Krüptovõtme haldamine

  • Artikkel

Kõik Microsoft Dataverse'i keskkonnad kasutavad reaalajas andmete krüptimiseks SQL serveri läbipaistvat andmete krüptimist (TDE), kui andmed on kirjutatud kettale (tuntud ka puhkava krüptimisena).

Vaikimisi salvestab ja haldab Microsoft teie keskkondade andmebaasi krüptovõtit nii, et teie ei pea seda tegema. Võtmete haldamise funktsioon Microsoft Power Platform'i halduskeskuses annab administraatoritele võimaluse rentniku Dataverse'i andmebaasi krüptovõtmeid ise hallata.

Oluline

  • Alates 2. juunist 2023 täiendatakse see teenus kliendi hallatavaks krüptovõtmeks. Uued kliendid, kellel on vaja oma krüptovõtit ise hallata, kasutavad täiendatud teenust, kuna seda teenust enam ei pakuta.
  • Isehallatavad andmebaasi krüpteerimisvõtmed on saadaval ainult klientidele, kellel on ühes rentnikus rohkem kui 1000 Power Apps'i litsentsi või üle 1000 Dynamics 365 Enterprise litsentsi või üle 1000 litsentsi mõlema kombinatsioonist. Selle programmi valimiseks esitage tugiteenusetaotlus.

Krüptovõtme haldamine on rakendatav ainult Azure SQL-i keskkonna andmebaasidele. Järgmised funktsioonid ja teenused kasutavad oma andmete krüptimiseks jätkuvalt Microsofti hallatavat krüptovõtit ja neid ei saa krüptida isehallatava krüptovõtmega.

  • Kopiloodid ja generatiivse tehisintellekti funktsioonid ja Microsoft Power Platform Microsoft Dynamics 365
  • Dataverse’i otsing
  • Elastsed lauad
  • Mobile Offline
  • Tegevuste logi (Microsoft 365 portaal)
  • Exchange (serveripoolne sünkroonimine)

Märkus.

  • Enne selle funktsiooni kasutamist peab Microsoft teie rentniku jaoks andmebaasi krüptovõtme isehaldamise funktsiooni sisse lülitama.
  • Keskkonna andmete krüptimise halduse funktsioonide kasutamiseks tuleb keskkond luua pärast seda, kui Microsoft on andmebaasi krüptovõtme isehaldamise funktsiooni sisse lülitanud.
  • Faili ja Pildi uurusega < 128 MB tuge saab lubada, kui teie keskkonna versioon on 9.2.21052.00103 või uuem.
  • Enamikul olemasolevatest keskkondades on fail ja logi salvestatud mitte-Azure SQL-i andmebaasidesse. Neid keskkondi ei saa isehallatava krüptovõtmega liita. Isehallatava krüptovõtmega saab lubada ainult uusi keskkondi (pärast sellesse programmi registreerumist).

Sissejuhatus võtmehaldusesse

Võtmehaldusega saavad administraatorid esitada enda krüptovõtme või neil võib olla neile loodud krüptovõti, mida kasutatakse keskkonna andmebaasi kaitsmiseks.

Võtmehalduse funktsioon toetab nii PFX-i kui ka BYOK-i krüptovõtme faile (nt riistvara turbemudelisse (HSM) salvestatud failid). Krüptovõtme üleslaadimise valiku kasutamiseks vajate nii avalikku kui ka privaatset krüptovõtit.

Võtmehalduse funktsioon lihtsustab krüptovõtme haldust, kasutades krüptovõtmete turvaliseks talletamiseks Azure’i võtmehoidlat. Azure’i võtmehoidla aitab kaitsta pilverakenduste ja -teenuste kasutatavaid krüptovõtmeid ja saladusi. Võtmehalduse funktsiooni jaoks pole vaja Azure Key Vault'i tellimust ja enamikes olukordades pole vaja Dataverse'i jaoks kasutatavatele krüptovõtmetele hoidla kaudu juurde pääseda.

Võtme haldamise funktsioon võimaldab teha järgmisi ülesandeid.

  • Lubage keskkondadega seotud andmebaasi krüpteerimisvõtmete isehaldamise võimalus.

  • Luua uusi krüptovõtmeid või laadida üles olemasolevaid PFX- või BYOK-vormingus krüptovõtme faile.

  • Lukustada ja avada rentniku keskkondi.

    Hoiatus

    Kui rentnik on lukustatud, ei pääse keegi ligi rentniku keskkondadele. Lisateave: rentniku lukustamine.

Võtmete haldamisega seotud võimaliku ohu mõistmine

Nagu mis tahes äriliselt kriitilise tähtsusega rakenduse puhul peab organisatsioonisisene personal, kellel on administraatoritasemel juurdepääs, olema usaldusväärne. Enne võtmehalduse funktsiooni kasutamist peate mõistma andmebaasi krüptovõtmete haldamisega seotud ohtu. On mõeldav, et teie organisatsioonis töötav pahatahtlik administraator (isik, kellele antakse või kes on saanud administraatoritasemel juurdepääsu kavatsusega kahjustada organisatsiooni turbe- ja äriprotsesse) võib kasutada võtmete haldamise funktsiooni, et luua võti ja kasutada seda kõigi rentniku keskkondade lukustamiseks.

Kaaluge järgmist sündmuste jada.

Pahatahtlik administraator logib sisse Power Platform'i halduskeskusesse, avab vahekaardi Keskkonnad ja valib Halda krüptovõtit. Pahatahtlik administraator loob seejärel uue võtme parooliga ja laadib krüptovõtme alla oma kohalikule kettale ning aktiveerib uue võtme. Nüüd on kõik keskkonna andmebaasid krüptitud uue võtmega. Seejärel lukustab pahatahtlik administraator rentniku äsja allalaaditud võtmega ja seejärel võtab või kustutab allalaaditud krüptovõtme.

Nende tegevuste tulemusel keelatakse kõigi rentniku keskkondade veebijuurdepääs ja ühtki andmebaasi varukoopiat ei saa taastada.

Oluline

Selleks et takistada pahatahtlikul administraatoril äritegevuse segamist andmebaasi lukustamise teel, ei luba hallatud võtmete funktsioon 72 tunni jooksul pärast krüptovõtme muutmist või aktiveerimist rentniku keskkondi lukustada. See võimaldab teistel administraatoritel mis tahes volituseta võtmemuudatused kuni 72 tunni jooksul tagasi pöörata.

Krüptovõtme nõuded

Kui esitate oma krüpteerimisvõtme, peab teie võti vastama nendele Azure Key Vault'i aktsepteeritud nõuetele.

  • Krüptovõtme faili vorming peab olema PFX või BYOK.
  • 2048-bitine RSA.
  • RSA-HSM-võtme tüüp (nõuab Microsofti toe taotlust).
  • PFX krüptovõtme failid peavad olema parooliga kaitstud.

HSM-i kaitsega võtme Interneti kaudu loomise ja üleviimise kohta leiate lisateavet teemast Kuidas Azure Key Vaulti puhul luua ja viia üle HSM-i kaitsega võtmeid. Toetatakse ainult nCipher Vendor HSM-i võtit. Enne oma HSM-võtme genereerimist minge Power Platform'i halduskeskusesse Krüptovõtmete haldamine/Loo uus võtmeaken, et saada oma keskkonna piirkonna kordustellimuse ID. Võtme loomiseks peate kopeerima ja kleepima selle kordustellimuse ID oma HSM-i. See tagab, et teie faili saab avada ainult meie Azure'i võtmehoidla.

Võtmehalduse ülesanded

Põhi haldusülesannete lihtsustamiseks on ülesanded jagatud kolme valdkonta.

  1. Rentniku krüptovõtme loomine või üleslaadimine
  2. Rentniku krüptovõtme aktiveerimine
  3. Keskkonna krüptimise haldamine

Administraatorid saavad kirjeldatud peamiste rentniku kaitse haldusülesannete tegemiseks kasutada Power Platform'i halduskeskust või Power Platform'i haldusmoodulit cmdlet-käske.

Rentniku krüptovõtme loomine või üleslaadimine

Kõiki krüptovõtmeid säilitatakse rakenduses Azure Key Vault ja korraga saab olla aktiivne ainult üks võti. Kuna aktiivset võtit kasutatakse kõigi rentniku keskkondade krüptimiseks, hallatakse krüptimist rentniku tasemel. Kui võti on aktiveeritud, saab seda kasutada iga individuaalse keskkonna krüptimiseks.

Kasutage seda toimingut, et seadistada haldusvõti esimest korda keskkonna jaoks või muuta (ülekirjutada) krüptovõtit juba isehallatavas rentnikus.

Hoiatus

Kui teete siinkirjeldatud tegevusi esimest korda, liitute krüptovõtmete isehaldamisega. Lisateave: võtmete isehaldamisega seotud võimaliku ohu mõistmine.

  1. Logige sisse Power Platform administreerimiskeskusesse administraatorina (Dynamics 365 administraator, globaalne administraator või Microsoft Power Platform administraator).

  2. Valige vahekaart Keskkonnad ja seejärel valige tööriistaribalt suvand Krüptovõtmete haldamine.

  3. Võtme haldamise ohu kinnitamiseks valige suvand Kinnita.

  4. Valige tööriistaribal suvand Uus võti

  5. Võtme loomiseks või üleslaadimiseks täitke üksikasjad vasakpoolsel paanil.

    • Valige Piirkond. Seda suvandit kuvatakse ainult juhul, kui rentnikul on mitu piirkonda.
    • Sisestage Võtme nimi.
    • Valige järgmiste suvandite seast.

  6. Tehke valik Edasi.

Uue võtme loomine (.pfx)

  1. Sisestage parool ja seejärel sisestage kinnitamiseks parool uuesti.
  2. Valige käsk Loo ja seejärel valige brauserist loodud faili teatis.
  3. Krüptovõtme .pfx-fail laaditakse alla teie veebibrauseri allalaadimiste vaikekausta. Salvestage fail turvalisse asukohta (soovitame seda võtit koos selle parooliga varundada).

Võtme üleslaadimine (.pfx või .byok)

  1. Valige suvand Laadi võti üles, valige .pfx- või .byok1- file ja seejärel valige käsk Ava.
  2. Sisestage võtme parool ja seejärel valige käsk Loo.

1 .byok-vormingus krüptovõtmete puhul veenduge, et kasutaksite tellimuse ID-d kuval näidatud viisil, kui ekspordite krüptovõtit oma kohalikust HSM-ist. Lisateave: kuidas luua ja edastada HSM-kaitsutud võtmed rakendusse Azure Key Vault.

Märkus.

Selleks, et vähendada administraatori jaoks läbitavate etappide arvu võtmeprotsessi haldamisel, aktiveeritakse võti automaatselt esmakordsel üleslaadimisel. Kõik järgnevad võtmete üleslaadimised nõuavad võtme aktiveerimiseks lisaetapi läbimist.

Rentniku krüptovõtme aktiveerimine

Kui krüptovõti on rentnikku loodud või üles laaditud, saab seda aktiveerida.

  1. Logige sisse Power Platform administreerimiskeskusesse administraatorina (Dynamics 365 administraator, globaalne administraator või Microsoft Power Platform administraator).
  2. Valige vahekaart Keskkonnad ja seejärel valige tööriistaribalt suvand Krüptovõtmete haldamine.
  3. Võtme haldamise ohu kinnitamiseks valige suvand Kinnita.
  4. Valige võti, mille olek on Saadaval ja seejärel valige tööriistaribalt käsk Aktiveeri võti.
  5. Valige Kinnita, et tunnistada võtmemuudatust.

Kui aktiveerite rentniku jaoks võtme, kulub võtme haldusteenusel võtme aktiveerimiseks veidi aega. Suvandi Võtme olek olek kuvab võtit olekus Installimisel, kui uut või üleslaaditud võti aktiveeritakse. Kui võti on aktiveeritud, juhtub järgmine.

  • Kõik krüptitud keskkonnad krüptitakse automaatselt aktiivse võtmega (selle toiminguga pole seisakuid).
  • Kui see on aktiveeritud, rakendatakse krüptovõtit kõigile keskkondadele, mida muudetakse nii Microsofti kui ka ise hallatava krüptovõtme kaudu.

Oluline

Kui soovite, et sama võti haldaks kõiki keskkondi, ei saa aktiivset võtit värskendada, kui osa keskkondi on lukustatud. Enne uue võtme aktiveerimist tuleb kõik keskkonnad lukust vabastada. Kui on keskkondi, mida pole vaja lukust vabastada, tuleb need kustutada.

Märkus.

Pärast krüptovõtme aktiveerimist ei saa 24 tunni jooksul uut võtit aktiveerida.

Keskkonna krüptimise haldamine

Iga keskkonda krüptitakse vaikimisi Microsofti krüptovõtmega. Kui krüptovõti on rentniku jaoks aktiveeritud, saavad administraatorid valida, kas lasta vaikekrüptimisel kasutada aktiveeritud krüptovõtit. Aktiveeritud võtme kasutamiseks tehke järgmist.

Rakendage krüptovõti keskkonnale.

  1. Logige Power Platform halduskeskusesse sisse, kasutades keskkonnaadministraatori või süsteemiadministraatori rolli mandaati.
  2. Valige vahekaart Keskkonnad.
  3. Avage Microsofti krüptitud keskkond.
  4. Valige suvand Kuva kõik.
  5. Valige jaotisest Keskkonna krüptimine käsk Halda.
  6. Võtme haldamise ohu kinnitamiseks valige suvand Kinnita.
  7. Et muuta krüptimist kasutama aktiveeritud võtit, valige suvand Rakenda seda võtit.
  8. Valige Kinnita, et kinnitada, et haldate võtit ise ja teate, et selle tegevusega kaasneb seisak.

Hallatud krüptovõtme uuesti Microsoft krüptovõtme vastu vahetamine

Microsofti krüptovõtme juurde tagasiminekul konfigureeritakse keskkond tagasi vaikekäitumisele, kus Microsoft haldab krüptovõtit teie eest.

  1. Logige Power Platform halduskeskusesse sisse, kasutades keskkonnaadministraatori või süsteemiadministraatori rolli mandaati.
  2. Valige vahekaart Keskkonnad ja seejärel valige keskkond, mida krüptitakse isehallatava võtmega.
  3. Valige suvand Kuva kõik.
  4. Valige jaotises Keskkonna krüptimine käsk Halda ja seejärel valige käsk Kinnita.
  5. Valige suvandis Naase standardse krüptimise haldamise juurde käsk Naase.
  6. Tootmiskeskkondade puhul kinnitage keskkond, sisestades keskkonna nime.
  7. Standardse krüptovõtmega haldamise juurde naasmiseks valige käsk Kinnita.

Rentniku lukustamine

Kuna rentniku kohta on ainult üks aktiivne võti, keelab rentniku krüptimise lukustamine kõik selle rentniku keskkonad. Kõik lukustatud keskkonnad jäävad kõigile juurdepääsmatuks (sh Microsoft), kuni Power Platform'i teenuse administraator avab selle lukust võtme abil, mida kasutati selle lukustamiseks.

Hoiatus

Rentniku keskkondade lukustamine ei tohiks kunagi olla tavapärase äriprotsessi osa. Kui lukustate teenuse Dataverse rentniku, jäävad kõik keskkonnad täiesti võrguõhenduseta ja neile ei pääse keegi ligi, sh Microsoft. Lisaks seisatatakse kõik teenused, nagu sünkroonimine ja hooldus. Kui otsustate teenusest lahkuda, võite rentniku lukustamisega kindlustada, et võrgus olevatele andmetele ei pääse keegi kunagi ligi.
Võtke arvesse järgmist rentniku keskkondade lukustamise kohta.

  • Lukustatud keskkondi ei saa varundusest taastada.
  • Lukustatud keskkonnad kustutatakse, kui neid ei vabastata lukustusest 28 päeva jooksul.
  • Keskkondi ei saa lukustada 72 tunni jooksul pärast krüptovõtme muutmist.
  • Rentniku lukustamine lukustab kõik aktiivsed keskkonnad rentnikus.

Oluline

  • Pärast aktiivse keskkonna lukustamist peate ootama vähemalt ühe tunni, enne kui saate seda lukust vabastada.
  • Kui lukustusprotsess algab, kustutatakse kõik krüptovõtmed kas olekuga aktiivne või saadaval. Lukustusprotsessiks võib kuluda kuni tund aega ja sellel ajal ei lubata lukustatud keskkondade lukust vabastamist.
  1. Logige sisse Power Platform administreerimiskeskusesse administraatorina (Dynamics 365 administraator, globaalne administraator või Microsoft Power Platform administraator).
  2. Valige vahekaart Keskkonnad ja seejärel valige käsuribalt suvand Krüptovõtmete haldamine.
  3. Valige võti olekuga Aktiivne ja seejärel valige suvand Lukusta aktiivsed keskkonnad.
  4. Valige parempoolselt paanilt suvand Aktiivse võtme üleslaadimine, otsige ja valige võti, sisestage parool ja seejärel valige käsk Lukusta.
  5. Kui kuvatakse viip, sisestage tekst, mida kuvatakse kuvaril, et kinnitada, et soovite lukustada kõik piirkonna keskkonnad, ja seejärel valige käsk Kinnita.

Lukustatud keskkondade lukust vabastamine

Keskkondade lukust vabastamiseks peate esmalt üles laadima ja seejärel aktiveerima rentniku krüptovõtme sama võtmega, mida kasutati rentniku lukustamiseks. Pange tähele, et lukustatud keskkondade lukustust ei vabastata automaatselt, kui võti aktiveeritakse. Iga lukustatud keskkond tuleb eraldi lukustusest vabastada.

Oluline

  • Pärast aktiivse keskkonna lukustamist peate ootama vähemalt ühe tunni, enne kui saate seda lukust vabastada.
  • Lukustusest vabastamise protsess võib kesta kuni tund aega. Kui võti on lukust vabastatud, saate seda kasutada keskkonna krüptimise haldamiseks.
  • Te ei saa luua uut ega üles laadida olemasolevat võtit, kuni kõik keskkonnad on lukust vabastatud.
Krüptovõtme lukustusest vabastamine
  1. Logige sisse Power Platform administreerimiskeskusesse administraatorina (Dynamics 365 administraator, globaalne administraator või Microsoft Power Platform administraator).
  2. Valige vahekaart Keskkonnad ja seejärel valige suvand Krüptovõtmete haldamine.
  3. Valige võti, mille olek on Lukus ja seejärel valige käsuribalt käsk Vabasta võti lukustusest.
  4. Valige suvand Laadi üles lukustatud võti, leidke ja valige võti, mida kasutati rentniku lukustamiseks, sisestage parool ja seejärel valige käsk Vabasta lukustusest. Võti läheb olekusse Installimine. Peate ootama, kuni võti on olekus Aktiivne, enne kui saate lukustatud keskkondi lukustusest vabastada.
  5. Keskkonna lukustusest vabastamise kohta vaadake järgmisest jaotisest.
Keskkondade lukustusest vabastamine

  1. Valige vahekaart Keskkonnad ja seejärel valige lukustatud keskkonna nimi.

    Jootraha

    Ärge valige rida. Valige keskkonna nimi. Seadete vaatamiseks avatud keskkond.

  2. Valige jaotisest Üksikasjad käsk Kuva kõik, et kuvada paremal pool paneeli Üksikasjad.

  3. Valige paani Üksikasjad jaotises Keskkonna krüptimine käsk Halda.

    Keskkond-üksikasjad-paan.

  4. Valige lehelt Keskkonna krüptimine käsk Vabasta lukustusest.

    Avage keskkond.

  5. Valige käsk Kinnita, et kinnitada, et soovite keskkonda lukustusest vabastada.

  6. Teiste keskkondade lukustusest vabastamiseks korrake eelnevaid etappe.

Keskkonna andmebaasi toimingud

Kliendi rentnikul võib olla keskkondi, mis on krüptitud Microsofti hallatava võtmega ja keskkondi, mis on krüptitud kliendi hallatava võtmega. Andmete terviklikkuse ja andmekaitse tagamiseks on keskkonna andmebaasi toimingute haldamisel saadaval järgmised juhtelemendid.

  1. Taastamine Ülekirjutatav keskkond (keskkond, millele taastatakse) peab olema sama keskkond, kust varukoopia oli võetud või mõni muu keskkond, mis on krüptitud sama kliendi hallatava võtmega.

    Taastage varukoopia.

  2. Kopeerimine Ülekirjutatav keskkond (keskkond, kuhu kopeeritakse) peab olema mõni muu keskkond, mis on krüptitud sama kliendi hallatava võtmega.

    Kopeeri keskkond.

    Märkus.

    Kui kliendi hallatava keskkonna tugiteenuse probleemi lahendamiseks loodi toeuuringu keskkond, tuleb toeuuringu keskkonna krüptovõti muuta kliendi hallatavaks enne, kui keskkonna kopeerimise toimingut võib sooritada.

  3. Lähtestamine Keskkonna krüptitud andmed kustutatakse ka varukoopiatest. Pärast keskkonna lähtestamist muutub keskkonna krüptimine tagasi Microsofti hallatavale võtmele.

Vaata ka

SQL Server: läbipaistev andmete krüptimine (TDE)