Abilitare TDE utilizzando EKM
Questo argomento descrive come abilitare Transparent Data Encryption (TDE) in SQL Server 2014 per proteggere una chiave di crittografia del database usando una chiave asimmetrica archiviata in un modulo EKM (Extensible Key Management) con Transact-SQL.
TDE esegue la crittografia dello spazio di archiviazione di un intero database usando una chiave simmetrica detta "chiave di crittografia del database". È inoltre possibile proteggere la chiave di crittografia del database utilizzando un certificato protetto dalla chiave master del database master. Per altre informazioni sulla protezione della chiave di crittografia del database tramite la chiave master del database, vedere Transparent Data Encryption (TDE). Per informazioni sulla configurazione di TDE quando SQL Server è in esecuzione in una macchina virtuale di Azure, vedere Extensible Key Management Using Azure Key Vault (SQL Server).
Contenuto dell'articolo
Prima di iniziare:
Prima di iniziare
Limitazioni e restrizioni
Per creare una chiave di crittografia del database e crittografare un database, è necessario essere un utente con privilegi elevati, ad esempio un amministratore di sistema, che possa essere autenticato dal modulo EKM.
Al momento dell'avvio, il motore di database deve aprire il database. A tal fine, è necessario creare le credenziali che dovranno essere autenticate dal modulo EKM e aggiungerle a un account di accesso basato su una chiave asimmetrica. Gli utenti non possono accedere usando tale account di accesso, ma il motore di database sarà in grado di autenticarsi con il dispositivo EKM.
Se la chiave asimmetrica archiviata nel modulo EKM viene persa, il database non potrà essere aperto da SQL Server. Se il provider EKM consente di eseguire il backup della chiave asimmetrica, è consigliabile creare una copia di backup e archiviarla in una posizione sicura.
Le opzioni e i parametri richiesti dal provider EKM possono differire da quanto indicato nell'esempio di codice seguente. Per altre informazioni, rivolgersi al provider EKM.
Sicurezza
Autorizzazioni
In questo argomento vengono utilizzate le autorizzazioni seguenti:
Per modificare un'opzione di configurazione ed eseguire l'istruzione RECONFIGURE, è necessario disporre dell'autorizzazione a livello di server ALTER SETTINGS. L'autorizzazione ALTER SETTINGS è assegnata implicitamente ai ruoli predefiniti del server sysadmin e serveradmin .
È richiesta l'autorizzazione ALTER ANY CREDENTIAL.
È richiesta l'autorizzazione ALTER ANY LOGIN.
È necessaria l'autorizzazione CREATE ASYMMETRIC KEY.
È necessaria l'autorizzazione CONTROL nel database per crittografare il database.
Uso di Transact-SQL
Per abilitare Transparent Data Encryption tramite Extensible Key Management
Copiare i file forniti dal provider EKM in un percorso appropriato nel computer SQL Server. In questo esempio viene usata la cartella C:\EKM .
Installare i certificati nel computer in base a quanto richiesto dal provider EKM.
Nota
SQL Server non fornisce un provider EKM. Ogni provider EKM può richiedere procedure diverse per l'installazione, la configurazione e l'autorizzazione degli utenti. Per completare questo passaggio, consultare la documentazione del provider EKM.
In Esplora oggetti connettersi a un'istanza del motore di database.
Sulla barra Standard fare clic su Nuova query.
Copiare e incollare l'esempio seguente nella finestra Query, quindi fare clic su Esegui.
-- Enable advanced options. sp_configure 'show advanced options', 1 ; GO RECONFIGURE ; GO -- Enable EKM provider sp_configure 'EKM provider enabled', 1 ; GO RECONFIGURE ; GO -- Create a cryptographic provider, which we have chosen to call "EKM_Prov," based on an EKM provider CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov FROM FILE = 'C:\EKM_Files\KeyProvFile.dll' ; GO -- Create a credential that will be used by system administrators. CREATE CREDENTIAL sa_ekm_tde_cred WITH IDENTITY = 'Identity1', SECRET = 'q*gtev$0u#D1v' FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ; GO -- Add the credential to a high privileged user such as your -- own domain login in the format [DOMAIN\login]. ALTER LOGIN Contoso\Mary ADD CREDENTIAL sa_ekm_tde_cred ; GO -- create an asymmetric key stored inside the EKM provider USE master ; GO CREATE ASYMMETRIC KEY ekm_login_key FROM PROVIDER [EKM_Prov] WITH ALGORITHM = RSA_512, PROVIDER_KEY_NAME = 'SQL_Server_Key' ; GO -- Create a credential that will be used by the Database Engine. CREATE CREDENTIAL ekm_tde_cred WITH IDENTITY = 'Identity2' , SECRET = 'jeksi84&sLksi01@s' FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ; -- Add a login used by TDE, and add the new credential to the login. CREATE LOGIN EKM_Login FROM ASYMMETRIC KEY ekm_login_key ; GO ALTER LOGIN EKM_Login ADD CREDENTIAL ekm_tde_cred ; GO -- Create the database encryption key that will be used for TDE. USE AdventureWorks2012 ; GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER ASYMMETRIC KEY ekm_login_key ; GO -- Alter the database to enable transparent data encryption. ALTER DATABASE AdventureWorks2012 SET ENCRYPTION ON ; GO
Per altre informazioni, vedere gli argomenti seguenti: