Jaa

Tietojen salaus SQL-tietokannassa Microsoft Fabricissa

Koskee Microsoft Fabricin SQL-tietokantaa

Tärkeää

Tämä ominaisuus on esikatseluvaiheessa.

Microsoft Fabric salaa kaikki lepotilassa olevat tiedot Microsoftin hallinnoimilla avaimilla. Kaikki SQL-tietokantatiedot tallennetaan etätileihin Azure Storage -tileillä. Jotta salauksen lepotilassa -vaatimuksia noudatettaisiin Microsoftin hallinnoimien avainten avulla, jokainen SQL-tietokannan käyttämä Azure Storage -tili on konfiguroitu palvelupuolen salauksella .

Asiakkaan hallinnoimien avainten avulla Fabric-työtiloille voit käyttää Azure Key Vault -avaimiasi lisätäksesi toisen suojakerroksen Microsoft Fabricin työtilojen dataan, mukaan lukien kaikki SQL Fabricin tietokannan tiedot. Asiakkaan hallitsema avain on joustavampi tapa hallita sen kiertoa, käyttöoikeuksia ja käytön valvontaa. Asiakkaan hallinnoimat avaimet auttavat myös organisaatioita täyttämään tiedonhallinnan tarpeet ja noudattamaan tietosuoja- ja salausstandardeja.

  • Kun Microsoft Fabricissa konfiguroidaan asiakkaan hallinnoima avain työtilalle, läpinäkyvä datan salaus otetaan automaattisesti käyttöön kaikille SQL-tietokannoille (ja tempdb) kyseisessä työtilassa käyttäen määriteltyä asiakkaan hallinnoimaa avainta. Tämä prosessi on täysin saumaton eikä vaadi manuaalista puuttumista.
    • Vaikka salausprosessi käynnistyy automaattisesti kaikissa olemassa oleville SQL-tietokannoille, se ei ole välitön; kesto riippuu kunkin SQL-tietokannan koosta, ja suuremmat SQL-tietokannat vaativat enemmän aikaa salauksen suorittamiseen.
    • Kun asiakkaan hallinnoima avain on konfiguroitu, kaikki työtilassa luodut SQL-tietokannat salataan myös asiakkaan hallinnoimalla avaimella.
  • Jos asiakkaan hallinnoima avain poistetaan, purkuprosessi käynnistyy kaikille SQL-tietokannoille työtilassa. Kuten salauksessa, myös salauksen purku riippuu SQL-tietokannan koosta ja voi kestää aikaa. Kun salaus on purettu, SQL-tietokannat palaavat käyttämään Microsoftin hallinnoimia avaimia salaukseen.

Miten läpinäkyvä datan salaus toimii SQL-tietokannassa Microsoft Fabricissa

Läpinäkyvä datan salaus suorittaa reaaliaikaisen salauksen ja purkamisen tietokannasta, siihen liittyvistä varmuuskopioista ja tapahtumalokitiedostoista lepotilassa.

  • Tämä prosessi tapahtuu sivutasolla, eli jokainen sivu puretaan, kun se luetaan muistiin, ja salataan uudelleen ennen kuin se kirjoitetaan takaisin levylle.
  • Läpinäkyvä datasalaus suojaa koko tietokannan symmetrisellä avaimella, joka tunnetaan nimellä Database Encryption Key (DEK).
  • Kun tietokanta käynnistyy, salattu DEK puretaan ja SQL Server -tietokantamoottori käyttää sitä salaus- ja purkutoimintojen hallintaan.
  • DEK itsessään on suojattu läpinäkyvällä datan salaussuojalla, joka on asiakkaan hallinnoima epäsymmetrinen avain – tarkemmin sanottuna asiakkaan hallinnoima avain, joka on konfiguroitu työtilan tasolla.

SQL-tietokannan salauksen kaavio Microsoft Fabricissa.

Varmuuskopiointi ja palautus

Kun SQL-tietokanta on salattu asiakkaan hallinnoimalla avaimella, myös kaikki uudet varmuuskopiot salataan samalla avaimella.

Kun avainta vaihdetaan, vanhoja SQL-tietokannan varmuuskopioita ei päivitetä käyttämään uusinta avainta. Palauttaaksesi varmuuskopion, joka on salattu asiakkaan hallinnoimalla avaimella, varmista, että avainmateriaali on saatavilla Azure Key Vaultissa. Siksi suosittelemme, että asiakkaat säilyttävät kaikki vanhojen asiakkaiden hallinnoimien avainversioiden Azure Key Vaultissa, jotta SQL-tietokantavarmuuskopiot voidaan palauttaa.

SQL-tietokannan palautusprosessi kunnioittaa aina asiakkaan hallinnoimaa avaintyötilan asetusta. Alla oleva taulukko esittelee erilaisia palautusskenaarioita asiakkaan hallinnoiman avainasetusten ja sen perusteella, onko varmuuskopio salattu.

Varajärjestelmä on... Asiakkaan hallinnoima avaintyötilan asetus Salauksen tila palautuksen jälkeen
Ei salattu Vammainen SQL-tietokanta ei ole salattu
Ei salattu Käytössä SQL-tietokanta on salattu asiakkaan hallinnoimalla avaimella
Salattu asiakkaan hallinnoimalla avaimella Vammainen SQL-tietokanta ei ole salattu
Salattu asiakkaan hallinnoimalla avaimella Käytössä SQL-tietokanta on salattu asiakkaan hallinnoimalla avaimella
Salattu asiakkaan hallinnoimalla avaimella Käytössä oleva mutta erilainen asiakashallinnoima avain SQL-tietokanta on salattu uudella asiakkaan hallinnoimalla avaimella

Varmista onnistunut asiakashallinnoima avain

Kun otat käyttöön asiakkaan hallinnoiman avaimen salauksen työtilassa, olemassa oleva tietokanta salataan. Uusi tietokanta työtilassa salataan myös, kun asiakkaan hallinnoima avain on käytössä. Varmistaaksesi tietokantasi onnistuneen salauksen, suorita seuraava T-SQL-kysely:

SELECT DB_NAME(database_id) as DatabaseName, * 
FROM sys.dm_database_encryption_keys 
WHERE database_id <> 2;
  • Tietokanta on salattu, jos kenttä encryption_state_desc näkyy ENCRYPTED muodossa ASYMMETRIC_KEY .encryptor_type
  • Jos tila on ENCRYPTION_IN_PROGRESS, sarake percent_complete osoittaa salaustilan muutoksen etenemisen. Tämä tapahtuu 0 , jos tilan muutosta ei tapahdu.
  • Jos sitä ei ole salattu, tietokanta ei näy kyselytuloksissa .sys.dm_database_encryption_keys

Vianmääritys asiakashallinnoiman avaimen vianmääritys

Kun Microsoft Fabricissa konfiguroidaan asiakkaan hallinnoima avain työtilaan, SQL-tietokannan jatkuva pääsy avaimeen vaaditaan, jotta se pysyy verkossa. Jos SQL-tietokanta menettää pääsyn avaimeen Azure Key Vaultissa, jopa 10 minuutissa SQL-tietokanta alkaa kieltää kaikki yhteydet ja muuttaa tilansa Inaccessiksi. Käyttäjät saavat vastaavan virheilmoituksen, kuten "Tietokanta <database ID>.database.fabric.microsoft.com ei ole käytettävissä Azure Key Vaultin kriittisen virheen vuoksi.".

  • Jos avainkäyttö palautetaan 30 minuutin kuluessa, SQL-tietokanta paranee automaattisesti seuraavan tunnin kuluessa.
  • Jos avainkäyttö palautuu yli 30 minuutin kuluttua, SQL-tietokannan automaattinen parantaminen ei ole mahdollista. SQL-tietokannan palauttaminen vaatii lisävaiheita ja voi viedä huomattavasti aikaa riippuen SQL-tietokannan koosta.

Käytä seuraavia vaiheita asiakkaan hallinnoiman avaimen uudelleenvalidointiin:

  1. Napsauta työtilassa SQL-tietokantaa tai pikavalikkoa hiiren kakkospainikkeella ... . Valitse Asetukset.
  2. Valitse Salaus (esikatselu).
  3. Yrittääksesi asiakkaan hallinnoiman avaimen uudelleenvalidointia, valitse Revalide-asiakashallinnoimien avaimen painike. Jos uudelleenvalidointi onnistuu, SQL-tietokantaan pääsyn palauttaminen voi viedä aikaa.

Note

Kun validoit avaimen uudelleen yhteen SQL-tietokantaan, avain vahvistetaan automaattisesti kaikille SQL-tietokannoille työtilassasi.

Limitations

Nykyiset rajoitukset, kun käytetään asiakkaan hallinnoimaa avainta SQL-tietokannassa Microsoft Fabricissa:

  • 4 096-bittisiä avaimia ei tueta SQL Databasessa Microsoft Fabricissa. Tuetut avaimen pituudet ovat 2 048 bittiä ja 3 072 bittiä.
  • Asiakkaan hallinnoiman avaimen on oltava RSA tai RSA-HSM epäsymmetrinen avain.
  • Tällä hetkellä asiakashallinnoima avainsalaus on saatavilla seuraavilla alueilla:
    • Yhdysvallat: Itä-US 2, Pohjois-Keski-Yhdysvallat, Etelä-Keski-Yhdysvallat
    • Aasia: Australia itä, Kaakkois-Aasia, UAE North
    • Eurooppa: Pohjois-Eurooppa, Länsi-Eurooppa

Liittyvä sisältö

  • Last updated on