Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A következőre vonatkozik:✅ SQL-adatbázis a Microsoft Fabricben
A Microsoft Fabric a Microsoft által felügyelt kulcsokkal titkosítja az összes inaktív adatot. Az SQL-adatbázis összes adata távoli Azure Storage-fiókokban van tárolva. A Microsoft által felügyelt kulcsokkal való titkosítási követelményeknek való megfelelés érdekében az SQL-adatbázis által használt minden Azure Storage-fiók szolgáltatásoldali titkosítással van konfigurálva.
A Fabric-munkaterületek ügyfél által felügyelt kulcsaival az Azure Key Vault-kulcsokkal további védelmi réteget adhat a Microsoft Fabric-munkaterületek adataihoz, beleértve a Microsoft Fabric SQL-adatbázisában lévő összes adatot is. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak, így kezelheti a rotációt, szabályozhatja a hozzáférést és a használat naplózását. Az ügyfél által felügyelt kulcsok segítenek a szervezeteknek az adatszabályozási igények kielégítésében, valamint az adatvédelmi és titkosítási szabványoknak való megfelelésben.
- Ha egy ügyfél által felügyelt kulcs konfigurálva van egy munkaterülethez a Microsoft Fabricben, a rendszer automatikusan engedélyezi a transzparens adattitkosítást a munkaterületen belüli összes SQL-adatbázishoz (és
tempdb) a megadott ügyfél által felügyelt kulccsal. Ez a folyamat teljesen zökkenőmentes, és nem igényel manuális beavatkozást.- Bár a titkosítási folyamat automatikusan elindul az összes meglévő SQL-adatbázis esetében, ez nem azonnali; az időtartam az egyes SQL-adatbázisok méretétől függ, és a nagyobb SQL-adatbázisok több időt igényelnek a titkosítás befejezéséhez.
- Az ügyfél által felügyelt kulcs konfigurálása után a munkaterületen létrehozott SQL-adatbázisok is titkosítva lesznek az ügyfél által felügyelt kulccsal.
- Ha az ügyfél által kezelt kulcs el lett távolítva, a visszafejtési folyamat a munkaterület összes SQL-adatbázisára aktiválódik. A titkosításhoz hasonlóan a visszafejtés is az SQL-adatbázis méretétől függ, és időt vehet igénybe. A visszafejtés után az SQL-adatbázisok visszaállnak a Microsoft által felügyelt kulcsok használatára a titkosításhoz.
Transzparens adattitkosítás működése az SQL Database-ben a Microsoft Fabricben
A transzparens adattitkosítás valós idejű titkosítást és visszafejtést végez az adatbázis, a kapcsolódó biztonsági másolatok és a tranzakciónapló-fájlok inaktív állapotában.
- Ez a folyamat a lap szintjén történik, ami azt jelenti, hogy minden lap visszafejtve lesz a memóriába való beolvasáskor és a lemezre való visszaírás előtt.
- A transzparens adattitkosítás a teljes adatbázist az adatbázis titkosítási kulcsának (DEK) nevezett szimmetrikus kulccsal védi.
- Az adatbázis indításakor a titkosított DEK vissza lesz fejtve, és az SQL Server adatbázismotorja használja a titkosítási és visszafejtési műveletek kezelésére.
- Magát a DEK-t a transzparens adattitkosítási védő védi, amely egy ügyfél által felügyelt aszimmetrikus kulcs, pontosabban a munkaterület szintjén konfigurált ügyfél által felügyelt kulcs.
Biztonsági mentés és visszaállítás
Miután egy SQL-adatbázist ügyfél által felügyelt kulccsal titkosítottak, a rendszer az újonnan létrehozott biztonsági másolatokat is ugyanazzal a kulccsal titkosítja.
A kulcs módosításakor az SQL-adatbázis régi biztonsági másolatai nem frissülnek a legújabb kulcs használatára. Ha ügyfél által felügyelt kulccsal titkosított biztonsági másolatot szeretne visszaállítani, győződjön meg arról, hogy a kulcsanyag elérhető az Azure Key Vaultban. Ezért azt javasoljuk, hogy az ügyfelek megtartsák az ügyfél által felügyelt kulcsok összes régi verzióját az Azure Key Vaultban, hogy az SQL Database biztonsági másolatai visszaállíthatók legyenek.
Az SQL-adatbázis visszaállítási folyamata mindig tiszteletben tartja az ügyfél által felügyelt kulcs munkaterületének beállítását. Az alábbi táblázat a különböző visszaállítási forgatókönyveket ismerteti az ügyfél által kezelt kulcsbeállítások és a biztonsági mentés titkosítása alapján.
| A biztonsági mentés... | Ügyfél által kezelt kulcs munkaterület beállítása | Titkosítás állapota a visszaállítás után |
|---|---|---|
| Nincs titkosítva | Disabled | Az SQL-adatbázis nincs titkosítva |
| Nincs titkosítva | Enabled | Az SQL-adatbázis ügyfél által felügyelt kulccsal van titkosítva |
| Ügyfél által felügyelt kulccsal titkosítva | Disabled | Az SQL-adatbázis nincs titkosítva |
| Ügyfél által felügyelt kulccsal titkosítva | Enabled | Az SQL-adatbázis ügyfél által felügyelt kulccsal van titkosítva |
| Ügyfél által felügyelt kulccsal titkosítva | Engedélyezett, de eltérő ügyfél által kezelt kulcs | Az SQL-adatbázis titkosítása az új, ügyfél által felügyelt kulccsal történik |
Sikeres ügyfél által kezelt kulcs ellenőrzése
Miután engedélyezte az ügyfél által felügyelt kulcstitkosítást a munkaterületen, a meglévő adatbázis titkosítva lesz. A munkaterületen lévő új adatbázis is titkosítva lesz, ha engedélyezve van az ügyfél által kezelt kulcs. Az adatbázis sikeres titkosításának ellenőrzéséhez futtassa a következő T-SQL-lekérdezést:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Az adatbázis titkosítva van, ha a
encryption_state_descmező a következővelENCRYPTEDASYMMETRIC_KEYjelenik megencryptor_type: . - Ha az állapot az
ENCRYPTION_IN_PROGRESS, azpercent_completeoszlop a titkosítási állapot változásának előrehaladását jelzi. Ez akkor történik0, ha nincs folyamatban állapotváltozás. - Ha nincs titkosítva, az adatbázis nem jelenik meg a lekérdezés eredményei
sys.dm_database_encryption_keysközött.
Elérhetetlen ügyfél által kezelt kulcs hibaelhárítása
Ha egy ügyfél által felügyelt kulcs konfigurálva van egy munkaterülethez a Microsoft Fabricben, folyamatos hozzáférés szükséges a kulcshoz ahhoz, hogy az SQL-adatbázis online maradjon. Ha az SQL-adatbázis elveszíti a hozzáférést a kulcshoz az Azure Key Vaultban, az SQL-adatbázis legfeljebb 10 percen belül elkezdi megtagadni az összes kapcsolatot, és az állapotát elérhetetlenné változtatja. A felhasználók a következőhöz hasonló hibaüzenetet kapnak: "Az adatbázis <database ID>.database.fabric.microsoft.com nem érhető el az Azure Key Vault kritikus hibája miatt".
- Ha a kulcshozzáférés 30 percen belül helyreáll, az SQL-adatbázis a következő egy órán belül automatikusan helyreáll.
- Ha a kulcshozzáférés több mint 30 perc elteltével visszaáll, az SQL-adatbázis automatikus helyreállítása nem lehetséges. Az SQL-adatbázis visszaállítása további lépéseket igényel, és az SQL-adatbázis méretétől függően jelentős időt vehet igénybe.
Az ügyfél által felügyelt kulcs ismételt érvényesítéséhez kövesse az alábbi lépéseket:
- A munkaterületen kattintson a jobb gombbal az SQL-adatbázisra vagy a
...helyi menüre. Válassza a Beállítások lehetőséget. - Válassza a Titkosítás (előzetes verzió) lehetőséget.
- Az ügyfél által felügyelt kulcs újraértékeléséhez válassza az Ügyfél által felügyelt kulcs újraértékelése gombot. Ha az újraértékelés sikeres, az SQL-adatbázishoz való hozzáférés visszaállítása eltarthat egy ideig.
Megjegyzés:
Ha egy SQL-adatbázis kulcsát újraértékeli, a rendszer automatikusan újraértékesíti a kulcsot a munkaterületen belüli összes SQL-adatbázishoz.
Korlátozások
Az ügyfél által felügyelt kulcs microsoft fabricbeli SQL-adatbázishoz való használatakor érvényes korlátozások:
- A 4096 bites kulcsok nem támogatottak az SQL Database-ben a Microsoft Fabricben. A támogatott kulcshosszok 2048 bit és 3072 bit.
- Az ügyfél által felügyelt kulcsnak RSA-nak vagy RSA-HSM aszimmetrikus kulcsnak kell lennie.
- Jelenleg az ügyfél által felügyelt kulcstitkosítás a következő régiókban érhető el:
- USA: USA 2. keleti régiója, USA déli középső régiója
- Ázsia: Kelet-Ausztrália, Délkelet-Ázsia, Észak-Egyesült Arab Emírségek
- Európa: Észak-Európa, Nyugat-Európa