Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :✅Base de données SQL dans Microsoft Fabric
Important
Cette fonctionnalité est en version préliminaire.
Microsoft Fabric chiffre toutes les données au repos à l’aide de clés gérées par Microsoft. Toutes les données de base de données SQL sont stockées dans des comptes de stockage Azure distants. Pour respecter les exigences de chiffrement au repos à l’aide de clés gérées par Microsoft, chaque compte de stockage Azure utilisé par la base de données SQL est configuré avec le chiffrement côté service activé.
Avec les clés gérées par le client pour les espaces de travail Fabric, vous pouvez utiliser vos clés Azure Key Vault pour ajouter une autre couche de protection aux données de vos espaces de travail Microsoft Fabric, y compris toutes les données de la base de données SQL dans Microsoft Fabric. Une clé gérée par le client offre une plus grande flexibilité, ce qui vous permet de gérer sa rotation, contrôler l’accès et l’audit de l’utilisation. Les clés gérées par le client aident également les organisations à répondre aux besoins de gouvernance des données et à se conformer aux normes de protection et de chiffrement des données.
- Lorsqu’une clé gérée par le client est configurée pour un espace de travail dans Microsoft Fabric, le chiffrement transparent des données est automatiquement activé pour toutes les bases de données SQL (et
tempdb) au sein de cet espace de travail à l’aide de la clé gérée par le client spécifiée. Ce processus est entièrement transparent et ne nécessite aucune intervention manuelle.- Bien que le processus de chiffrement commence automatiquement pour toutes les bases de données SQL existantes, il n’est pas instantané ; la durée dépend de la taille de chaque base de données SQL, avec des bases de données SQL plus volumineuses nécessitant plus de temps pour terminer le chiffrement.
- Une fois la clé gérée par le client configurée, toutes les bases de données SQL créées dans l’espace de travail seront également chiffrées à l’aide de la clé gérée par le client.
- Si la clé gérée par le client est supprimée, le processus de déchiffrement est déclenché pour toutes les bases de données SQL de l’espace de travail. Comme le chiffrement, le déchiffrement dépend également de la taille de la base de données SQL et peut prendre du temps. Une fois déchiffrées, les bases de données SQL reviennent à l’aide de clés gérées par Microsoft pour le chiffrement.
Fonctionnement du chiffrement transparent des données dans une base de données SQL dans Microsoft Fabric
Le chiffrement transparent des données effectue le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions au repos.
- Ce processus se produit au niveau de la page, ce qui signifie que chaque page est déchiffrée lors de la lecture en mémoire et rechiffrée avant d’être réécrite sur le disque.
- Le chiffrement transparent des données sécurise toute la base de données à l’aide d’une clé symétrique appelée clé de chiffrement de base de données (DEK).
- Au démarrage de la base de données, la clé DEK chiffrée est déchiffrée et utilisée par le moteur de base de données SQL Server pour gérer les opérations de chiffrement et de déchiffrement.
- La clé DEK elle-même est protégée par le protecteur transparent de chiffrement des données, qui est une clé asymétrique gérée par le client, en particulier la clé gérée par le client configurée au niveau de l’espace de travail.
Sauvegarde et restauration
Une fois qu’une base de données SQL est chiffrée avec une clé gérée par le client, toutes les sauvegardes nouvellement générées sont également chiffrées avec la même clé.
Lorsque la clé est modifiée, les anciennes sauvegardes de la base de données SQL ne sont pas mises à jour pour utiliser la dernière clé. Pour restaurer une sauvegarde chiffrée avec une clé gérée par le client, assurez-vous que le matériel de clé est disponible dans Azure Key Vault. Par conséquent, nous vous recommandons de conserver toutes les anciennes versions des clés gérées par le client dans Azure Key Vault, afin que les sauvegardes de base de données SQL puissent être restaurées.
Le processus de restauration de base de données SQL respecte toujours le paramètre d’espace de travail de clé gérée par le client. Le tableau ci-dessous présente différents scénarios de restauration basés sur les paramètres de clé gérées par le client et indique si la sauvegarde est chiffrée.
| La sauvegarde est... | Paramètre de l'espace de travail de clé gérée par le client | État du chiffrement après restauration |
|---|---|---|
| Non chiffré | Disabled | La base de données SQL n’est pas chiffrée |
| Non chiffré | Enabled | La base de données SQL est chiffrée avec une clé gérée par le client |
| Chiffré avec une clé gérée par le client | Disabled | La base de données SQL n’est pas chiffrée |
| Chiffré avec une clé gérée par le client | Enabled | La base de données SQL est chiffrée avec une clé gérée par le client |
| Chiffré avec une clé gérée par le client | Activé mais autre clé gérée par le client | La base de données SQL est chiffrée avec la nouvelle clé gérée par le client |
Vérifier la réussite de la clé gérée par le client
Une fois que vous avez activé le chiffrement de clé gérée par le client dans l’espace de travail, la base de données existante sera chiffrée. Une nouvelle base de données dans un espace de travail est également chiffrée lorsque la clé gérée par le client est activée. Pour vérifier si votre base de données est correctement chiffrée, exécutez la requête T-SQL suivante :
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Une base de données est chiffrée si le
encryption_state_descchamp s’afficheENCRYPTEDsousASYMMETRIC_KEYlaencryptor_typeforme . - Si l’état est
ENCRYPTION_IN_PROGRESS, lapercent_completecolonne indique la progression du changement d’état de chiffrement. Cela sera0s’il n’y a aucune modification d’état en cours. - S’il n’est pas chiffré, une base de données n’apparaît pas dans les résultats de la requête de
sys.dm_database_encryption_keys.
Résoudre les problèmes liés à une clé gérée par le client inaccessible
Lorsqu’une clé gérée par le client est configurée pour un espace de travail dans Microsoft Fabric, l’accès continu à la clé est requis pour que la base de données SQL reste en ligne. Si la base de données SQL perd l’accès à la clé dans Azure Key Vault, dans un délai allant jusqu'à 10 minutes, la base de données SQL commence à refuser toutes les connexions et passe à l'état Inaccessible. Les utilisateurs recevront un message d’erreur correspondant, tel que « La base de données <database ID>.database.fabric.microsoft.com n’est pas accessible en raison d’une erreur critique Azure Key Vault ».
- Si l’accès à la clé est restauré dans les 30 minutes, la base de données SQL est automatiquement guérie au cours de l’heure suivante.
- Si l’accès à la clé est restauré après plus de 30 minutes, la réparation automatique de la base de données SQL n’est pas possible. La restauration de la base de données SQL nécessite des étapes supplémentaires et peut prendre un certain temps en fonction de la taille de la base de données SQL.
Pour valider à nouveau la clé gérée par le client, procédez comme suit :
- Dans votre espace de travail, cliquez avec le bouton droit sur la base de données SQL ou dans le
...menu contextuel. Sélectionnez Paramètres. - Sélectionnez Chiffrement (préversion).
- Pour tenter de revalider la clé gérée par le client, sélectionnez le bouton Revalider la clé gérée par le client . Si la revalidation réussit, la restauration de l’accès à votre base de données SQL peut prendre un certain temps.
Note
Lorsque vous revalidez la clé d’une base de données SQL, la clé est automatiquement revalidée pour toutes les bases de données SQL au sein de votre espace de travail.
Limites
Limitations actuelles lors de l’utilisation de la clé gérée par le client pour une base de données SQL dans Microsoft Fabric :
- Les clés de 4 096 bits ne sont pas prises en charge pour la base de données SQL dans la solution Microsoft Fabric. Les longueurs de clé prises en charge sont de 2 048 bits et de 3 072 bits.
- La clé gérée par le client doit être une clé RSA ou RSA-HSM asymétrique.
- Actuellement, le chiffrement de clé gérée par le client est disponible dans les régions suivantes :
- USA Est 2, USA Centre Nord, USA Centre Sud
- Asie : Australie Est, Asie Sud-Est, Émirats Arabes Unis Nord
- Europe : Europe Nord, Europe Ouest