A Transzparens adattitkosítási (TDE) védő elforgatása

A következőkre vonatkozik: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Ez a cikk az Azure Key Vault TDE-védőt használó kiszolgálók kulcsrotálását ismerteti. A kiszolgáló logikai TDE-védőjének elforgatása azt jelenti, hogy egy új aszimmetrikus kulcsra vált, amely védi a kiszolgálón lévő adatbázisokat. A kulcsrotálás egy online művelet, amely csak néhány másodpercet vesz igénybe, mivel ez csak az adatbázis adattitkosítási kulcsát fejti vissza és titkosítja újra, nem pedig a teljes adatbázist.

Ez a cikk a TDE-védő kiszolgálón történő elforgatására szolgáló automatizált és manuális módszereket is ismerteti.

Fontos szempontok a TDE-védő elforgatásakor

  • A TDE-védő módosításakor/elforgatásakor az adatbázis régi biztonsági másolatai, beleértve a biztonsági mentési naplófájlokat, nem frissülnek a legújabb TDE-védő használatára. Ha TDE-védővel titkosított biztonsági másolatot szeretne visszaállítani Key Vault, győződjön meg arról, hogy a kulcsanyag elérhető a célkiszolgáló számára. Ezért azt javasoljuk, hogy tartsa meg a TDE-védő összes régi verzióját az Azure Key Vault (AKV) rendszerben, hogy az adatbázis biztonsági másolatai visszaállíthatók legyenek.
  • Még ha ügyfél által felügyelt kulcsról (CMK)-ról szolgáltatás által kezelt kulcsra is vált, tartsa meg az összes korábban használt kulcsot az AKV-ban. Ez biztosítja, hogy az adatbázis biztonsági másolatai, beleértve a biztonsági mentési naplófájlokat is, visszaállíthatók az AKV-ban tárolt TDE-védőkkel.
  • A régi biztonsági mentéseken kívül a tranzakciónapló-fájlokhoz is hozzá kell férni a régebbi TDE-védőhöz. Annak megállapításához, hogy vannak-e még olyan naplók, amelyek továbbra is a régebbi kulcsot igénylik, a kulcsrotálás végrehajtása után használja a sys.dm_db_log_info dinamikus felügyeleti nézetet (DMV). Ez a DMV adatokat ad vissza a tranzakciónapló virtuális naplófájljáról (VLF), valamint a VLF titkosítási kulcsának ujjlenyomatáról.
  • A régebbi kulcsokat meg kell őrizni az AKV-ban, és elérhetővé kell tenni a kiszolgáló számára az adatbázis biztonsági mentési megőrzési szabályzatainak hátoldalaként konfigurált biztonsági mentési megőrzési időszak alapján. Ez segít biztosítani, hogy a kiszolgálón a hosszú távú megőrzési (LTR) biztonsági másolatok továbbra is visszaállíthatók legyenek a régebbi kulcsokkal.

Megjegyzés

A Azure Synapse Analytics szüneteltetett dedikált SQL-készletét a kulcsrotálás előtt újra kell folytatni.

Ez a cikk az Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics dedikált SQL-készletekre (korábbi nevén SQL DW) vonatkozik. A Synapse-munkaterületeken belüli dedikált SQL-készletek transzparens adattitkosításának (TDE) dokumentációját lásd: Azure Synapse Analytics-titkosítás.

Fontos

Váltás után ne törölje a kulcs korábbi verzióit. A kulcsok átvitelekor egyes adatok továbbra is titkosítva lesznek az előző kulcsokkal, például a régebbi adatbázis-biztonsági másolatokkal, a biztonsági másolatokkal rendelkező naplófájlokkal és a tranzakciós naplófájlokkal.

Előfeltételek

  • Ez az útmutató feltételezi, hogy már az Azure Key Vault egyik kulcsát használja az Azure SQL Database vagy Azure Synapse Analytics TDE-védőjeként. Lásd: Transzparens adattitkosítás BYOK-támogatással.
  • Telepítenie és futtatnia kell Azure PowerShell.

Tipp

Ajánlott, de nem kötelező – először hozza létre a TDE-védő kulcsanyagát egy hardveres biztonsági modulban (HSM) vagy a helyi kulcstárolóban, majd importálja a kulcsanyagot az Azure Key Vault. További információért kövesse a hardveres biztonsági modul (HSM) és a Key Vault használatára vonatkozó utasításokat.

Nyissa meg az Azure Portalt

Automatikus kulcsrotálás

A TDE-védő automatikus elforgatása engedélyezhető a TDE-védő kiszolgálóhoz való konfigurálásakor, a Azure Portal vagy az alábbi PowerShell- vagy Azure CLI-parancsokkal. Ha engedélyezve van, a kiszolgáló folyamatosan ellenőrzi a kulcstartót a TDE-védőként használt kulcs új verzióihoz. Ha a rendszer a kulcs új verzióját észleli, a TDE-védő 60 percen belül automatikusan a legújabb kulcsverzióra vált.

A kiszolgálók vagy felügyelt példányok automatikus rotációja automatikus kulcsrotálással használható az Azure Key Vault a TDE-kulcsok végpontok közötti érintéses elforgatásának engedélyezéséhez.

Megjegyzés

Ha a kiszolgáló vagy a felügyelt példány georeplikációt konfigurált, az automatikus rotálás engedélyezése előtt további irányelveket kell követni az itt leírtak szerint.

Az Azure Portal használatával:

  1. Keresse meg a transzparens adattitkosítás szakaszt egy meglévő kiszolgálóhoz vagy felügyelt példányhoz.
  2. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.
  3. Jelölje be az Automatikus elforgatás gomb jelölőnégyzetet.
  4. Válassza a Mentés lehetőséget.

Képernyőkép a transzparens adattitkosítás kulcskonfigurációjának automatikus elforgatásáról.

Manuális kulcsrotálás

A manuális kulcsrotálás az alábbi parancsokkal ad hozzá egy új kulcsot, amely egy új kulcsnév vagy akár egy másik kulcstartó alatt is lehet. Ez a megközelítés támogatja ugyanazt a kulcsot a különböző kulcstartókhoz való hozzáadását a magas rendelkezésre állás és a georedundáns forgatókönyvek támogatásához. A manuális kulcsrotálás a Azure Portal is elvégezhető.

Manuális kulcsrotálás esetén, ha új kulcsverzió jön létre a kulcstartóban (manuálisan vagy a kulcstartó automatikus kulcsrotálási szabályzatával), ugyanezt manuálisan kell beállítani, mint a kiszolgálón lévő TDE-védőt.

Megjegyzés

A kulcstartó és a kulcsnév együttes hossza nem haladhatja meg a 94 karaktert.

Az Azure Portal használatával:

  1. Keresse meg egy meglévő kiszolgáló vagy felügyelt példány transzparens adattitkosítási menüjét.
  2. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki az új TDE-védőként használni kívánt kulcstartót és kulcsot.
  3. Válassza a Mentés lehetőséget.

Képernyőkép a transzparens adattitkosítás kulcskonfigurációjának manuális elforgatásáról.

TDE-védő üzemmód váltása

A Azure Portal használatával váltson a TDE-védőre a Microsoft által felügyeltről a BYOK módra:

  1. Keresse meg egy meglévő kiszolgáló vagy felügyelt példány transzparens adattitkosítási menüjét.
  2. Válassza az Ügyfél által felügyelt kulcs lehetőséget.
  3. Válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.
  4. Válassza a Mentés lehetőséget.

Következő lépések