Manajemen Kunci yang Dapat Diperluas Menggunakan Azure Key Vault (SQL Server)
Berlaku untuk: SQL Server
SQL Server Connector untuk Microsoft Azure Key Vault memungkinkan enkripsi SQL Server untuk menggunakan layanan Azure Key Vault sebagai penyedia Extensible Key Management (EKM) untuk melindungi kunci enkripsi SQL Server.
Topik ini menjelaskan konektor SQL Server. Informasi tambahan tersedia dalam Langkah-langkah Penyiapan untuk Manajemen Kunci yang Dapat Diperluas Menggunakan Azure Key Vault, Menggunakan Konektor SQL Server dengan Fitur Enkripsi SQL, dan Pemeliharaan &Pemecahan Masalah Konektor SQL Server.
Apa itu Extensible Key Management (EKM) dan Mengapa Menggunakannya?
SQL Server menyediakan beberapa jenis enkripsi yang membantu melindungi data sensitif, termasuk Enkripsi Data Transparan (TDE), Enkripsi Tingkat Kolom (CLE), dan Enkripsi Cadangan. Dalam semua kasus ini, dalam hierarki kunci tradisional ini, data dienkripsi menggunakan kunci enkripsi data simetris (DEK). Kunci enkripsi data konten dilindungi lebih lanjut dengan mengenkripsinya dengan hierarki kunci yang disimpan di SQL Server. Alih-alih model ini, alternatifnya adalah Model Penyedia EKM. Menggunakan arsitektur penyedia EKM memungkinkan SQL Server melindungi kunci enkripsi data dengan menggunakan kunci asimetris yang disimpan di luar SQL Server di penyedia kriptografi eksternal. Model ini menambahkan lapisan keamanan tambahan dan memisahkan manajemen kunci dan data.
Gambar berikut membandingkan hierarki kunci pengelolaan layanan tradisional dengan sistem Azure Key Vault.
Konektor SQL Server berfungsi sebagai jembatan antara SQL Server dan Azure Key Vault, sehingga SQL Server dapat memanfaatkan skalabilitas, performa tinggi, dan ketersediaan tinggi layanan Azure Key Vault. Gambar berikut menunjukkan cara kerja hierarki kunci dalam arsitektur penyedia EKM dengan Azure Key Vault dan Konektor SQL Server.
Azure Key Vault dapat digunakan dengan penginstalan SQL Server di Microsoft Azure Virtual Machines dan untuk server lokal. Layanan brankas kunci juga menyediakan opsi untuk menggunakan Modul Keamanan Perangkat Keras (HSM) yang dikontrol dan dipantau dengan ketat untuk tingkat perlindungan yang lebih tinggi untuk kunci enkripsi asimetris. Untuk informasi selengkapnya tentang brankas kunci, lihat Azure Key Vault.
Gambar berikut meringkas alur proses EKM menggunakan brankas kunci. (Nomor langkah proses dalam gambar tidak dimaksudkan untuk mencocokkan nomor langkah penyiapan yang mengikuti gambar.)
Catatan
Versi 1.0.0.440 dan yang lebih lama telah diganti dan tidak lagi didukung di lingkungan produksi. Tingkatkan ke versi 1.0.1.0 atau yang lebih baru dengan mengunjungi Pusat Unduhan Microsoft dan menggunakan instruksi pada halaman Pemeliharaan & Pemecahan Masalah Konektor SQL Server di bagian "Peningkatan Konektor SQL Server."
Untuk langkah berikutnya, lihat Langkah Penyiapan untuk Extensible Key Management Menggunakan Azure Key Vault.
Untuk skenario penggunaan, lihat Menggunakan Konektor SQL Server dengan Fitur Enkripsi SQL.