryption_keys.

Solución de problemas de una clave inaccesible administrada por el cliente

Cuando se configura una clave administrada por el cliente para un área de trabajo en Microsoft Fabric, se requiere acceso continuo a la clave para que la base de datos SQL permanezca en línea. Si la base de datos SQL pierde el acceso a la clave de Azure Key Vault, en hasta 10 minutos, la base de datos SQL comienza a denegar todas las conexiones y cambia su estado a Inaccesible. Los usuarios recibirán un mensaje de error correspondiente, como "La base de datos <database ID>.database.fabric.microsoft.com no es accesible debido a un error crítico de Azure Key Vault".

  • Si se restaura el acceso a claves en un plazo de 30 minutos, la base de datos SQL se recuperará automáticamente en la próxima hora.
  • Si el acceso a claves se restaura después de más de 30 minutos, no es posible la recuperación automática de la base de datos SQL. La devolución de la base de datos SQL requiere pasos adicionales y puede tardar mucho tiempo en función del tamaño de la base de datos SQL.

Siga estos pasos para volver a validar la clave administrada por el cliente:

  1. En el área de trabajo, haga clic con el botón derecho en la base de datos SQL o en el ... menú contextual. Haga clic en Configuración.
  2. Seleccione Cifrado (versión preliminar) .
  3. Para intentar volver a validar la clave administrada por el cliente, seleccione el botón Volver a validar la clave administrada por el cliente . Si la revalidación se realiza correctamente, la restauración del acceso a la base de datos SQL puede tardar algún tiempo.

Nota:

Al volver a validar la clave de una base de datos SQL, la clave se vuelve a validar automáticamente para todas las bases de datos SQL del área de trabajo.

Limitaciones

Limitaciones actuales al usar la clave administrada por el cliente para una base de datos SQL en Microsoft Fabric:

  • No se admiten claves de 4096 bits para SQL Database en Microsoft Fabric. Las longitudes de clave admitidas son 2048 bits y 3072 bits.
  • La clave administrada por el cliente debe ser una clave RSA o RSA-HSM asimétrica.
  • Actualmente, el cifrado de claves administradas por el cliente está disponible en las siguientes regiones:
    • EE. UU.: Este de EE. UU. 2, Centro-norte de EE. UU., Centro-sur de EE. UU.
    • Asia: Este de Australia, Sudeste de Asia, Norte de Emiratos Árabes Unidos
    • Europa: Norte de Europa, Oeste de Europa

Contenido relacionado

  • Last updated on