Memutar pelindung Enkripsi data transparan (TDE)

Berlaku untuk:Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics (hanya kumpulan SQL khusus)

Artikel ini menjelaskan rotasi kunci untuk server menggunakan pelindung TDE dari Azure Key Vault. Memutar pelindung TDE logis untuk server berarti beralih ke kunci asimetris baru yang melindungi database di server. Rotasi kunci adalah operasi online dan hanya butuh beberapa detik untuk selesai, karena ini hanya mendeskripsi dan mengenkripsi ulang kunci enkripsi data database, bukan seluruh database.

Artikel ini membahas metode otomatis dan manual untuk memutar pelindung TDE di server.

Pertimbangan penting saat memutar pelindung TDE

• Ketika pelindung TDE diubah/diputar, cadangan lama database, termasuk file log yang dicadangkan, tidak diperbarui untuk menggunakan pelindung TDE terbaru. Untuk memulihkan cadangan yang dienkripsi dengan pelindung TDE dari Azure Key Vault atau Azure Managed HSM, pastikan bahwa materi kunci tersedia untuk server target. Oleh karena itu, kami sarankan Anda menyimpan semua versi lama pelindung TDE di Azure Key Vault atau Azure Managed HSM, sehingga cadangan database dapat dipulihkan.
• Bahkan saat beralih dari kunci yang dikelola pelanggan (CMK) ke kunci yang dikelola layanan, simpan semua kunci yang digunakan sebelumnya di Azure Key Vault atau Azure Managed HSM. Ini memastikan cadangan database, termasuk file log yang dicadangkan, dapat dipulihkan dengan pelindung TDE yang disimpan di Azure Key Vault atau Azure Managed HSM.
• Selain cadangan lama, file log transaksi mungkin juga memerlukan akses ke pelindung TDE yang lebih lama. Untuk menentukan apakah ada log yang tersisa yang masih memerlukan kunci yang lebih lama, setelah melakukan rotasi kunci, gunakan tampilan manajemen dinamis (DMV) sys.dm_db_log_info. DMV ini mengembalikan informasi tentang file log virtual (VLF) dari log transaksi beserta sidik jari kunci enkripsi dari VLF tersebut.
• Kunci yang lebih lama perlu disimpan di Azure Key Vault atau Azure Managed HSM dan tersedia untuk server berdasarkan periode retensi cadangan yang dikonfigurasi sebagai bagian belakang kebijakan penyimpanan cadangan pada database. Ini membantu memastikan cadangan Retensi Jangka Panjang (LTR) di server masih dapat dipulihkan menggunakan kunci yang lebih lama.

Catatan

Kumpulan SQL khusus yang dijeda di Azure Synapse Analytics harus diaktifkan kembali sebelum rotasi kunci.

Artikel ini berlaku untuk kumpulan SQL khusus Azure SQL Database, Azure SQL Managed Instance, dan Azure Synapse Analytics (sebelumnya SQL DW). Untuk dokumentasi tentang enkripsi data transparan (TDE) untuk kumpulan SQL khusus di dalam ruang kerja Synapse, lihat Enkripsi Azure Synapse Analytics.

Prasyarat

• Panduan cara ini mengasumsikan bahwa Anda sudah menggunakan kunci dari Azure Key Vault sebagai pelindung TDE untuk Azure SQL Database atau Azure Synapse Analytics. Lihat Enkripsi data transparan dengan Dukungan BYOK.
• Anda harus memiliki Azure PowerShell yang diinstal dan bekerja.

Tips

Direkomendasikan tetapi opsional - buat bahan kunci untuk pelindung TDE dalam modul keamanan perangkat keras (HSM) atau penyimpanan kunci lokal terlebih dahulu, dan impor materi kunci ke Azure Key Vault. Ikuti instruksi untuk menggunakan modul keamanan perangkat keras (HSM) dan Azure Key Vault untuk mempelajari lebih lanjut.

Portal

Masuk ke portal Azure

PowerShell

Untuk instruksi penginstalan modul Az PowerShell, lihat Menginstal Azure PowerShell. Gunakan modul Azure PowerShell Az baru.

Azure CLI

Untuk instalasi, lihat Instal Azure CLI.

Rotasi kunci otomatis

Rotasi otomatis untuk pelindung TDE dapat diaktifkan saat mengonfigurasi pelindung TDE untuk server atau database, dari portal Azure atau menggunakan perintah PowerShell atau Azure CLI di bawah ini. Setelah diaktifkan, server atau database akan terus memeriksa key vault untuk versi terbaru dari kunci yang dipakai sebagai pelindung TDE (Transparent Data Encryption). Jika versi baru kunci terdeteksi, pelindung TDE di server atau database akan secara otomatis diputar ke versi kunci terbaru dalam waktu 24 jam.

Rotasi otomatis di server, database, atau instans terkelola dapat digunakan dengan rotasi kunci otomatis di Azure Key Vault untuk mengaktifkan rotasi sentuhan nol end-to-end untuk kunci TDE.

Catatan

Jika server atau instans terkelola memiliki replikasi geografis yang dikonfigurasi, sebelum mengaktifkan rotasi otomatis, lihat Pertimbangan replikasi geografis saat mengonfigurasi rotasi otomatis pelindung TDE.

Portal

Menggunakan Portal Azure:

1. Telusuri ke bagian Enkripsi data transparan untuk server atau instans terkelola yang ada.
2. Pilih opsi Kunci yang dikelola pelanggan dan pilih brankas kunci serta kunci yang akan digunakan sebagai pelindung TDE.
3. Centang kotak pilihan Putar Otomatis.
4. Pilih Simpan.

PowerShell

Untuk instruksi penginstalan modul Az PowerShell, lihat Menginstal Azure PowerShell.

Untuk mengaktifkan rotasi otomatis untuk pelindung TDE menggunakan PowerShell, lihat skrip berikut ini. <keyVaultKeyId> dapat diambil dari Azure Key Vault.

Azure SQL Database

Gunakan perintah Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Instans Terkelola Azure SQL

Gunakan perintah Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

Azure CLI

Untuk informasi tentang penginstalan rilis Azure CLI saat ini, lihat artikel Menginstal Azure CLI.

Untuk mengaktifkan rotasi otomatis untuk pelindung TDE menggunakan Azure CLI, lihat skrip berikut ini.

Azure SQL Database

Gunakan perintah az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Instans Terkelola Azure SQL

Gunakan perintah az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Rotasi kunci otomatis di tingkat database

Rotasi kunci otomatis juga dapat diaktifkan di tingkat database untuk Azure SQL Database. Ini berguna ketika Anda ingin mengaktifkan rotasi kunci otomatis hanya untuk satu atau subset database di server. Untuk informasi selengkapnya, lihat Manajemen identitas dan kunci untuk TDE dengan kunci yang dikelola pelanggan pada tingkat database.

Portal

Untuk informasi portal Azure tentang menyiapkan rotasi kunci otomatis di tingkat database, lihat Memperbarui Azure SQL Database yang sudah ada dengan kunci yang dikelola pelanggan tingkat database.

PowerShell

Untuk mengaktifkan rotasi otomatis untuk pelindung TDE di tingkat database menggunakan PowerShell, lihat perintah berikut. -EncryptionProtectorAutoRotation Gunakan parameter dan atur ke $true untuk mengaktifkan rotasi kunci otomatis atau $false untuk menonaktifkan rotasi kunci otomatis.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

Azure CLI

Untuk mengaktifkan rotasi otomatis untuk pelindung TDE di tingkat database menggunakan Azure CLI, lihat perintah berikut. --encryption-protector-auto-rotation Gunakan parameter dan atur ke True untuk mengaktifkan rotasi kunci otomatis atau False untuk menonaktifkan rotasi kunci otomatis.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Rotasi kunci otomatis untuk konfigurasi replikasi geografis

Dalam konfigurasi replikasi geografis Azure SQL Database di mana server utama diatur untuk menggunakan TDE dengan CMK, server sekunder juga perlu dikonfigurasi untuk mengaktifkan TDE dengan CMK dengan kunci yang sama yang digunakan pada primer.

Portal

Menggunakan Portal Azure:

1. Telusuri ke bagian Enkripsi data transparan untuk server utama .

2. Pilih opsi Kunci yang dikelola pelanggan dan pilih brankas kunci serta kunci yang akan digunakan sebagai pelindung TDE.

3. Centang kotak pilihan Putar Otomatis.

4. Pilih Simpan.

   

5. Telusuri ke bagian Enkripsi data transparan untuk server sekunder .

6. Pilih opsi Kunci yang dikelola pelanggan dan pilih brankas kunci serta kunci yang akan digunakan sebagai pelindung TDE. Gunakan kunci yang sama seperti yang Anda gunakan untuk server utama.

7. Hapus centang Jadikan kunci ini sebagai pelindung TDE default.

8. Pilih Simpan.

   

Ketika kunci diputar di server utama, kunci secara otomatis ditransfer ke server sekunder.

Catatan

Jika kunci brankas kunci yang sama di server utama digunakan sebagai pelindung TDE default di server sekunder, pastikan Kunci putar otomatis diaktifkan untuk kedua server. Kegagalan untuk melakukannya dapat menyebabkan alur kerja rotasi otomatis memasuki status kesalahan dan mencegah operasi rotasi kunci manual lebih lanjut.

PowerShell

<keyVaultKeyId> dapat diambil dari Azure Key Vault.

1. Gunakan perintah Add-AzSqlServerKeyVaultKey untuk menambahkan kunci baru ke server sekunder.

   # add the key from Azure Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Tambahkan kunci yang sama di langkah pertama ke server utama .

   # add the key from Azure Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Gunakan Set-AzSqlInstanceTransparentDataEncryptionProtector untuk mengatur kunci sebagai pelindung utama di server utama dengan rotasi kunci otomatis diatur ke true.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Putar kunci Azure Key Vault di Azure Key Vault menggunakan perintah Get-AzKeyVaultKey dan Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Periksa apakah SQL Server (primer dan sekunder) memiliki kunci atau versi kunci baru:

   Catatan

   Rotasi kunci dapat memakan waktu hingga satu jam untuk diterapkan ke server. Tunggu setidaknya satu jam sebelum menjalankan perintah ini.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Menggunakan kunci yang berbeda untuk setiap server

Dimungkinkan untuk mengonfigurasi server utama dan sekunder dengan kunci brankas kunci yang berbeda saat mengonfigurasi TDE dengan CMK di portal Azure. Tidak terbukti dalam portal Azure bahwa kunci yang digunakan untuk melindungi server utama juga merupakan kunci yang sama yang melindungi database utama yang telah direplikasi ke server sekunder. Namun, Anda dapat menggunakan PowerShell, Azure CLI, atau REST API untuk mendapatkan detail tentang kunci yang digunakan di server. Ini menunjukkan bahwa kunci yang diputar otomatis ditransfer dari server utama ke server sekunder.

Berikut adalah contoh penggunaan perintah PowerShell untuk memeriksa kunci yang ditransfer dari server utama ke server sekunder setelah rotasi kunci.

1. Jalankan perintah berikut di server utama untuk menampilkan detail kunci server:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Anda akan melihat hasil yang serupa dengan berikut ini:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Jalankan perintah yang sama Get-AzSqlServerKeyVaultKey di server sekunder:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Jika server sekunder memiliki pelindung TDE default menggunakan kunci yang berbeda dari server utama, Anda akan melihat dua (atau lebih) kunci. Kunci pertama adalah pelindung TDE default, dan kunci kedua adalah kunci yang digunakan di server utama yang digunakan untuk melindungi database yang direplikasi.

5. Ketika kunci diputar di server utama, kunci secara otomatis ditransfer ke server sekunder. Jika Anda menjalankan Get-AzSqlServerKeyVaultKey lagi di server utama, Anda akan melihat dua key. Kunci pertama adalah kunci asli, dan kunci kedua, yang merupakan kunci saat ini yang dihasilkan sebagai bagian dari rotasi kunci.

6. Get-AzSqlServerKeyVaultKey Menjalankan perintah di server sekunder juga harus menampilkan kunci yang sama yang ada di server utama. Ini mengonfirmasi bahwa kunci yang diputar di server utama secara otomatis ditransfer ke server sekunder, dan digunakan untuk melindungi replika database.

Putaran kunci manual

Rotasi kunci manual menggunakan perintah berikut untuk menambahkan kunci baru, yang dapat berada di bawah nama kunci baru atau bahkan brankas kunci lain. Menggunakan pendekatan ini mendukung penambahan kunci yang sama ke key vault yang berbeda untuk mendukung skenario ketersediaan tinggi dan geo-dr. Rotasi kunci manual juga dapat dilakukan menggunakan portal Azure.

Dengan rotasi kunci manual, ketika versi kunci baru dihasilkan di key vault (baik secara manual atau melalui kebijakan rotasi kunci otomatis di key vault), kunci baru tersebut harus diatur secara manual sebagai pelindung TDE di server.

Catatan

Panjang gabungan untuk nama key vault dan nama kunci tidak boleh lebih dari 94 karakter.

Portal

Menggunakan portal Microsoft Azure:

1. Telusuri ke menu Enkripsi Data Transparan untuk server atau instans terkelola yang ada.
2. Pilih opsi Kunci yang dikelola pelanggan dan pilih brankas kunci beserta kunci yang akan digunakan sebagai pelindung TDE baru.
3. Pilih Simpan.

PowerShell

Gunakan perintah Add-AzKeyVaultKey untuk menambahkan kunci baru ke brankas kunci.

# add a new key to Azure Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Untuk Azure SQL Database, gunakan:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Azure Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Untuk Azure SQL Managed Instance, gunakan:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Azure Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

Azure CLI

Gunakan perintah az keyvault key create untuk menambahkan kunci baru ke brankas kunci.

# add a new key to Azure Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Untuk Azure SQL Database, gunakan:

• az sql server key create
• az sql server tde-key set

# add the new key from Azure Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Untuk Azure SQL Managed Instance, gunakan:

• az sql mi buat kunci
• az sql mi tde-key set

# add the new key from Azure Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Alihkan mode pelindung TDE

Portal

Menggunakan portal Azure untuk mengalihkan pelindung TDE dari mode Yang dikelola Microsoft ke BYOK:

1. Telusuri ke menu Enkripsi Data Transparan untuk server atau instans terkelola yang ada.
2. Pilih opsi Kunci yang dikelola pelanggan.
3. Pilih brankas kunci dan kunci yang akan digunakan sebagai pelindung Transparent Data Encryption (TDE).
4. Pilih Simpan.

PowerShell

Azure SQL Database

• Untuk mengalihkan pelindung TDE dari mode Yang dikelola Microsoft ke BYOK, gunakan perintah Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Untuk mengalihkan pelindung TDE dari mode BYOK ke yang dikelola Microsoft, gunakan perintah Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Instans Terkelola Azure SQL

• Untuk mengalihkan pelindung TDE dari mode Yang dikelola Microsoft ke BYOK, gunakan perintah Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Untuk mengalihkan pelindung TDE dari mode BYOK ke yang dikelola Microsoft, gunakan perintah Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

Azure CLI

Azure SQL Database

Contoh berikut menggunakan az sql server tde-key set.

• Untuk mengalihkan pelindung TDE dari mode Yang dikelola Microsoft ke BYOK:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Untuk mengalihkan pelindung TDE dari mode BYOK ke yang dikelola Microsoft:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Instans Terkelola Azure SQL

Contoh berikut menggunakan az sql mi tde-key set.

• Untuk mengalihkan pelindung TDE dari mode Yang dikelola Microsoft ke BYOK:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Untuk mengalihkan pelindung TDE dari mode BYOK ke yang dikelola Microsoft:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Konten terkait

• Jika ada risiko keamanan, pelajari cara menghapus pelindung TDE yang berpotensi disusupi: Menghapus kunci yang berpotensi disusupi.

• Mulai menggunakan integrasi Azure Key Vault dan dukungan Bring Your Own Key untuk TDE: Aktifkan TDE menggunakan kunci Anda sendiri dari Azure Key Vault menggunakan PowerShell.