Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL Server
El conector de SQL Server para Azure Key Vault permite que el cifrado de SQL Server use el servicio Azure Key Vault como proveedor de administración extensible de claves (EKM) para proteger las claves de cifrado de SQL Server.
En este artículo se describe el conector de SQL Server. Puede encontrar más información en:
- Configuración de Administración extensible de claves de TDE de SQL Server mediante Azure Key Vault
- Usar el conector de SQL Server con características de cifrado de SQL
- Mantenimiento y solución de problemas del conector de SQL Server
¿Qué es administración extensible de claves (EKM) y por qué usarla?
SQL Server proporciona varios tipos de cifrado que ayudan a proteger los datos confidenciales, incluido el cifrado de datos transparente (TDE),el cifrado de una columna de datos (CLE) y el cifrado de copia de seguridad. En todos estos casos, en esta jerarquía de claves tradicional, los datos se cifran con una clave de cifrado de datos (DEK) simétrica. La clave de cifrado de datos simétrica se protege, además, cifrándose con una jerarquía de claves almacenadas en SQL Server.
En lugar de este modelo, la alternativa es el modelo de proveedor EKM. El uso de la arquitectura del proveedor EKM permite a SQL Server proteger las claves de cifrado de datos con una clave asimétrica que se almacena fuera de SQL Server en un proveedor de servicios criptográficos externo. Este modelo agrega una capa adicional de seguridad y separa la administración de claves y datos.
En la imagen siguiente se compara la jerarquía de claves de administración y servicio tradicional con el sistema del Almacén de claves de Azure.
El conector de SQL Server sirve como puente entre SQL Server y Azure Key Vault, por lo que SQL Server puede usar la escalabilidad, el alto rendimiento y la alta disponibilidad del servicio Azure Key Vault. En la siguiente imagen se representa cómo funciona la jerarquía de claves de la arquitectura del proveedor EKM con Azure Key Vault y el conector de SQL Server.
Azure Key Vault se puede usar con instalaciones de SQL Server en Azure Virtual Machines y para servidores locales. El servicio Almacén de claves también permite usar módulos de seguridad de hardware (HSM) supervisados y controlados estrechamente. Así, se obtiene un mayor grado de protección para las claves de cifrado asimétricas. Para obtener más información sobre el Almacén de claves, consulte el tema sobre el Almacén de claves de Azure.
Nota:
Solo se admiten Azure Key Vault y Azure Key Vault Managed HSM. Azure Cloud HSM no está disponible.
En la siguiente imagen se resume el flujo de procesos de EKM usando el almacén de claves. (Los números de paso de proceso de la imagen no están diseñados para coincidir con los números del paso de instalación que siguen a la imagen).
Nota:
Las versiones 1.0.0.440 y anteriores ya no se admiten en entornos de producción. Actualice a la versión 1.0.1.0 o una versión posterior visitando el Centro de descarga de Microsoft y usando las instrucciones de la página Mantenimiento y solución de problemas del conector de SQL Server en "Actualización del conector de SQL Server".
Para el siguiente paso, consulte Configuración de la administración extensible de claves de TDE de SQL Server mediante Azure Key Vault.
Para consultar los escenarios de uso, consulte Use SQL Server Connector with SQL Encryption Features(Usar el conector de SQL Server con características de cifrado de SQL).