Opérer la rotation du protecteur Transparent Data Encryption (TDE)

S’applique à :Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (pool SQL dédié uniquement)

Cet article décrit la rotation des clés pour un serveur à l’aide d’un protecteur TDE d’Azure Key Vault. La rotation du protecteur TDE logique pour un serveur désigne le passage à une nouvelle clé asymétrique qui protège les bases de données sur le serveur. La rotation des clés est une opération en ligne et ne doit prendre que quelques secondes, car elle ne déchiffre et rechiffre que la clé de chiffrement des données de la base de données, et non la base de données entière.

Cet article décrit les méthodes automatisées et manuelles pour opérer la rotation du TDE sur le serveur.

Aspects importants à prendre en considération lors de la rotation du protecteur TDE

• Lorsque le protecteur TDE fait l’objet d’une modification ou d’une rotation, les anciennes sauvegardes de la base de données, y compris les fichiers journaux sauvegardés, ne sont pas mises à jour pour l’utiliser le dernier protecteur TDE. Pour restaurer une sauvegarde chiffrée avec un protecteur TDE de Key Vault, assurez-vous que le matériel de clé est toujours est disponible pour le serveur cible. Par conséquent, nous vous recommandons de conserver toutes les anciennes versions du protecteur TDE dans Azure Key Vault (AKV), afin que toutes les sauvegardes de base de données puissent être restaurées.
• Même lors du passage d’une clé gérée par le client (CMK) à une clé gérée par le service, conservez toutes les clés précédemment utilisées dans AKV. Cela garantit la restauration possible des sauvegardes de base de données, y compris les fichiers journaux de sauvegardes, avec les protecteurs TDE stockés dans AKV.
• Hormis les anciennes sauvegardes, les fichiers journaux de transactions peuvent également nécessiter l’accès à l’ancien protecteur TDE. Pour déterminer s’il existe des journaux restants qui requièrent toujours l’ancienne clé, après avoir effectué la rotation des clés, utilisez la vue de gestion dynamique (DMV) sys.dm_db_log_info. Cette DMV retourne des informations sur le fichier journal virtuel (VLF) du journal de transactions avec son empreinte numérique de clé de chiffrement du VLF.
• Les anciennes clés doivent être conservées dans AKV et disponibles sur le serveur en fonction de la période de rétention de sauvegarde configurée comme fond des stratégies de rétention de sauvegarde sur la base de données. Cela permet de garantir que toutes les sauvegardes de rétention à long terme (LTR) sur le serveur peuvent toujours être restaurées à l’aide des clés plus anciennes.

Notes

Un pool SQL dédié mis en pause dans Azure Synapse Analytics doit reprendre avant les rotations de clés.

Cet article s’applique aux pools SQL dédiés (anciennement SQL DW) Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics. Pour accéder à de la documentation sur TDE pour les pools SQL dédiés à l’intérieur d’espaces de travail Synapse, consultez Chiffrement Azure Synapse Analytics.

Important

Ne supprimez pas les versions précédentes de la clé après une substitution. Lorsque les clés sont substituées, certaines données sont toujours chiffrées avec les clés précédentes, comme les anciennes sauvegardes de base de données, les fichiers journaux de sauvegardes et de transactions.

Prérequis

• Ce guide pratique part du principe que vous utilisez déjà une clé Azure Key Vault comme protecteur TDE pour Azure SQL Database ou Azure Synapse Analytics. Consultez Transparent Data Encryption avec prise en charge de BYOK.
• Azure PowerShell doit être installé et en cours d’exécution.

Conseil

Recommandé mais facultatif - Commencez par créer le matériel de clé pour le protecteur TDE dans un module de sécurité matériel (HSM) ou le magasin de clés local, puis importez le matériel de clé dans Azure Key Vault. Suivez le instructions sur l’utilisation d’un module de sécurité matériel (HSM) et Key Vault pour en savoir plus.

Portail

Accédez au Portail Azure.

PowerShell

Pour des instructions d’installation du module Az PowerShell, consultez Installer Azure PowerShell. Pour des applets de commande spécifiques, consultez AzureRM.Sql. Utilisez le nouveau module Az Azure PowerShell.

L’interface de ligne de commande Microsoft Azure

Pour l’installation, consultez Installer l’interface de ligne de commande Azure.

Rotation des clés automatique

La rotation automatique du protecteur TDE peut être activée lors de la configuration du protecteur TDE pour le serveur ou la base de données, à partir du portail Azure ou en utilisant les commandes PowerShell ou Azure CLI ci-dessous. Quand elle est activée, le serveur ou la base de données vérifie en permanence le coffre de clés pour toute nouvelle version de la clé utilisée comme protecteur TDE. Si une nouvelle version de la clé est détectée, le protecteur TDE sur le serveur ou la base de données fait automatiquement l’objet d’une rotation vers la dernière version de la clé dans les 24 heures.

Une rotation automatique dans un serveur, une base de données ou une Managed Instance peut être utilisée avec une rotation des clés automatique dans Azure Key Vault pour permettre une rotation sans contact de bout en bout des clés TDE.

Remarque

Si la géoréplication est configurée pour le serveur ou l’instance gérée, avant d’activer la rotation automatique, il convient de suivre certaines directives supplémentaires décrites ici.

Portail

À l’aide du Portail Azure :

1. Accédez à la section Transparent Data Encryption pour un serveur existant ou une instance managée.
2. Sélectionnez l’option Clé gérée par le client, puis choisissez le coffre de clés et la clé à utiliser comme protecteur TDE.
3. Activez la case à cocher Rotation automatique de la clé.
4. Sélectionnez Enregistrer.

PowerShell

Pour des instructions d’installation du module Az PowerShell, consultez Installer Azure PowerShell. Pour des applets de commande spécifiques, consultez AzureRM.Sql.

Pour activer la rotation automatique pour le protecteur TDE à l’aide de PowerShell, consultez le script suivant. La valeur <keyVaultKeyId> peut être récupérée à partir de Key Vault.

Azure SQL Database

Utilisez la commande Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Azure SQL Managed Instance

Utilisez la commande Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

L’interface de ligne de commande Microsoft Azure

Pour plus d’informations sur l’installation de la version actuelle d’Azure CLI, consultez Installer Azure CLI.

Pour activer la rotation automatique pour le protecteur TDE à l’aide d’Azure CLI, consultez le script suivant.

Azure SQL Database

Utilisez la commande az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Azure SQL Managed Instance

Utilisez la commande az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Rotation automatique des clés au niveau de la base de données

La rotation automatique des clés peut également être activée au niveau de la base de données pour Azure SQL Database. Cela est utile lorsque vous souhaitez activer la rotation automatique des clés pour une seule base de données ou un sous-ensemble de bases de données sur un serveur. Pour plus d’informations, consultez Gestion des identités et des clés pour TDE avec des clés gérées par le client au niveau de la base de données.

Portail

Pour des informations concernant le Portail Azure et la configuration de la rotation automatique des clés au niveau de la base de données, consultez Mettre à jour une Azure SQL Database existante avec des clés gérées par le client au niveau de la base de données.

PowerShell

Pour activer la rotation automatique pour le protecteur TDE au niveau de la base de données à l’aide de PowerShell, consultez la commande suivante. Utilisez le paramètre -EncryptionProtectorAutoRotation et définissez-le sur $true pour activer la rotation automatique des clés ou sur $false pour désactiver la rotation automatique des clés.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

L’interface de ligne de commande Microsoft Azure

Pour activer la rotation automatique pour le protecteur TDE au niveau de la base de données à l’aide d’Azure CLI, consultez la commande suivante. Utilisez le paramètre --encryption-protector-auto-rotation et définissez-le sur True pour activer la rotation automatique des clés ou sur False pour désactiver la rotation automatique des clés.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Rotation automatique des clés pour les configurations de géoréplication

Dans une configuration de géoréplication Azure SQL Database où le serveur principal est configuré pour utiliser TDE avec CMK, le serveur secondaire doit également être configuré pour activer TDE avec CMK avec la même clé que celle utilisée sur le serveur principal.

Portail

À l’aide du Portail Azure :

1. Accédez à la section Transparent Data Encryption du serveur principal.

2. Sélectionnez l’option Clé gérée par le client, puis choisissez le coffre de clés et la clé à utiliser comme protecteur TDE.

3. Activez la case à cocher Rotation automatique de la clé.

4. Sélectionnez Enregistrer.

   

5. Accédez à la section Transparent Data Encryption du serveur secondaire.

6. Sélectionnez l’option Clé gérée par le client, puis choisissez le coffre de clés et la clé à utiliser comme protecteur TDE. Utilisez la même clé que celle utilisée pour le serveur principal.

7. Décochez Faire de cette clé le protecteur TDE par défaut.

8. Sélectionnez Enregistrer.

   

Lorsque la clé est changée par rotation sur le serveur principal, elle est automatiquement transférée vers le serveur secondaire.

PowerShell

La valeur <keyVaultKeyId> peut être récupérée à partir de Key Vault.

1. Utilisez la commande Add-AzSqlServerKeyVaultKey pour ajouter une nouvelle clé au serveur secondaire.

   # add the key from Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Ajoutez la même clé de la première étape au serveur principal.

   # add the key from Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Utilisez Set-AzSqlInstanceTransparentDataEncryptionProtector pour définir la clé comme protecteur principal sur le serveur principal avec la rotation automatique des clés définie sur true.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Effectuez la rotation de la clé du coffre de clés dans Key Vault en utilisant les commandes Get-AzKeyVaultKey et Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Vérifiez si les serveurs SQL Server (principal et secondaire) ont la nouvelle clé ou version de clé :

   Notes

   L’application de la rotation des clés sur les serveurs peut prendre jusqu’à une heure. Attendez au moins une heure avant d’exécuter cette commande.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Utiliser des clés différentes pour chaque serveur

Il est possible de configurer les serveurs principal et secondaire avec une clé de coffre de clés différente lors de la configuration de TDE avec CMK dans le portail Azure. Il n’est pas obligatoire que, dans le portail Azure, la clé utilisée pour protéger le serveur principal soit également celle qui protège la base de données primaire ayant été répliquée sur le serveur secondaire. Vous pouvez utiliser PowerShell, Azure CLI ou les API REST pour obtenir des détails sur les clés utilisées sur le serveur. Cela montre que les clés utilisées après la rotation automatique sont transférées du serveur principal vers le serveur secondaire.

Voici un exemple d’utilisation des commandes PowerShell pour examiner les clés qui sont transférées du serveur principal vers le serveur secondaire après la rotation des clés.

1. Exécutez la commande suivante sur le serveur principal pour afficher les détails des clés d’un serveur :

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Vous devez obtenir des résultats similaires à ceux-ci :

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Exécutez la même commande Get-AzSqlServerKeyVaultKey sur le serveur secondaire :

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Si le serveur secondaire a un protecteur TDE par défaut qui utilise une clé différente de celle du serveur principal, vous voyez normalement au moins deux clés. La première clé est le protecteur TDE par défaut, et la deuxième clé est la clé utilisée sur le serveur principal pour protéger la base de données répliquée.

5. Lorsque la clé est changée par rotation sur le serveur principal, elle est automatiquement transférée vers le serveur secondaire. Si vous réexécutez la commande Get-AzSqlServerKeyVaultKey sur le serveur principal, vous voyez deux clés. La première clé est la clé d’origine. La deuxième clé est la clé actuellement utilisée qui a été générée par le processus de rotation des clés.

6. L’exécution de la commande Get-AzSqlServerKeyVaultKey sur le serveur secondaire doit également afficher les mêmes clés que celles utilisées sur le serveur principal. Cela confirme le fait que les clés, après leur rotation sur le serveur principal, sont automatiquement transférées vers le serveur secondaire et utilisées pour protéger la base de données répliquée.

Rotation des clés manuelle

La rotation des clés manuelle utilise les commandes suivantes pour ajouter une nouvelle clé, sous un nouveau nom de clé voire dans un autre coffre de clés. L’utilisation de cette approche prend en charge l’ajout de la même clé à différents coffres de clés afin de prendre en charge les scénarios de haute disponibilité et de géo-reprise. La rotation des clés manuelle peut également être opérée à l’aide du portail Azure.

Avec une rotation des clés manuelle, quand une nouvelle version de clé est générée dans le coffre de clés (manuellement ou via une stratégie de rotation des clés automatique dans le coffre de clés), elle doit être définie manuellement en tant que protecteur TDE sur le serveur.

Notes

La longueur combinée du nom du coffre de clés et du nom de la clé ne peut pas dépasser 94 caractères.

Portail

À l’aide du portail Azure :

1. Accédez au menu Transparent Data Encryption pour un serveur existant ou une instance managée.
2. Sélectionnez l’option Clé gérée par le client, puis choisissez le coffre de clés et la clé à utiliser comme nouveau protecteur TDE.
3. Sélectionnez Enregistrer.

PowerShell

Utilisez la commande Add-AzKeyVaultKey pour ajouter une nouvelle clé au coffre de clés.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Pour Azure SQL Database, utilisez :

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Pour Azure SQL Managed Instance, utilisez :

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

L’interface de ligne de commande Microsoft Azure

Utilisez la commande az keyvault key create pour ajouter une nouvelle clé au coffre de clés.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Pour Azure SQL Database, utilisez :

• az sql server key create
• az sql server tde-key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Pour Azure SQL Managed Instance, utilisez :

• az sql mi key create
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Basculer le mode du protecteur TDE

Portail

En utilisant le portail Azure pour basculer le protecteur TDE du mode géré par Microsoft au mode BYOK :

1. Accédez au menu Transparent Data Encryption pour un serveur existant ou une instance managée.
2. Sélectionnez l’option Clé gérée par le client.
3. Sélectionnez le coffre de clés et la clé à utiliser comme protecteur TDE.
4. Sélectionnez Enregistrer.

PowerShell

Azure SQL Database

• Pour faire passer le protecteur TDE du mode managé par Microsoft au mode BYOK, utilisez la commande Set-AzSqlServerTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Pour faire passer le protecteur TDE du mode BYOK au mode managé par Microsoft, utilisez la commande Set-AzSqlServerTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Azure SQL Managed Instance

• Pour faire passer le protecteur TDE du mode managé par Microsoft au mode BYOK, utilisez la commande Set-AzSqlInstanceTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Pour faire passer le protecteur TDE du mode BYOK au mode managé par Microsoft, utilisez la commande Set-AzSqlInstanceTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

L’interface de ligne de commande Microsoft Azure

Azure SQL Database

Les exemples suivants utilisent az sql server tde-key set.

• Pour basculer le protecteur TDE du mode géré par Microsoft au mode BYOK :

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Pour basculer le protecteur TDE du mode BYOK au mode géré par Microsoft :

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Azure SQL Managed Instance

Les exemples suivants utilisent az sql mi tde-key set.

• Pour basculer le protecteur TDE du mode géré par Microsoft au mode BYOK :

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Pour basculer le protecteur TDE du mode BYOK au mode géré par Microsoft :

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Contenu connexe

• Si vous faites face à un risque de sécurité, découvrez comment supprimer un protecteur TDE potentiellement compromis : Supprimer une clé potentiellement compromise.

• Prise en main de l’intégration d’Azure Key Vault et de la prise en charge Bring Your Own Key pour TDE : Activer TDE à l’aide de votre propre clé Key Vault à l’aide de PowerShell.