Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőre vonatkozik:✅ SQL-adatbázis a Microsoft Fabricben
A Microsoft Fabric minden inaktív adatot titkosít a Microsoft által felügyelt kulcsokkal. Az SQL Database az összes adatot távoli Azure Storage-fiókokban tárolja. A Microsoft által felügyelt kulcsok használatával történő inaktív titkosítási követelményeknek való megfelelés érdekében az SQL-adatbázis által használt minden Azure Storage-fiók engedélyezve van a szolgáltatásoldali titkosítással .
A Fabric-munkaterületek ügyfél által felügyelt kulcsaival az Azure Key Vault-kulcsokkal további védelmi réteget adhat a Microsoft Fabric-munkaterületek adataihoz, beleértve a Microsoft Fabric SQL-adatbázisában lévő összes adatot is. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak, lehetővé téve a rotáció kezelését, a hozzáférés szabályozását és a használat naplózását. Az ügyfél által felügyelt kulcsok segítenek a szervezeteknek az adatszabályozási igények kielégítésében, valamint az adatvédelmi és titkosítási szabványoknak való megfelelésben.
- Amikor ügyfél által felügyelt kulcsot konfigurál egy munkaterülethez a Microsoft Fabricben, a rendszer automatikusan engedélyezi a transzparens adattitkosítást a munkaterületen belüli összes SQL-adatbázishoz (és
tempdb) a megadott ügyfél által felügyelt kulccsal. Ez a folyamat zökkenőmentes, és nem igényel manuális beavatkozást.- Bár a titkosítási folyamat automatikusan elindul az összes meglévő SQL-adatbázis esetében, az nem azonnali. Az időtartam az egyes SQL-adatbázisok méretétől függ, és a nagyobb SQL-adatbázisok több időt igényelnek a titkosítás befejezéséhez.
- Az ügyfél által felügyelt kulcs konfigurálása után a munkaterületen létrehozott SQL-adatbázisok is titkosítva lesznek az ügyfél által felügyelt kulccsal.
- Ha eltávolítja az ügyfél által kezelt kulcsot, a visszafejtés a munkaterület összes SQL-adatbázisához elindul. A titkosításhoz hasonlóan a visszafejtés is az SQL-adatbázis méretétől függ, és eltarthat egy ideig. A visszafejtés után az SQL-adatbázisok visszaállnak a Microsoft által felügyelt kulcsok használatára a titkosításhoz.
Transzparens adattitkosítás működése az SQL Database-ben a Microsoft Fabricben
A transzparens adattitkosítás valós idejű titkosítást és visszafejtést végez az adatbázis, a kapcsolódó biztonsági másolatok és a tranzakciónapló-fájlok inaktív állapotában.
- Ez a folyamat a lap szintjén történik, ami azt jelenti, hogy minden lap visszafejtve lesz a memóriába való beolvasáskor és a lemezre való visszaírás előtt.
- A transzparens adattitkosítás a teljes adatbázist az adatbázis titkosítási kulcsának (DEK) nevezett szimmetrikus kulccsal védi.
- Az adatbázis indításakor az SQL Server adatbázismotorja visszafejti a DEK-t, és a titkosítási és visszafejtési műveletek kezelésére használja.
- A transzparens adattitkosítási védő – pontosabban a munkaterület szintjén konfigurált ügyfél által felügyelt kulcs – védi a DEK-t.
Biztonsági mentés és visszaállítás
Miután egy SQL-adatbázist ügyfél által felügyelt kulccsal titkosítottak, a rendszer az újonnan létrehozott biztonsági másolatokat is ugyanazzal a kulccsal titkosítja.
A kulcs módosításakor az SQL-adatbázis régi biztonsági másolatai nem frissülnek a legújabb kulcs használatára. Ha ügyfél által felügyelt kulccsal titkosított biztonsági másolatot szeretne visszaállítani, győződjön meg arról, hogy a kulcsanyag elérhető az Azure Key Vaultban. Őrizze meg az ügyfél által felügyelt kulcsok összes régi verzióját az Azure Key Vaultban, hogy az SQL-adatbázis biztonsági másolatai visszaállíthatók legyenek.
Az SQL-adatbázis visszaállítási folyamata mindig tiszteletben tartja az ügyfél által felügyelt kulcs munkaterületének beállítását. Az alábbi táblázat a különböző visszaállítási forgatókönyveket ismerteti az ügyfél által felügyelt kulcsbeállítások és a biztonsági mentés titkosítása alapján.
| A biztonsági mentés... | Ügyfél által kezelt kulcs munkaterület beállítása | Titkosítás állapota a visszaállítás után |
|---|---|---|
| Nincs titkosítva | Disabled | Az SQL-adatbázis nincs titkosítva |
| Nincs titkosítva | Enabled | Az SQL-adatbázis ügyfél által felügyelt kulccsal van titkosítva |
| Ügyfél által felügyelt kulccsal titkosítva | Disabled | Az SQL-adatbázis nincs titkosítva |
| Ügyfél által felügyelt kulccsal titkosítva | Enabled | Az SQL-adatbázis ügyfél által felügyelt kulccsal van titkosítva |
| Ügyfél által felügyelt kulccsal titkosítva | Engedélyezett, de eltérő ügyfél által kezelt kulcs | Az SQL-adatbázis titkosítása az új, ügyfél által felügyelt kulccsal történik |
Sikeres ügyfél által kezelt kulcs ellenőrzése
Miután engedélyezte az ügyfél által felügyelt kulcstitkosítást a munkaterületen, a meglévő adatbázis titkosítva lesz. A munkaterületen lévő új adatbázis is titkosítva lesz, ha az ügyfél által felügyelt kulcs engedélyezve van. Az adatbázis sikeres titkosításának ellenőrzéséhez futtassa a következő T-SQL-lekérdezést:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Az adatbázis titkosítva van, ha a
encryption_state_descmező a következővelENCRYPTEDASYMMETRIC_KEYjelenik megencryptor_type: . - Ha az állapot az
ENCRYPTION_IN_PROGRESS, azpercent_completeoszlop a titkosítási állapot változásának előrehaladását jelzi. Ez az érték akkor van0, ha nincs állapotváltozás folyamatban. - Ha nincs titkosítva, az adatbázis nem jelenik meg a lekérdezés eredményei
sys.dm_database_encryption_keysközött.
Elérhetetlen ügyfél által kezelt kulcs hibaelhárítása
Amikor ügyfél által felügyelt kulcsot konfigurál egy munkaterülethez a Microsoft Fabricben, az SQL-adatbázis folyamatos hozzáférést igényel a kulcshoz az online állapot megőrzése érdekében. Ha az SQL-adatbázis elveszíti a hozzáférést a kulcshoz az Azure Key Vaultban, az SQL-adatbázis legfeljebb 10 percen belül elkezdi megtagadni az összes kapcsolatot, és az állapotát elérhetetlenné változtatja. A felhasználók a következőhöz hasonló hibaüzenetet kapnak: "Az adatbázis <database ID>.database.fabric.microsoft.com nem érhető el az Azure Key Vault kritikus hibája miatt".
- Ha a kulcshozzáférés 30 percen belül helyreáll, az SQL-adatbázis a következő egy órán belül automatikusan meggyógyul.
- Ha a kulcshozzáférés több mint 30 perc elteltével visszaáll, az SQL-adatbázis automatikus helyreállítása nem lehetséges. Az SQL-adatbázis visszaállítása további lépéseket igényel, és az SQL-adatbázis méretétől függően jelentős időt vehet igénybe.
Az ügyfél által felügyelt kulcs ismételt érvényesítéséhez kövesse az alábbi lépéseket:
- A munkaterületen kattintson a jobb gombbal az SQL-adatbázisra, vagy válassza a helyi menüt
.... Válassza a Beállítások lehetőséget. - Válassza a Titkosítás lehetőséget.
- Az ügyfél által felügyelt kulcs újraértékeléséhez válassza az Ügyfél által felügyelt kulcs újraértékelése lehetőséget. Ha az újraértékelés sikeres, az SQL-adatbázishoz való hozzáférés visszaállítása eltarthat egy ideig.
Megjegyzés:
Ha egy SQL-adatbázis kulcsát újraértékeli, a rendszer automatikusan újraértékesíti a kulcsot a munkaterületen belüli összes SQL-adatbázishoz.
Korlátozások
Az ügyfél által felügyelt kulcs microsoft fabricbeli SQL-adatbázishoz való használatakor érvényes korlátozások:
- A 4096 bites kulcsok nem támogatottak a Microsoft Fabric sql-adatbázisában. A támogatott kulcshosszok 2048 bit és 3072 bit.
- Az ügyfél által felügyelt kulcsnak RSA-nak vagy RSA-HSM aszimmetrikus kulcsnak kell lennie.