Ruotare la protezione Transparent Data Encryption (TDE)

Si applica a:Database SQL di AzureIstanza gestita di SQL di Azure Synapse Analytics (solo pool SQL dedicate)

Questo articolo descrive la rotazione delle chiavi per un server usando una protezione TDE di Azure Key Vault. Ruotare una protezione TDE logica per un server significa passare a una nuova chiave asimmetrica che protegge i database nel server. La rotazione delle chiavi è un'operazione online e richiede solo pochi secondi, perché si limita a decrittografare e crittografare nuovamente la chiave di crittografia dei dati del database, ma non l'intero database.

Questo articolo illustra i metodi automatizzati e manuali per ruotare la protezione TDE nel server.

Considerazioni importanti quando si ruota la protezione TDE

• Quando viene modificata/ruotata la protezione TDE per un database, inclusi i file di resoconto di cui è stato eseguito il backup, i backup precedenti del database non vengono aggiornati per l'uso della protezione TDE più recente. Per ripristinare un backup crittografato con la protezione TDE del Key Vault, assicurarsi che il materiale della chiave sia disponibile per il server di destinazione. Per questa ragione, è consigliabile conservare tutte le versioni precedenti della protezione TDE nell’Azure Key Vault (AKV) in modo che i backup dei database possano essere ripristinati.
• Anche quando si passa dalla chiave gestita dal cliente (CMK) alla chiave gestita dal servizio, mantenere tutte le chiavi usate in precedenza in Azure Key Vault. Ciò garantisce che i backup del database, inclusi i file di resoconto di cui è stato effettuato il backup, possano essere ripristinati con le protezioni TDE memorizzate nell’Azure Key Vault.
• Oltre ai backup precedenti, i file di registro delle transazioni potrebbero anche richiedere l'accesso alla protezione TDE precedente. Per determinare se sono presenti log rimanenti che richiedono ancora la chiave precedente, dopo l'esecuzione della rotazione delle chiavi, usare la DMV sys.dm_db_log_info. Questa DMV restituisce informazioni sul file di log virtuale (VLF) del log delle transazioni insieme all'identificazione personale della chiave di crittografia del file VLF.
• Le chiavi meno recenti devono essere mantenute in Azure Key Vault e disponibili per il server in base al periodo di conservazione dei backup configurato come i criteri di conservazione dei back-of-backup nel database. Ciò consente di garantire che tutti i backup di conservazione a lungo termine (LTR) nel server possano comunque essere ripristinati usando le chiavi precedenti.

Nota

È necessario riprendere un pool SQL dedicato sospeso in Azure Synapse Analytics prima delle rotazioni delle chiavi.

Questo articolo si applica a Database SQL di Azure, Istanza gestita di SQL di Azure e pool SQL dedicati di Azure Synapse Analytics (in precedenza SQL DW). Per la documentazione su Transparent Data Encryption (TDE) per pool SQL dedicati all'interno delle aree di lavoro di Synapse, vedere Crittografia di Azure Synapse Analytics.

Importante

Non eliminare le versioni precedenti della chiave dopo l'effetto di rotazione. Quando viene eseguito il rollover delle chiavi, alcuni dati rimangono crittografati con le chiavi precedenti, ad esempio backup di database precedenti, file di log sottoposti a backup e file di log delle transazioni.

Prerequisiti

• Questa guida pratica presuppone che una chiave di Azure Key Vault sia già in uso come protezione TDE per un database SQL di Azure o Azure Synapse Analytics. Vedere Transparent Data Encryption con supporto BYOK.
• È necessario che sia installato e sia esecuzione Azure PowerShell.

Suggerimento

Consigliata ma facoltativa - Creare innanzitutto il materiale della chiave per la protezione TDE in un modulo di protezione hardware (HSM) o in un archivio chiavi locale e importare il materiale della chiave in Azure Key Vault. Seguire le Istruzioni per l'uso di un modulo di protezione hardware (HSM) e di Key Vault per altre informazioni.

Portale

Accedere al portale di Azure

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql. Usare il nuovo modulo Az di Azure PowerShell.

L’interfaccia della riga di comando di Azure

Per l’installazione, vedere Installare l'interfaccia della riga di comando di Azure.

Rotazione delle chiavi automatica

La rotazione automatica per la protezione TDE può essere abilitata quando si configura la protezione TDE per il server o il database, dal portale di Azure o usando i comandi di PowerShell o dell'interfaccia della riga di comando di Azure seguenti. Una volta abilitato, il server controlla continuamente l'insieme di credenziali delle chiavi per le nuove versioni della chiave usata come protezione TDE. Se viene rilevata una nuova versione della chiave, la protezione TDE nel server o nel database verrà ruotata automaticamente all’ultima versione entro 24 ore.

La rotazione automatica in un server, un database o un'istanza gestita può essere usata con la rotazione automatica delle chiavi in Azure Key Vault per abilitare la rotazione del tocco zero end-to-end per le chiavi TDE.

Nota

Se nel server o nell'istanza gestita è configurata la replica geografica, prima di abilitare la rotazione automatica, è necessario seguire altre linee guida come descritto qui.

Portale

Usare il portale di Azure:

1. Passare alla sezione Transparent Data Encryption per un server o un'istanza gestita esistente.
2. Selezionare l'opzione Chiave gestita dal cliente e selezionare l'insieme di credenziali delle chiavi e la chiave da usare come protezione TDE.
3. Selezionare la casella di controllo Ruota automatica della chiave.
4. Seleziona Salva.

PowerShell

Per istruzioni sull'installazione del modulo Az PowerShell, vedere Installare Azure PowerShell. Per i cmdlet specifici, vedere AzureRM.Sql.

Per abilitare la rotazione automatica per la protezione TDE tramite PowerShell, vedere lo script seguente. La <keyVaultKeyId> può essere recuperata dall’insieme di credenziali delle chiavi.

Database SQL di Azure

Usare il comando Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Istanza gestita di database SQL di Azure

Usare il comando Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

L’interfaccia della riga di comando di Azure

Per informazioni sull'installazione della versione attuale dell’interfaccia della riga di comando di Azure, consultare l’articolo Installare l’interfaccia della riga di comando di Azure.

Per abilitare la rotazione automatica per la protezione TDE tramite l'interfaccia della riga di comando di Azure, vedere lo script seguente.

Database SQL di Azure

Usare il comando az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Istanza gestita di database SQL di Azure

Usare il comando az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Rotazione automatica delle chiavi a livello di database

La rotazione automatica delle chiavi può essere abilitata anche a livello di database per database SQL di Azure. Ciò è utile quando si desidera abilitare la rotazione automatica delle chiavi per uno o un solo subset di database in un server. Per altre informazioni, vedere Gestione delle identità e delle chiavi per TDE con chiavi gestite dal cliente a livello di database.

Portale

Per portale di Azure informazioni sulla configurazione della rotazione automatica delle chiavi a livello di database, vedere Aggiornare un database SQL di Azure esistente con chiavi gestite dal cliente a livello di database.

PowerShell

Per abilitare la rotazione automatica per la protezione TDE a livello di database tramite PowerShell, vedere il comando seguente. Usare il parametro -EncryptionProtectorAutoRotation e impostare su $true per abilitare la rotazione automatica delle chiavi o $false per disabilitare la rotazione automatica delle chiavi.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

L’interfaccia della riga di comando di Azure

Per abilitare la rotazione automatica per la protezione TDE a livello di database usando l'interfaccia della riga di comando di Azure, vedere il comando seguente. Usare il parametro --encryption-protector-auto-rotation e impostare su True per abilitare la rotazione automatica delle chiavi o False per disabilitare la rotazione automatica delle chiavi.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Rotazione automatica delle chiavi per le configurazioni di replica geografica

In una configurazione di replica geografica database SQL di Azure in cui il server primario è impostato per l'uso di TDE con chiave gestita dal cliente, è necessario configurare anche il server secondario per abilitare TDE con la chiave gestita dal cliente con la stessa chiave usata nel database primario.

Portale

Usare il portale di Azure:

1. Passare alla sezione Transparent Data Encryption per il server primario.

2. Selezionare l'opzione Chiave gestita dal cliente e selezionare l'insieme di credenziali delle chiavi e la chiave da usare come protezione TDE.

3. Selezionare la casella di controllo Ruota automatica della chiave.

4. Seleziona Salva.

   

5. Passare alla sezione Transparent Data Encryption per il server secondario.

6. Selezionare l'opzione Chiave gestita dal cliente e selezionare l'insieme di credenziali delle chiavi e la chiave da usare come protezione TDE. Usare la stessa chiave usata per il server primario.

7. Deselezionare Rendi questa chiave la protezione TDE predefinita.

8. Seleziona Salva.

   

Quando la chiave viene ruotata sul server primario, viene trasferita automaticamente al server secondario.

PowerShell

La <keyVaultKeyId> può essere recuperata dall’insieme di credenziali delle chiavi.

1. Usare il comando Add-AzSqlServerKeyVaultKey per aggiungere una nuova chiave al server secondario.

   # add the key from Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Aggiungere la stessa chiave nel primo passaggio al serverprimario.

   # add the key from Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Usare Set-AzSqlInstanceTransparentDataEncryptionProtector per impostare la chiave come protezione primaria nel server primario con rotazione della chiave automatica impostata su true.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Ruotare la chiave dell'insieme di credenziali delle chiavi nell'insieme di credenziali delle chiavi usando il comando Get-AzKeyVaultKey e Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Controllare se SQL Server (primario e secondario) ha la nuova chiave o la versione della chiave:

   Nota

   La rotazione delle chiavi può richiedere fino a un'ora per essere applicata al server. Attendere almeno un'ora prima di eseguire questo comando.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Usare chiavi diverse per ogni server

È possibile configurare i server primari e secondari con una chiave dell'insieme di credenziali delle chiavi diversa durante la configurazione di TDE con la chiave gestita dal cliente nel portale di Azure. Non è evidente nel portale di Azure che la chiave usata per proteggere il server primario è la stessa chiave usata per proteggere il database primario replicato nel server secondario. Tuttavia, è possibile usare PowerShell, l'interfaccia della riga di comando di Azure o le API REST per ottenere informazioni dettagliate sulle chiavi usate nel server. Ciò mostra che le chiavi ruotate automaticamente vengono trasferite dal server primario al server secondario.

Ecco un esempio di uso dei comandi di PowerShell per verificare la presenza di chiavi trasferite dal server primario al server secondario dopo la rotazione delle chiavi.

1. Eseguire il comando seguente nel server primario per visualizzare i dettagli chiave di un server:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. I risultati visualizzati saranno simili ai seguenti:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Eseguire lo stesso comando Get-AzSqlServerKeyVaultKey nel server secondario:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Se il server secondario ha una protezione TDE predefinita con una chiave diversa rispetto al server primario, verranno visualizzate due o più chiavi. La prima chiave è la protezione TDE predefinita e la seconda è la chiave usata nel server primario usato per proteggere il database replicato.

5. Quando la chiave viene ruotata sul server primario, viene trasferita automaticamente al server secondario. Se si dovesse eseguire di nuovo Get-AzSqlServerKeyVaultKey nel server primario, verranno visualizzate due chiavi. La prima chiave è la chiave originale e la seconda, ovvero la chiave corrente generata come parte della rotazione della chiave.

6. L'esecuzione del comando Get-AzSqlServerKeyVaultKey nel server secondario deve mostrare anche le stesse chiavi presenti nel server primario. Ciò conferma che le chiavi ruotate nel server primario vengono trasferite automaticamente al server secondario e usate per proteggere la replica di database.

Rotazione manuale delle chiavi

La rotazione manuale delle chiavi usa i comandi seguenti per aggiungere una chiave nuova, che potrebbe avere un nome diverso oppure trovarsi sotto un altro insieme di credenziali delle chiavi. Questo approccio consente di aggiungere la stessa chiave a diversi insiemi di credenziali delle chiavi per supportare scenari di ripristino di emergenza geografico a disponibilità elevata. È anche possibile eseguire la rotazione manuale delle chiavi usando il portale di Azure.

Con la rotazione manuale delle chiavi, quando viene generata una nuova versione della chiave nell'insieme di credenziali delle chiavi (manualmente o tramite criteri di rotazione automatica delle chiavi nell'insieme di credenziali delle chiavi), lo stesso deve essere impostato manualmente come protezione TDE nel server.

Nota

La lunghezza combinata per il nome dell'insieme di credenziali delle chiavi non può superare 94 caratteri.

Portale

Con il portale di Azure:

1. Passare al menu Transparent Data Encryption per un server o un'istanza gestita esistente.
2. Selezionare l'opzione Chiave gestita dal cliente e selezionare l'insieme di credenziali delle chiavi e la chiave da usare come nuova protezione TDE.
3. Seleziona Salva.

PowerShell

Usare il comando Add-AzKeyVaultKey per aggiungere una nuova chiave all'insieme di credenziali delle chiavi.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Per il database SQL di Azure, usare:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Per Istanza gestita di SQL per Azure, usare:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

L’interfaccia della riga di comando di Azure

Per aggiungere una nuova chiave nell'insieme di credenziali delle chiavi, eseguire il comando az keyvault key create.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Per il database SQL di Azure, usare:

• az sql server key create
• az sql server tde-key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Per Istanza gestita di SQL per Azure, usare:

• az sql mi key create
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Cambiare la modalità di protezione TDE

Portale

Usare il portale di Azure per cambiare la protezione TDE dalla gestione Microsoft alla modalità BYOK:

1. Passare al menu Transparent Data Encryption per un server o un'istanza gestita esistente.
2. Selezionare l'opzione Chiave gestita dal cliente.
3. Selezionare l’insieme delle credenziali delle chiavi e la chiave da usare per la protezione TDE.
4. Seleziona Salva.

PowerShell

Database SQL di Azure

• Per passare dalla protezione TDE gestita da Microsoft alla modalità BYOK, usare il comando Set-AzSqlServerTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Per cambiare la protezione TDE dalla modalità BYOK a Microsoft gestita, usare il comando Set-AzSqlServerTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Istanza gestita di database SQL di Azure

• Per passare dalla protezione TDE gestita da Microsoft alla modalità BYOK, usare il comando Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Per cambiare la protezione TDE dalla modalità BYOK a Microsoft gestita, usare il comando Set-AzSqlInstanceTransparentDataEncryptionProtector.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

L’interfaccia della riga di comando di Azure

Database SQL di Azure

Gli esempi seguenti usano az sql server tde-key set.

• Per passare dalla protezione TDE gestita da Microsoft alla modalità BYOK:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Per impostare la protezione TDE dalla modalità BYOK a Gestita da Microsoft:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Istanza gestita di database SQL di Azure

Gli esempi seguenti usano az sql mi tde-key set.

• Per passare dalla protezione TDE gestita da Microsoft alla modalità BYOK:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Per impostare la protezione TDE dalla modalità BYOK a Gestita da Microsoft:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Contenuto correlato

• In caso di rischio per la sicurezza, consultare Rimuovere una chiave potenzialmente compromessa per informazioni su come rimuovere una protezione TDE potenzialmente compromessa.

• Introduzione all’integrazione Azure Key Vault e al supporto Bring Your Own Key per TDE: Abilitare TDE tramite la propria chiave dall’insieme di credenziali delle chiavi usando PowerShell.