A Transzparens adattitkosítási (TDE) védő elforgatása

A következőkre vonatkozik: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Ez a cikk az Azure Key Vault TDE-védőt használó kiszolgálók kulcsrotálását ismerteti. A kiszolgáló logikai TDE-védőjének elforgatása azt jelenti, hogy egy új aszimmetrikus kulcsra vált, amely védi a kiszolgálón lévő adatbázisokat. A kulcsrotálás egy online művelet, amely csak néhány másodpercet vesz igénybe, mivel ez csak az adatbázis adattitkosítási kulcsát fejti vissza és titkosítja újra, nem pedig a teljes adatbázist.

Ez a cikk a TDE-védő kiszolgálón történő elforgatására szolgáló automatizált és manuális módszereket is ismerteti.

Fontos szempontok a TDE-védő elforgatásakor

• A TDE-védő módosításakor/elforgatásakor az adatbázis régi biztonsági másolatai, beleértve a biztonsági mentési naplófájlokat, nem frissülnek a legújabb TDE-védő használatára. Ha TDE-védővel titkosított biztonsági másolatot szeretne visszaállítani Key Vault, győződjön meg arról, hogy a kulcsanyag elérhető a célkiszolgáló számára. Ezért azt javasoljuk, hogy tartsa meg a TDE-védő összes régi verzióját az Azure Key Vault (AKV) rendszerben, hogy az adatbázis biztonsági másolatai visszaállíthatók legyenek.
• Még ha ügyfél által felügyelt kulcsról (CMK)-ról szolgáltatás által kezelt kulcsra is vált, tartsa meg az összes korábban használt kulcsot az AKV-ban. Ez biztosítja, hogy az adatbázis biztonsági másolatai, beleértve a biztonsági mentési naplófájlokat is, visszaállíthatók az AKV-ban tárolt TDE-védőkkel.
• A régi biztonsági mentéseken kívül a tranzakciónapló-fájlokhoz is hozzá kell férni a régebbi TDE-védőhöz. Annak megállapításához, hogy vannak-e még olyan naplók, amelyek továbbra is a régebbi kulcsot igénylik, a kulcsrotálás végrehajtása után használja a sys.dm_db_log_info dinamikus felügyeleti nézetet (DMV). Ez a DMV adatokat ad vissza a tranzakciónapló virtuális naplófájljáról (VLF), valamint a VLF titkosítási kulcsának ujjlenyomatáról.
• A régebbi kulcsokat meg kell őrizni az AKV-ban, és elérhetővé kell tenni a kiszolgáló számára az adatbázis biztonsági mentési megőrzési szabályzatainak hátoldalaként konfigurált biztonsági mentési megőrzési időszak alapján. Ez segít biztosítani, hogy a kiszolgálón a hosszú távú megőrzési (LTR) biztonsági másolatok továbbra is visszaállíthatók legyenek a régebbi kulcsokkal.

Megjegyzés

A Azure Synapse Analytics szüneteltetett dedikált SQL-készletét a kulcsrotálás előtt újra kell folytatni.

Ez a cikk az Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics dedikált SQL-készletekre (korábbi nevén SQL DW) vonatkozik. A Synapse-munkaterületeken belüli dedikált SQL-készletek transzparens adattitkosításának (TDE) dokumentációját lásd: Azure Synapse Analytics-titkosítás.

Fontos

Váltás után ne törölje a kulcs korábbi verzióit. A kulcsok átvitelekor egyes adatok továbbra is titkosítva lesznek az előző kulcsokkal, például a régebbi adatbázis-biztonsági másolatokkal, a biztonsági másolatokkal rendelkező naplófájlokkal és a tranzakciós naplófájlokkal.

Előfeltételek

• Ez az útmutató feltételezi, hogy már az Azure Key Vault egyik kulcsát használja az Azure SQL Database vagy Azure Synapse Analytics TDE-védőjeként. Lásd: Transzparens adattitkosítás BYOK-támogatással.
• Telepítenie és futtatnia kell Azure PowerShell.

Tipp

Ajánlott, de nem kötelező – először hozza létre a TDE-védő kulcsanyagát egy hardveres biztonsági modulban (HSM) vagy a helyi kulcstárolóban, majd importálja a kulcsanyagot az Azure Key Vault. További információért kövesse a hardveres biztonsági modul (HSM) és a Key Vault használatára vonatkozó utasításokat.

Portál

Nyissa meg az Azure Portalt

PowerShell

Az Az PowerShell-modul telepítési utasításaiért lásd: Azure PowerShell telepítése. Adott parancsmagokért lásd: AzureRM.Sql.

Fontos

A PowerShell Azure Resource Manager (RM) modul továbbra is támogatott, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Az AzureRM-modul legalább 2020 decemberéig továbbra is megkapja a hibajavításokat. Az Az modulban és az AzureRm-modulokban lévő parancsok argumentumai alapvetően azonosak. További információ a kompatibilitásukról: Az új Azure PowerShell Az modul bemutatása.

Azure CLI

A telepítéshez tekintse meg az Azure CLI telepítését ismertető cikket.

Automatikus kulcsrotálás

A TDE-védő automatikus elforgatása engedélyezhető a TDE-védő kiszolgálóhoz való konfigurálásakor, a Azure Portal vagy az alábbi PowerShell- vagy Azure CLI-parancsokkal. Ha engedélyezve van, a kiszolgáló folyamatosan ellenőrzi a kulcstartót a TDE-védőként használt kulcs új verzióihoz. Ha a rendszer a kulcs új verzióját észleli, a TDE-védő 60 percen belül automatikusan a legújabb kulcsverzióra vált.

A kiszolgálók vagy felügyelt példányok automatikus rotációja automatikus kulcsrotálással használható az Azure Key Vault a TDE-kulcsok végpontok közötti érintéses elforgatásának engedélyezéséhez.

Megjegyzés

Ha a kiszolgáló vagy a felügyelt példány georeplikációt konfigurált, az automatikus rotálás engedélyezése előtt további irányelveket kell követni az itt leírtak szerint.

Portál

Az Azure Portal használatával:

1. Keresse meg a transzparens adattitkosítás szakaszt egy meglévő kiszolgálóhoz vagy felügyelt példányhoz.
2. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.
3. Jelölje be az Automatikus elforgatás gomb jelölőnégyzetet.
4. Válassza a Mentés lehetőséget.

PowerShell

Az Az PowerShell-modul telepítési utasításaiért lásd: Azure PowerShell telepítése. Adott parancsmagokért lásd: AzureRM.Sql.

Ha engedélyezni szeretné a TDE-védő automatikus elforgatását a PowerShell használatával, tekintse meg a következő szkriptet.

Azure SQL Database

Használja a Set-AzSqlServerTransparentDataEncryptionProtector parancsot.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Felügyelt Azure SQL-példány

Használja a Set-AzSqlInstanceTransparentDataEncryptionProtector parancsot.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

Azure CLI

Az Azure CLI aktuális kiadásának telepítésével kapcsolatos információkért lásd az Azure CLI telepítését ismertető cikket.

Ha engedélyezni szeretné a TDE-védő automatikus elforgatását az Azure CLI használatával, tekintse meg az alábbi szkriptet.

Azure SQL Database

Használja az az sql server tde-key set parancsot.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Felügyelt Azure SQL-példány

Használja az az sql mi tde-key set parancsot.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Manuális kulcsrotálás

A manuális kulcsrotálás az alábbi parancsokkal ad hozzá egy új kulcsot, amely egy új kulcsnév vagy akár egy másik kulcstartó alatt is lehet. Ez a megközelítés támogatja ugyanazt a kulcsot a különböző kulcstartókhoz való hozzáadását a magas rendelkezésre állás és a georedundáns forgatókönyvek támogatásához. A manuális kulcsrotálás a Azure Portal is elvégezhető.

Manuális kulcsrotálás esetén, ha új kulcsverzió jön létre a kulcstartóban (manuálisan vagy a kulcstartó automatikus kulcsrotálási szabályzatával), ugyanezt manuálisan kell beállítani, mint a kiszolgálón lévő TDE-védőt.

Megjegyzés

A kulcstartó és a kulcsnév együttes hossza nem haladhatja meg a 94 karaktert.

Portál

Az Azure Portal használatával:

1. Keresse meg egy meglévő kiszolgáló vagy felügyelt példány transzparens adattitkosítási menüjét.
2. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki az új TDE-védőként használni kívánt kulcstartót és kulcsot.
3. Válassza a Mentés lehetőséget.

PowerShell

Az Add-AzKeyVaultKey paranccsal adjon hozzá egy új kulcsot a kulcstartóhoz.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Az Azure SQL Database esetében használja a következőt:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

A Azure SQL Managed Instance a következőt használja:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

Azure CLI

Az az keyvault key create paranccsal adjon hozzá egy új kulcsot a kulcstartóhoz.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Az Azure SQL Database esetében használja a következőt:

• az sql server key create
• az sql server tde-key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

A Azure SQL Managed Instance a következőt használja:

• az sql mi key create
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

TDE-védő üzemmód váltása

Portál

A Azure Portal használatával váltson a TDE-védőre a Microsoft által felügyeltről a BYOK módra:

1. Keresse meg egy meglévő kiszolgáló vagy felügyelt példány transzparens adattitkosítási menüjét.
2. Válassza az Ügyfél által felügyelt kulcs lehetőséget.
3. Válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.
4. Válassza a Mentés lehetőséget.

PowerShell

Azure SQL Database

• Ha a TDE-védőt a Microsoft által felügyeltről BYOK módra szeretné váltani, használja a Set-AzSqlServerTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Ha a TDE-védőt BYOK módról Microsoft által felügyelt módra szeretné váltani, használja a Set-AzSqlServerTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Felügyelt Azure SQL-példány

• Ha a TDE-védőt a Microsoft által felügyeltről BYOK módra szeretné váltani, használja a Set-AzSqlInstanceTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Ha a TDE-védőt BYOK módról Microsoft által felügyelt módra szeretné váltani, használja a Set-AzSqlInstanceTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

Azure CLI

Azure SQL Database

Az alábbi példák az az sql server tde-key set parancsot használják.

• A TDE-védő váltása a Microsoft által felügyeltről BYOK módra:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• A TDE-védő BYOK módról Microsoft által felügyeltre váltása:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Felügyelt Azure SQL-példány

Az alábbi példák az az sql mi tde-key set parancsot használják.

• A TDE-védő váltása a Microsoft által felügyeltről BYOK módra:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• A TDE-védő BYOK módról Microsoft által felügyeltre váltása:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Következő lépések

• Biztonsági kockázat esetén ismerje meg, hogyan távolíthat el egy potenciálisan feltört TDE-védőt: Távolítsa el a potenciálisan feltört kulcsot.

• Ismerkedés az Azure Key Vault-integrációval és a Saját kulcs támogatása a TDE-vel: Kapcsolja be a TDE-t a saját kulcsával Key Vault a PowerShell használatával.