Administración extensible de claves con Azure Key Vault (SQL Server)

  • Artículo

Se aplica a:SQL Server

El Conector de SQL Server para Microsoft Azure Key Vault permite que el cifrado de SQL Server use el servicio Azure Key Vault como proveedor de administración extensible de claves (EKM) para proteger SQL Server claves de cifrado.

En este tema se describe el conector de SQL Server . Hay información adicional disponible en Pasos de instalación para la administración extensible de claves mediante Azure Key Vault, Uso de SQL Server Connector con características de cifrado de SQL y solución de problemas de mantenimiento & de conectores de SQL Server.

¿Qué es la Administración extensible de claves (EKM) y por qué usarla?

SQL Server proporciona varios tipos de cifrado que ayudan a proteger los datos confidenciales, incluido el cifrado de datos transparente (TDE), el cifrado de nivel de columna (CLE) y el cifrado de copia de seguridad. En todos estos casos, en esta jerarquía de claves tradicional, los datos se cifran con una clave de cifrado de datos (DEK) simétrica. La clave de cifrado de datos simétrica se protege, además, cifrándose con una jerarquía de claves almacenadas en SQL Server. En lugar de este modelo, la alternativa es el modelo de proveedor EKM. El uso de la arquitectura del proveedor EKM permite a SQL Server proteger las claves de cifrado de datos con una clave asimétrica que se almacena fuera de SQL Server en un proveedor de servicios criptográficos externo. Este modelo agrega una capa adicional de seguridad y separa la administración de claves y datos.

En la imagen siguiente se compara la jerarquía de claves de administración y servicio tradicional con el sistema del Almacén de claves de Azure.

Diagrama que compara la jerarquía de claves de administración de servicios tradicional con el sistema de Azure Key Vault.

El conector de SQL Server actúa como puente entre SQL Server y Azure Key Vault, por lo que SQL Server puede aprovechar la escalabilidad, el alto rendimiento y la alta disponibilidad del servicio de Azure Key Vault. En la imagen siguiente se representa cómo funciona la jerarquía de claves de la arquitectura del proveedor EKM con el Almacén de claves de Azure y el conector de SQL Server .

El Almacén de claves de Azure se puede usar con instalaciones de SQL Server en máquinas virtuales de Microsoft Azure y para servidores locales. El servicio Almacén de claves también permite usar módulos de seguridad de hardware (HSM) supervisados y controlados estrechamente. Así, se obtiene un mayor grado de protección para las claves de cifrado asimétricas. Para obtener más información sobre el Almacén de claves, consulte el tema sobre el Almacén de claves de Azure.

En la siguiente imagen se resume el flujo de procesos de EKM usando el almacén de claves. (Los números de pasos del proceso de la imagen no se ofrecen con el fin de que coincidan con los números de los pasos de configuración que siguen a la imagen).

SQL Server EKM mediante Azure Key Vault

Nota:

Las versiones 1.0.0.440 y anteriores se han reemplazado y ya no se admiten en entornos de producción. Para actualizar a la versión 1.0.1.0 o posterior, visite el Centro de descarga de Microsoft y siga las instrucciones de la página de solución de problemas de mantenimiento & del conector de SQL Server en "Actualización del conector de SQL Server".

Para ir al paso siguiente, consulte Pasos de instalación de Administración extensible de claves con el Almacén de claves de Azure.

Para consultar los escenarios de uso, consulte Use SQL Server Connector with SQL Encryption Features(Usar el conector de SQL Server con características de cifrado de SQL).

Consulte también

Mantenimiento & del conector de SQL Server Solución de problemas