Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL Server
Az SQL Server az Extensible Key Management (EKM) szolgáltatással együtt biztosítja az adattitkosítási képességeket a Microsoft Cryptographic API (MSCAPI) szolgáltatójával a titkosításhoz és kulcsgeneráláshoz. Az adatok titkosítási kulcsai és a kulcstitkosítás átmeneti kulcstárolókban jönnek létre, és az adatbázisba való tárolás előtt exportálni kell őket egy szolgáltatóból. Ez a megközelítés lehetővé teszi, hogy az SQL Server kezelje a titkosítási kulcshierarchiát és a kulcs biztonsági mentését tartalmazó kulcskezelést.
A jogszabályi megfelelőség iránti növekvő igény és az adatvédelmet érintő aggodalmak miatt a szervezetek kihasználják a titkosítás előnyeit, hogy "mélységi védelmet" nyújtsanak. Ez a megközelítés gyakran nem praktikus, ha csak adatbázistitkosítási felügyeleti eszközöket használ. A hardvergyártók hardveres biztonsági modulokkal (HSM) kezelik a vállalati kulcskezelést. A HSM-eszközök hardver- vagy szoftvermodulokon tárolják a titkosítási kulcsokat. Ez egy biztonságosabb megoldás, mert a titkosítási kulcsok nincsenek együtt a titkosítási adatokkal.
Számos gyártó kínál HSM-et a kulcskezeléshez és a titkosítás gyorsításához. A HSM-eszközök egy kiszolgálói folyamattal rendelkező hardverfelületeket használnak közvetítőként egy alkalmazás és egy HSM között. A szállítók MSCAPI-szolgáltatókat is implementálnak a moduljaikon keresztül, amelyek hardverek vagy szoftverek lehetnek. Az MSCAPI gyakran csak a HSM által kínált funkciók egy részét kínálja. A szállítók felügyeleti szoftvereket is biztosíthatnak a HSM-hez, a kulcskonfigurációhoz és a kulcshozzáféréshez.
A HSM-implementációk szállítónként eltérőek, és az SQL Serverrel való használatukhoz közös felületre van szükség. Bár az MSCAPI biztosítja ezt a felületet, csak a HSM-funkciók egy részét támogatja. Más korlátozásokkal is rendelkezik, például a szimmetrikus kulcsok natív megőrzésének képtelenségével és a munkamenet-orientált támogatás hiányával.
Az SQL Server bővíthető kulcskezelése lehetővé teszi a külső EKM/HSM-gyártók számára, hogy regisztrálják moduljaikat az SQL Serveren. Regisztráció esetén az SQL Server-felhasználók használhatják az EKM-modulokban tárolt titkosítási kulcsokat. Ez lehetővé teszi, hogy az SQL Server hozzáférjen azokhoz a speciális titkosítási funkciókhoz, amelyeket ezek a modulok támogatnak, például a tömeges titkosítást és a visszafejtést, valamint a kulcskezelési funkciókat, például a kulcsöregedést és a kulcsforgatást.
Az SQL Server Azure-beli virtuális gépeken való futtatásakor az SQL Server az Azure Key Vaultban tárolt kulcsokat használhatja. További információ: Bővíthető kulcskezelés az Azure Key Vault (SQL Server) használatával.
EKM-konfiguráció
A Bővíthető kulcskezelés nem érhető el a Microsoft SQL Server minden kiadásában. Az SQL Server kiadásai által támogatott funkciók listáját az SQL Server 2016-kiadásai által támogatott funkcióktalálja.
Alapértelmezés szerint az Extensible Key Management ki van kapcsolva. A funkció engedélyezéséhez használja a sp_configure parancsot, amely az alábbi beállítással és értékkel rendelkezik, ahogyan az alábbi példában is látható:
sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
Megjegyzés:
Ha a sp_configure parancsot használja ehhez a beállításhoz olyan SQL Server-kiadásokon, amelyek nem támogatják az EKM-et, hibaüzenet jelenik meg.
A funkció letiltásához állítsa az értéket 0 értékre. A kiszolgálóbeállítások beállításáról további információt a sp_configure (Transact-SQL) című témakörben talál.
Az EKM használata
Az SQL Server bővíthető kulcskezelése lehetővé teszi, hogy az adatbázisfájlokat védő titkosítási kulcsok egy nem dobozos eszközön, például intelligens kártyán, USB-eszközön vagy EKM/HSM-modulban legyenek tárolva. Ez lehetővé teszi az adatbázis-rendszergazdák (a sysadmin csoport tagjai kivételével) adatvédelemét is. Az adatok titkosíthatók olyan titkosítási kulcsokkal, amelyekhez csak az adatbázis-felhasználó fér hozzá a külső EKM/HSM modulon.
Az bővíthető kulcskezelés a következő előnyöket is biztosítja:
További engedélyezési ellenőrzés (a vámok elkülönítésének engedélyezése).
Nagyobb teljesítmény hardveralapú titkosításhoz/visszafejtéshez.
Külső titkosítási kulcs létrehozása.
Külső titkosítási kulcs tárolása (az adatok és kulcsok fizikai elkülönítése).
Titkosítási kulcs lekérése.
Külső titkosítási kulcs megőrzése (lehetővé teszi a titkosítási kulcs elforgatását).
A titkosítási kulcs egyszerűbb helyreállítása.
Kezelhető titkosítási kulcsterjesztés.
Biztonságos titkosítási kulcs ártalmatlanítása.
Az Extensible Key Managementet használhatja felhasználónév- és jelszókombinációhoz, vagy az EKM-illesztőprogram által meghatározott egyéb módszerekhez.
Caution
A hibaelhárításhoz előfordulhat, hogy a Microsoft technikai támogatása megköveteli az EKM-szolgáltató titkosítási kulcsát. Előfordulhat, hogy a probléma megoldásához hozzá kell férnie a szállítói eszközökhöz vagy folyamatokhoz.
Hitelesítés EKM-eszközzel
Az EKM-modulok több hitelesítést is támogatnak. Minden szolgáltató csak egy típusú hitelesítést tesz elérhetővé az SQL Server számára, vagyis ha a modul támogatja az alapszintű vagy egyéb hitelesítési típusokat, akkor az egyiket vagy a másikat teszi elérhetővé, de mindkettőt nem.
EKM Device-Specific Egyszerű hitelesítés felhasználónév/jelszó használatával
Azon EKM-modulok esetében, amelyek a felhasználónév/jelszó pár használatával támogatják az alapszintű hitelesítést, az SQL Server transzparens hitelesítést biztosít hitelesítő adatok használatával. A hitelesítő adatokról további információt a Hitelesítő adatok (adatbázismotor) című témakörben talál.
Létrehozhat egy hitelesítő adatot egy EKM-szolgáltató számára, és leképezhető egy bejelentkezésre (Windows- és SQL Server-fiókokra is), hogy bejelentkezési alapon hozzáférjen egy EKM-modulhoz. A hitelesítő adatok identitásmezője tartalmazza a felhasználónevet; A titkos kód mező egy EKM-modulhoz való csatlakozáshoz használt jelszót tartalmaz.
Ha az EKM-szolgáltatóhoz nem tartozik bejelentkezési hitelesítő adat, a rendszer az SQL Server szolgáltatásfiókhoz leképezett hitelesítő adatokat használja.
A bejelentkezéshez több hitelesítő adat is leképezhető, feltéve, hogy megkülönböztető EKM-szolgáltatókhoz használják őket. Bejelentkezésenként EKM-szolgáltatónként csak egy leképezett hitelesítő adat lehet. Ugyanez a hitelesítő adat leképezhető más bejelentkezésekre is.
Az EKM-Device-Specific hitelesítés egyéb típusai
A Windowstól vagy a felhasználó/jelszó kombinációtól eltérő hitelesítésű EKM-modulok esetében a hitelesítést az SQL Servertől függetlenül kell elvégezni.
Titkosítás és visszafejtés EKM-eszközzel
A következő függvényekkel és funkciókkal titkosíthatja és visszafejtheti az adatokat szimmetrikus és aszimmetrikus kulcsokkal:
| Funkció vagy jellemző | Reference |
|---|---|
| Szimmetrikus kulcstitkosítás | SZIMMETRIKUS KULCS LÉTREHOZÁSA (Transact-SQL) |
| Aszimmetrikus kulcstitkosítás | ASZIMMETRIKUS KULCS LÉTREHOZÁSA (Transact-SQL) |
| EncryptByKey(key_guid, "cleartext", ...) | ENCRYPTBYKEY (Transact-SQL) |
| DecryptByKey(ciphertext, ...) | DECRYPTBYKEY (Transact-SQL) |
| EncryptByAsmKey(key_guid, 'titkosítatlan szöveg') | ENCRYPTBYASYMKEY (Transact-SQL) |
| DecryptByAsmKey(ciphertext) | DECRYPTBYASYMKEY (Transact-SQL) |
Adatbáziskulcsok titkosítása EKM-kulcsokkal
Az SQL Server EKM-kulcsokkal titkosíthat más kulcsokat az adatbázisban. Az EKM-eszközön szimmetrikus és aszimmetrikus kulcsokat is létrehozhat és használhat. A natív (nem EKM) szimmetrikus kulcsokat EKM aszimmetrikus kulcsokkal titkosíthatja.
Az alábbi példa egy adatbázis szimmetrikus kulcsát hozza létre, és egy EKM-modul kulcsával titkosítja.
CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1
Az SQL Server adatbázis- és kiszolgálókulcsairól további információt az SQL Server és az adatbázis-titkosítási kulcsok (adatbázismotor) című témakörben talál.
Megjegyzés:
Nem titkosíthat egy EKM-kulcsot egy másik EKM-kulccsal.
Az SQL Server nem támogatja az EKM-szolgáltatótól létrehozott aszimmetrikus kulcsokkal rendelkező aláíró modulokat.
Kapcsolódó tevékenységek
EKM-szolgáltató által engedélyezett kiszolgálókonfigurációs beállítás
TDE engedélyezése AZ SQL Serveren AZ EKM használatával
Bővíthető kulcskezelés az Azure Key Vault (SQL Server) használatával
Lásd még:
KRIPTOGRÁFIAI SZOLGÁLTATÓ LÉTREHOZÁSA (Transact-SQL)
DROP CRYPTOGRAPHIC PROVIDER (Transact-SQL)
ALTER CRYPTOGRAPHIC PROVIDER (Transact-SQL)
sys.cryptographic_providers (Transact-SQL)
sys.dm_cryptographic_provider_sessions (Transact-SQL)
sys.dm_cryptographic_provider_properties (Transact-SQL)
sys.dm_cryptographic_provider_algorithms (Transact-SQL)
sys.dm_cryptographic_provider_keys (Transact-SQL)
sys.credentials (Transact-SQL)
HITELESÍTŐ ADATOK LÉTREHOZÁSA (Transact-SQL)
ALTER LOGIN (Transact-SQL)
ASZIMMETRIKUS KULCS LÉTREHOZÁSA (Transact-SQL)
ALTER ASZIMMETRIKUS KULCS (Transact-SQL)
DROP ASZIMMETRIKUS KULCS (Transact-SQL)
SZIMMETRIKUS KULCS LÉTREHOZÁSA (Transact-SQL)
ALTER SZIMMETRIKUS KULCS (Transact-SQL)
SZIMMETRIKUS BILLENTYŰ (Transact-SQL)
NYISD MEG A SZIMMETRIKUS KULCSOT (Transact-SQL)
Reporting Services titkosítási kulcsok biztonsági mentése és visszaállítása
Titkosítási kulcsok törlése és újbóli létrehozása (SSRS Configuration Manager)
Titkosítási kulcsok hozzáadása és eltávolítása Scale-Out központi telepítéshez (SSRS Configuration Manager)
A szolgáltatás főkulcsának biztonsági mentése
A szolgáltatás főkulcsának visszaállítása
Adatbázis főkulcsának létrehozása
Adatbázis főkulcsának biztonsági mentése
Adatbázis főkulcsának visszaállítása
Azonos szimmetrikus kulcsok létrehozása két kiszolgálón