Bagikan melalui

Enkripsi Data Transparan dengan Azure SQL Database

Enkripsi data transparan Azure SQL Database (pratinjau) membantu melindungi dari ancaman aktivitas berbahaya dengan melakukan enkripsi dan dekripsi secara real-time pada database, cadangan terkait, dan file log transaksi saat dalam penyimpanan, tanpa memerlukan perubahan pada aplikasi.

TDE mengenkripsi penyimpanan seluruh database dengan menggunakan kunci simetris yang disebut kunci enkripsi database. Di SQL Database, kunci enkripsi database dilindungi oleh sertifikat server bawaan. Sertifikat server bawaan unik untuk setiap server SQL Database. Jika database berada dalam hubungan GeoDR, database dilindungi oleh kunci yang berbeda di setiap server. Jika 2 database tersambung ke server yang sama, database tersebut berbagi sertifikat bawaan yang sama. Microsoft secara otomatis memutar sertifikat ini setidaknya setiap 90 hari. Untuk deskripsi umum TDE, lihat Enkripsi Data Transparan (TDE).

Azure SQL Database tidak mendukung integrasi Azure Key Vault dengan TDE. SQL Server yang berjalan di komputer virtual Azure dapat menggunakan kunci asimetris dari Key Vault. Untuk informasi selengkapnya, lihat Contoh A: Enkripsi Data Transparan dengan Menggunakan Kunci Asimetris dari Key Vault.
Berlaku untuk: SQL Database V12 (Pratinjau di beberapa wilayah).

Penting

Ini saat ini adalah fitur pratinjau. Saya mengakui dan menyetujui bahwa implementasi enkripsi data transparan SQL Database dalam database saya tunduk pada persyaratan pratinjau dalam perjanjian lisensi saya (misalnya Perjanjian Enterprise, Perjanjian Microsoft Azure, atau Perjanjian Langganan Microsoft Online), serta Ketentuan Penggunaan Tambahan yang berlaku untuk Pratinjau Microsoft Azure.

Pratinjau status TDE tetap berlaku bahkan di subset wilayah geografis yang telah mengumumkan keluarga versi V12 dari Basis Data SQL yang kini berada dalam status ketersediaan umum. TDE untuk SQL Database tidak dimaksudkan untuk digunakan dalam database produksi sampai Microsoft mengumumkan bahwa TDE dipromosikan dari pratinjau ke GA. Untuk informasi selengkapnya tentang SQL Database V12, lihat Apa yang baru di Azure SQL Database.

Hak akses

Untuk mendaftar pratinjau dan mengonfigurasi TDE melalui portal Microsoft Azure, dengan menggunakan REST API, atau dengan menggunakan PowerShell, Anda harus terhubung sebagai Pemilik Azure, Kontributor, atau Manajer Keamanan SQL.

Untuk mengonfigurasi TDE dengan menggunakan Transact-SQL memerlukan hal berikut:

  • Anda harus sudah mendaftar untuk pratinjau TDE.

  • Untuk membuat kunci enkripsi database, Anda harus menjadi administrator SQL Database atau Anda harus menjadi anggota peran dbmanager dalam database master dan memiliki izin CONTROL pada database.

  • Untuk menjalankan pernyataan ALTER DATABASE dengan opsi SET hanya memerlukan keanggotaan dalam peran dbmanager .

Mendaftar untuk Pratinjau TDE dan Mengaktifkan TDE pada Database

  1. Kunjungi Portal Microsoft Azure di https://portal.azure.com dan masuk dengan akun Administrator atau Kontributor Azure Anda.

  2. Di banner kiri, klik telusuri, lalu klik database SQL.

  3. Dengan database SQL dipilih di panel kiri, klik database pengguna Anda.

  4. Di bilah database, klik Semua pengaturan.

  5. Di bilah Pengaturan , klik bagian Enkripsi data transparan (pratinjau) untuk membuka bilah PRATINJAU enkripsi data transparan . Jika Anda belum mendaftar untuk pratinjau TDE, pengaturan enkripsi data akan dinonaktifkan hingga Anda menyelesaikan pendaftaran.

  6. Klik ISTILAH PRATINJAU.

  7. Baca ketentuan pratinjau, dan jika Anda setuju dengan ketentuannya, pilih kotak centang Ketentuan Pratinjau Enkripsi Data Transparan, kemudian klik OK yang ada di bagian bawah halaman. Kembali ke bilah Enkripsi dataPREVIEW, di mana tombol Enkripsi data sekarang seharusnya diaktifkan.

  8. Di bilah PRATINJAU enkripsi data , pindahkan tombol Enkripsi data ke Aktif, lalu klik Simpan (di bagian atas halaman) untuk menerapkan pengaturan. Status Enkripsi akan mencerminkan kemajuan enkripsi data transparan.

    SQLDB_TDE_TermsNewUI SQLDB_TDE_TermsNewUI

    Anda juga dapat memantau kemajuan enkripsi dengan menyambungkan ke SQL Database menggunakan alat kueri seperti SQL Server Management Studio sebagai pengguna database dengan izin TAMPILKAN STATUS DATABASE . Lakukan kueri pada kolom encryption_state dari tampilan sys.dm_database_encryption_keys.

Mengaktifkan TDE di SQL Database dengan Menggunakan Transact-SQL

Langkah-langkah berikut, asumsikan Anda telah mendaftar untuk pratinjau.

  1. Sambungkan ke database menggunakan login yang merupakan administrator atau anggota peran dbmanager dalam database master.

  2. Jalankan pernyataan berikut untuk membuat kunci enkripsi database dan mengenkripsi database.

    -- Create the database encryption key that will be used for TDE.
CREATE DATABASE ENCRYPTION KEY 
WITH ALGORITHM = AES_256 
ENCRYPTION BY SERVER CERTIFICATE ##MS_TdeCertificate##;

-- Enable encryption
ALTER DATABASE [AdventureWorks] SET ENCRYPTION ON;
GO

  3. Untuk memantau kemajuan enkripsi di SQL Database, pengguna database dengan izin TAMPILKAN STATUS DATABASE bisa mengkueri encryption_state kolom tampilan sys.dm_database_encryption_keys .

Mengaktifkan TDE di SQL Database dengan Menggunakan PowerShell

Menggunakan Azure PowerShell, Anda dapat menjalankan perintah berikut untuk mengaktifkan/menonaktifkan TDE. Anda harus menyambungkan akun Anda ke jendela PS sebelum menjalankan perintah. Langkah-langkah berikut, asumsikan Anda telah mendaftar untuk pratinjau. Untuk informasi tambahan tentang PowerShell, lihat Cara menginstal dan mengonfigurasi Azure PowerShell.

  1. Untuk mengaktifkan TDE, kembalikan status TDE, dan lihat aktivitas enkripsi.

    Switch-AzureMode -Name AzureResourceManager
Set-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1" -State "Enabled"

Get-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1"
Get-AzureSqlDatabaseTransparentDataEncryptionActivity -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1"

  2. Untuk menonaktifkan TDE:

    Set-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1" -State "Disabled"
Switch-AzureMode -Name AzureServiceManagement

Mendekripsi Database yang Dilindungi TDE di SQL Database

Untuk Menonaktifkan TDE dengan Menggunakan Portal Microsoft Azure

  1. Kunjungi Portal Microsoft Azure di https://portal.azure.com dan masuk dengan akun Administrator atau Kontributor Azure Anda.

  2. Di banner kiri, klik telusuri, lalu klik database SQL.

  3. Dengan database SQL dipilih di panel kiri, klik database pengguna Anda.

  4. Di bilah database, klik Semua pengaturan.

  5. Di bilah Pengaturan , klik bagian Enkripsi data transparan (pratinjau) untuk membuka bilah PRATINJAU enkripsi data transparan .

  6. Di bilah PRATINJAU enkripsi data transparan , pindahkan tombol Enkripsi data ke Nonaktif, lalu klik Simpan (di bagian atas halaman) untuk menerapkan pengaturan. Status Enkripsi akan mendekati kemajuan dekripsi data transparan.

    Anda juga dapat memantau kemajuan dekripsi dengan menyambungkan ke SQL Database menggunakan alat kueri seperti Management Studio sebagai pengguna database dengan izin TAMPILKAN STATUS DATABASE . Kueri kolom encryption_state dari tampilan sys.dm_database_encryption_keys.

Untuk Menonaktifkan TDE dengan Menggunakan Transact-SQL

  1. Sambungkan ke database menggunakan login yang merupakan administrator atau anggota peran dbmanager dalam database master.

  2. Jalankan pernyataan berikut untuk mendekripsi database.

    -- Enable encryption
ALTER DATABASE [AdventureWorks] SET ENCRYPTION OFF;
GO

  3. Untuk memantau kemajuan enkripsi di SQL Database, pengguna database dengan izin TAMPILKAN STATUS DATABASE bisa mengkueri encryption_state kolom tampilan sys.dm_database_encryption_keys .

Bekerja dengan Database yang Dilindungi TDE di SQL Database

Anda tidak perlu mendekripsi database untuk operasi dalam Azure. Pengaturan TDE pada database sumber atau database utama diwarisi secara transparan pada target. Ini termasuk operasi yang melibatkan:

  • Pemulihan Geo

  • Pemulihan Titik Waktu Self-Service

  • Memulihkan Database yang Dihapus

  • Geo_Replication aktif

  • Membuat Salinan Database

Memindahkan Database yang Dilindungi TDE dengan menggunakan File .Bacpac

Saat mengekspor database yang dilindungi TDE menggunakan fungsi Ekspor Database di Portal Azure SQL Database atau Wizard Impor dan Ekspor SQL Server, konten database tidak dienkripsi. Konten disimpan dalam file .bacpac yang tidak dienkripsi. Pastikan untuk melindungi file .bacpac dengan tepat dan aktifkan TDE setelah impor database baru selesai.

Aktifkan TDE Menggunakan EKM

Lihat Juga

Transparent Data Encryption (TDE)CREATE CREDENTIAL (Transact-SQL)CREATE ASYMMETRIC KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL)

  • Last updated on