Šifravimo rakto valdymas

Visos Microsoft Dataverse duomenų bazės aplinkos naudoja „SQL Serverio“ skaidrųjį duomenų šifravimą (TDE), kuriuo į diską įrašomi duomenys šifruojami realiuoju laiku – tai dar vadinama šifravimu poilsio metu.

Pagal numatytuosius nustatymus Microsoft saugo ir tvarko duomenų bazės šifravimo raktą jūsų aplinkoms, kad jums to nereikėtų daryti. „Microsoft Power Platform“ administravimo centro raktų valdymo funkcija suteikia administratoriams galimybę savarankiškai valdyti duomenų bazės šifravimo raktus, kurie yra susiję su „Dataverse“ nuomotoju.

Svarbu

• Nuo 2023 m. birželio 2 d. ši paslauga atnaujinama į kliento valdomą šifravimo raktą. Nauji klientai, kuriems reikia valdyti savo šifravimo raktą, naudosis atnaujinta paslauga, nes ši paslauga nebesiūloma.
• Savarankiškai valdomi duomenų bazės šifravimo raktai prieinami tik tiems klientams, turintiems daugiau nei 1000 Power Apps vartotojų licencijų ir daugiau nei 1000 Dynamics 365 Enterprise licencijų ar daugiau nei 1000 licencijų iš abiejų vieno nuomotojo derinio. Norėdami pasirinkti šią programą, pateikite pagalbos užklausą .

Šifravimo rakto valdymas taikomas tik „Azure“ SQL aplinkos duomenų bazėse. Toliau nurodytos funkcijos ir paslaugos toliau naudoja valdomą Microsoft šifravimo raktą savo duomenims užšifruoti ir jų negalima užšifruoti naudojant savarankiškai valdomą šifravimo raktą:

• Kopilotai ir generatyvinės AI funkcijos Microsoft Power Platform ir Microsoft Dynamics 365
• „Dataverse“ ieška
• Elastiniai stalai
• „Mobile Offline“
• Veiklos žurnalas („Microsoft 365“ portalas)
• „Exchange“ (sinchronizavimas serveryje)

Pastaba.

• Savarankiško duomenų bazės šifravimo rakto funkcija turi būti įjungta jūsų nuomotojui, kad Microsoft galėtumėte ja naudotis.
• Norint naudoti duomenų šifravimo valdymo priemones aplinkoje, aplinka turi būti sukurta po to, kai įjungta duomenų bazės šifravimo rakto savarankiško valdymo funkcija Microsoft.
• Nuomotojuje įjungus funkciją, visos naujos aplinkos sukuriamos naudojant tik "Azure SQL" saugyklą. Šios aplinkos, neatsižvelgiant į tai, ar jos užšifruotos naudojant atsineštą savo raktą (BYOK), ar valdomą Microsoft raktą, turi apribojimų dėl failo įkėlimo dydžio, negali naudoti "Cosmos" ir "Datalake" paslaugų, o Dataverse ieškos indeksai šifruojami valdomuoju raktu Microsoft. Norėdami naudotis šiomis paslaugomis, turite pereiti prie kliento valdomo rakto.
• Mažesnio nei 128 MB dydžio failus ir vaizdus galima naudoti, jei jūsų aplinkos versija yra 9.2.21052.00103 arba naujesnė.
• Dauguma esamų aplinkų turi failą ir žurnalą, saugomus ne „Azure SQL“ duomenų bazėse. Šių aplinkų negalima įtraukti savarankiškai valdomą šifravimo raktą. Tik naujos aplinkos (prisiregistravus prie šios naujos programos) gali būti įjungtos su savarankiškai valdomu šifravimo raktu.

Įvadas į raktų valdymą

Raktų valdymas administratoriams leidžia patiems nurodyti šifravimo raktą arba jį sugeneruoti – šiuo raktu apsaugoma aplinkos duomenų bazė.

Raktų valdymo funkcija palaiko PFX ir BYOK šifravimo raktų failus, pvz., saugomus aparatūros saugos modulyje (HSM). Jei norite šifravimo raktą nusiųsti, reikės ir viešojo, ir privačiojo šifravimo rakto.

Raktų valdymo funkcija supaprastina šifravimo raktų valdymą naudodama „Azure Key Vault“, kur saugomi šifravimo raktai. „Azure Key Vault“ padeda apsaugoti kriptografinius raktus ir paslaptis, kurias naudoja debesies programos ir paslaugos. Norint naudoti raktų valdymo funkciją, nebūtina turėti Azure Key Vault prenumeratos, o daugeliu atvejų prieiga prie Dataverse naudojamų saugykloje saugomų šifravimo raktų nereikalinga.

Raktų valdymo funkcija leidžia atlikti šias užduotis.

• Suteikti galimybę savarankiškai valdyti duomenų bazės šifravimo raktus, susijusius su aplinkomis.

• Generuoti naujus šifravimo raktus arba įkelti esamų .PFX arba .BYOK šifravimo raktų failus.

• Užrakinti ir atrakinti nuomotojo aplinkas.

  Įspėjimas

  Kol nuomotojas užrakintas, nuomotojuje esančių aplinkų niekas negali pasiekti. Daugiau informacijos: Nuomotojo užrakinimas.

Supratimas apie galimus raktų valdymo pavojus

Kaip ir bet kurioje verslui gyvybiškai svarbioje srityje, administracinio lygio prieigą turintys jūsų organizacijos darbuotojai privalo būti patikimi. Prieš naudojant raktų valdymo funkciją, reikėtų suprasti duomenų bazės šifravimo raktų valdymo pavojus. Negalima atmesti galimybės, kad jūsų organizacijoje dirbantis kenkėjiškas administratorius (asmuo, kuriam buvo suteikta arba kuris įgijo administratoriaus lygio prieigą, ir kuris siekia tyčia pakenkti organizacijos saugumo ar verslo procesams) panaudos raktų valdymo funkciją, kad sukurtų raktą ir juo užrakintų visas nuomotojuje esančias aplinkas.

Apsvarstykite tokią įvykių seką.

Kenkėjiškas administratorius prisijungia prie „Power Platform“ administravimo centro, eina į skirtuką Aplinkos ir pasirenka Valdyti šifravimo raktus. Tada kenkėjiškas administratorius sukuria naują raktą su slaptažodžiu, atsisiunčia šifravimo raktą į vietinį diską ir suaktyvina naują raktą. Dabar visos aplinkos duomenų bazės užšifruotos nauju raktu. Paskui kenkėjiškas administratorius užrakina nuomotoją naujai atsisiųstu raktu, tada paima arba panaikina atsisiųstą šifravimo raktą.

Atlikus šiuos veiksmus, galima išjungti visų nuomotojo aplinkų prieigą prie interneto ir padaryti taip, kad visų duomenų bazių atsarginių kopijų būtų neįmanoma atkurti.

Svarbu

Siekiant neleisti kenkėjiškam administratoriui sutrikdyti verslo operacijų užrakinant duomenų bazę, valdomų raktų funkcija neleidžia užrakinti nuomotojo aplinkų 72 valandas nuo šifravimo rakto pakeitimo arba suaktyvinimo. Tai kitiems administratoriams suteikia iki 72 valandų neleistiniems raktų pakeitimams atšaukti.

Šifravimo raktų reikalavimai

Jei nurodote savo šifravimo raktą, jis turi atitikti šiuos Azure Key Vault priimtus reikalavimus.

• Šifravimo rakto failo formatas turi būti PFX arba BYOK.
• 2048 bitų RSA.
• RSA-HSM rakto tipas (reikalinga Microsoft palaikymo užklausa).
• PFX šifravimo raktų failai turi būti apsaugoti slaptažodžiu.

Daugiau informacijos apie HSM apsaugoto rakto generavimą ir perdavimą internetu žr. Kaip generuoti ir perduoti HSM apsaugotą raktą „Azure Key Vault“. Palaikomas tik "nCipml" tiekėjo HSM raktas. Prieš sugeneruodami HSM raktą eikite į Power Platform Šifravimo raktų valdymas/Sukurti naują rakto langą, kad gautumėte jūsų aplinkos regiono prenumeratos ID. Norėdami sukurti raktą, turite kopijuoti ir įklijuoti šį prenumeratos ID į savo HSM. Taip užtikrinsite, kad failą atidarys tik „Azure Key Vault“.

Raktų valdymo užduotys

Siekiant supaprastinti rakto valdymo užduotis, užduotys suskirstomos į tris sritis.

1. Nuomotojo šifravimo rakto generavimas arba nusiuntimas
2. Nuomotojo šifravimo rakto aktyvinimas
3. Aplinkos šifravimo valdymas

Administratoriai gali naudoti Power Platform administravimo centrą ar Power Platform administravimo modulį cmdlets tam, kad atliktų čia aprašytas nuomotojo apsaugos rakto valdymo užduotis.

Šifravimo rakto sukūrimas arba siuntimas nuomotojui

Visi šifravimo raktai saugomi saugykloje „Azure Key Vault“; be to, vienu metu gali būti tik vienas aktyvusis raktas. Kadangi aktyvusis raktas naudojamas užšifruoti visas nuomotojo aplinkas, šifravimas valdomas nuomotojo lygiu. Suaktyvinus raktą, galima pažymėti kiekvieną aplinką atskirai, kad jose būtų naudojamas šifravimo raktas.

Šia procedūra galite pirmą kartą nustatyti aplinkos raktų valdymo funkciją arba pakeisti (perkelti) jau savarankiškai valdomo nuomotojo šifravimo raktą.

Įspėjimas

Kai atliekate čia aprašytus veiksmus pirmą kartą, pasirenkate, kad būtų galima savarankiškai valdyti šifravimo raktus. Daugiau informacijos: Supratimas apie galimus raktų valdymo pavojus.

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius (Dynamics 365 administratorius arba Microsoft Power Platform administratorius).

2. Pažymėkite skirtuką Aplinkos, tada įrankių juostoje pasirinkite Valdyti šifravimo raktus.

3. Pasirinkite Patvirtinti, kad pripažintumėte raktų valdymo riziką.

4. Įrankių juostoje pasirinkite Naujas raktas.

5. Kairiojoje srityje įveskite išsamią informaciją, jei norite sukurti arba nusiųsti raktą.

   • Pasirinkite Regionas. Ši parinktis rodoma tik jei jūsų nuomotojas turi kelis regionus.
   • Įveskite Rakto pavadinimas.
   • Pasirinkite iš tolesnių parinkčių:
     • Norėdami sukurti naują raktą, pasirinkite Kurti naują (.pfx). Daugiau informacijos: Naujo rakto sukūrimas (.pfx).
     • Jei norite naudoti savo sukurtą raktą, pasirinkite Nusiųsti (.pfx arba .byok). Daugiau informacijos: Rakto nusiuntimas (.pfx arba .byok).

6. Pasirinkite Toliau.

Naujo rakto sukūrimas (.pfx)

1. Įveskite slaptažodį, tada vėl įveskite slaptažodį, kad patvirtintumėte.
2. Pasirinkite Kurti, tada naršyklėje pasirinkite sukurtą failo pranešimą.
3. Šifravimo rakto .PFX failas atsisiunčiamas į žiniatinklio naršyklės numatytąjį atsisiuntimo aplanką. Įrašykite failą saugioje vietoje (rekomenduojame sukurti šio rakto ir slaptažodžio atsargines kopijas).

Nusiųsti raktą (.pfx arba .byok)

1. Pasirinkite Nusiųsti raktą, pasirinkite .pfx arba .byok¹ failą, tada pasirinkite Atidaryti.
2. Įveskite rakto slaptažodį, tada pasirinkite Kurti.

¹ Jei naudojate .byok šifravimo raktų failus, įsitikinkite, kad eksportuodami šifravimo raktą iš savo vietinio HSM naudojate ekrane rodomą prenumeratos id. Daugiau informacijos: Kaip kurti ir perduoti HSM apsaugotus raktus „Azure Key Vault“.

Pastaba.

Siekiant sumažinti administratoriaus pagrindinio proceso valdymo veiksmų skaičių, raktas automatiškai suaktyvinamas įkėlus jį pirmą kartą. Visiems paskesniems rakto įkėlimams, norint suaktyvinti raktą, reikia atlikti papildomą veiksmą.

Nuomotojo šifravimo rakto suaktyvinimas

Sukūrus ir nusiuntus šifravimo raktą nuomotojui, raktą galima suaktyvinti.

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius (Dynamics 365 administratorius arba Microsoft Power Platform administratorius).
2. Pažymėkite skirtuką Aplinkos, tada įrankių juostoje pasirinkite Valdyti šifravimo raktus.
3. Pasirinkite Patvirtinti, kad pripažintumėte raktų valdymo riziką.
4. Pažymėkite raktą, kurio būsena yra Pasiekiamas, ir įrankių juostoje pasirinkite Aktyvinti raktą.
5. Pasirinkite Patvirtinti , kad patvirtintumėte rakto pakeitimą.

Kai aktyvinate nuomotojo raktą, raktų valdymo tarnybai reikia laiko, kad suaktyvintų raktą. Lauke Rakto būsena rodoma, kad raktas Diegiamas, kai naujas arba nusiųstas raktas aktyvinamas. Aktyvinus raktą, įvyksta toliau aprašyti dalykai.

• Visos užšifruotos aplinkos automatiškai užšifruojamos naudojant aktyvųjį raktą (dėl šio veiksmo delsos nėra).
• Suaktyvinus šifravimo raktas bus pritaikytas visoms aplinkoms, kurios yra pakeistos iš Microsoft pateikto į savarankiškai valdomą šifravimo raktą.

Svarbu

Norint supaprastinti raktų valdymo procesą, kad visos aplinkos būtų valdomos naudojant tą patį raktą, aktyviojo rakto negalima atnaujinti, kai yra užrakintų aplinkų. Visas užrakintas aplinkas reikia atrakinti prieš aktyvinant naują raktą. Jei yra užrakintų aplinkų, kurių nereikia atrakinti, jas reikia panaikinti.

Pastaba.

Suaktyvinę šifravimo raktą, 24 valandas negalėsite aktyvinti kito rakto.

Šifravimo aplinkoje valdymas

Pagal numatytuosius nustatymus kiekviena aplinka yra užšifruota naudojant Microsoft pateiktą šifravimo raktą. Suaktyvinus nuomotojo šifravimo raktą, administratoriai gali pakeisti numatytąjį šifravimą ir naudoti suaktyvintą šifravimo raktą. Norėdami naudoti suaktyvintą raktą, atlikite toliau pateikiamus veiksmus.

Šifravimo rakto taikymas aplinkai

1. Prisijunkite prie „Power Platform” administravimo centro naudodamiesi aplinkos arba sistemos administratoriaus vaidmens kredencialais.
2. Pasirinkite skirtuką Aplinkos.
3. Atidarykite pateiktą Microsoft užšifruotą aplinką.
4. Pasirinkite Žr. viską.
5. Skyriuje Aplinkos šifravimas pasirinkite Valdyti.
6. Pasirinkite Patvirtinti, kad pripažintumėte raktų valdymo riziką.
7. Pasirinkite Taikyti šį raktą, kad sutiktumėte pakeisti šifravimą ir naudoti suaktyvintą raktą.
8. Pasirinkite Patvirtinti, kad patvirtintumėte, jog valdote raktą tiesiogiai ir jog dėl šio veiksmo bus delsa.

Valdomo šifravimo rakto grąžinimas atgal į Microsoft pateiktą šifravimo raktą

Grįžus prie pateikto šifravimo rakto, Microsoft aplinka sukonfigūruojama atgal į numatytąjį veikimą, kai Microsoft šifravimo raktas valdomas už jus.

1. Prisijunkite prie „Power Platform” administravimo centro naudodamiesi aplinkos arba sistemos administratoriaus vaidmens kredencialais.
2. Pasirinkite skirtuką Aplinkos, tada pasirinkite aplinką, užšifruotą naudojant savarankiškai valdomą raktą.
3. Pasirinkite Žr. viską.
4. Skyriuje Aplinkos šifravimas pasirinkite Valdyti, tada pasirinkite Patvirtinti.
5. Dalyje Grįžti prie standartinio šifravimo valdymo pasirinkite Grįžti .
6. Gamybos aplinkose patvirtinkite aplinką, įvesdami aplinkos pavadinimą.
7. Pasirinkite Patvirtinti, kad grįžtumėte prie standartinio šifravimo rakto valdymo.

Nuomotojo rakinimas

Kadangi nuomotojuje yra tik vienas aktyvusis raktas, užrakinus nuomotojo šifravimą, išjungiamos visos aplinkos, esančios nuomotojuje. Visos užrakintos aplinkos lieka nepasiekiamos visiems, įskaitant Microsoft tol, kol Power Platform jūsų organizacijos administratorius atrakina jas naudodamas raktą, kuris buvo naudojamas jai užrakinti.

Perspėjimas

Niekada nereikėtų užrakinti nuomotojo aplinkų vykdant įprastą verslo procesą. Kai užrakinate nuomotoją Dataverse , visos aplinkos bus visiškai atjungtos nuo interneto ir niekas negalės jų pasiekti, įskaitant Microsoft. Be to, sustabdomos tokios paslaugos kaip sinchronizavimas ir priežiūra. Jei nuspręsite palikti aptarnavimą, užrakinus nuomotoją galima užtikrinti, kad jūsų internetinių duomenų niekas niekada nebepasieks.
Atkreipkite dėmesį į toliau pateikiamus su nuomotojo aplinkų užrakinimu susijusius dalykus.

• Užrakintų aplinkų negalima atkurti iš atsarginės kopijos.
• Užrakintos aplinkos panaikinamos, jei nebus atrakintos po 28 dienų.
• Negalėsite užrakinti aplinkų 72 valandas po šifravimo rakto pakeitimo.
• Užrakinus nuomotoją, užrakinamos visos aktyviosios aplinkos nuomotojuje.

Svarbu

• Užrakinę aktyviąsias aplinkas, turite palaukti bent vieną valandą prieš jas atrakindami.
• Pradėjus užrakinimo procesą, visi šifravimo raktai, kurių būsena yra Aktyvusis arba Pasiekiamas, panaikinami. Užrakinimo procesas gali užtrukti iki valandos ir tuo metu užrakintų aplinkų atrakinti negalima.

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius (Dynamics 365 administratorius arba Microsoft Power Platform administratorius).
2. Pažymėkite skirtuką Aplinkos, tada komandų juostoje pasirinkite Valdyti šifravimo raktus.
3. Pažymėkite raktą Aktyvusis ir pasirinkite Užrakinti aktyviąsias aplinkas.
4. Dešiniojoje srityje pasirinkite Nusiųsti aktyvųjį raktą, raskite ir pasirinkite raktą, įveskite slaptažodį, tada pasirinkite Užrakinti.
5. Paraginti įveskite ekrane rodomą tekstą, kad patvirtintumėte, jog norite užrakinti visas regiono aplinkas, ir pasirinkite Patvirtinti

Užrakintų aplinkų atrakinimas

Norėdami atrakinti aplinkas, pirmiausia turite nusiųsti, o paskui aktyvinti nuomotojo šifravimo raktą tuo pačiu raktu, kurį naudojote nuomininkui užrakinti. Atminkite, kad užrakintos aplinkos automatiškai neatrakinamos suaktyvinus raktą. Kiekvieną užrakintą aplinką reikia atrakinti atskirai.

Svarbu

• Užrakinę aktyviąsias aplinkas, turite palaukti bent vieną valandą prieš jas atrakindami.
• Atrakinimo procesas gali užtrukti iki valandos. Atrakinus raktą, jį galima naudoti Aplinkos šifravimui valdyti.
• Negalima sukurti naujo arba nusiųsti esamo rakto, kol visos užrakintos aplinkos nebus atrakintos.

Šifravimo rakto atrakinimas

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius (Dynamics 365 administratorius arba Microsoft Power Platform administratorius).
2. Pažymėkite skirtuką Aplinkos, tada pasirinkite Valdyti šifravimo raktus.
3. Pažymėkite raktą, kurio būsena yra Užrakintas, ir komandų juostoje pasirinkite Atrakinti raktą.
4. Pasirinkite Nusiųsti užrakintą raktą, raskite ir pasirinkite raktą, kuriuo buvo užrakintas nuomotojas, įveskite slaptažodį, tada pasirinkite Atrakinti. Rakto būsena tampa Diegiamas. Prieš atrakindami užrakintas aplinkas, turite palaukti, kol rakto būsena taps Aktyvusis.
5. Norėdami atrakinti aplinką, žr. kitą skyrių.

Aplinkų atrakinimas

1. Pasirinkite skirtuką Aplinkos, o po to pasirinkite užrakintos aplinkos pavadinimą.

   Arbatpinigiai

   Nežymėkite eilutės. Pasirinkite aplinkos pavadinimą.

2. Skyriuje Išsami informacija pasirinkite Žr. viską, kad dešinėje būtų rodoma sritis Išsami informacija.

3. Dalies Aplinka šifravimo skyriuje srityje Išsami informacija pasirinkite Valdyti.

   

4. Puslapyje Aplinkos šifravimas pasirinkite Atrakinti.

   

5. Pasirinkite Patvirtinti, kad patvirtintumėte, jog norite atrakinti aplinką.

6. Norėdami atrakinti papildomas aplinkas, pakartokite ankstesnius veiksmus.

Aplinkos duomenų bazės operacijos

Kliento nuomotojas gali turėti aplinkas, užšifruotas naudojant valdomąjį raktą, Microsoft ir aplinkas, užšifruotas naudojant kliento valdomą raktą. Siekiant išlaikyti duomenų vientisumą ir duomenų apsaugą, tvarkant aplinkos duomenų bazės operacijas pasiekiami šie valdikliai.

1. Atkurti Aplinka, kurią reikia perrašyti (atkurta į aplinką), yra apribota toje pačioje aplinkoje, iš kurios buvo paimta atsarginė kopija, arba į kitą aplinką, kuri yra užšifruota tuo pačiu kliento valdomu raktu.

   

2. Kopijuoti Aplinka, kurią norite perrašyti (nukopijuota į aplinką), apribojama kitoje aplinkoje, kuri yra užšifruota tuo pačiu kliento valdomu raktu.

   

   Pastaba.

   Jei buvo sukurta palaikymo tyrimo aplinka problemai spręsti kliento valdomoje aplinkoje, prieš atliekant operaciją Kopijuoti aplinką, palaikymo tyrimo aplinkos šifravimo raktas turi būti pakeistas kliento valdomu raktu.

3. Nustatyti iš naujo Aplinkos užšifruoti duomenys bus ištrinti, įskaitant atsargines kopijas. Kai aplinka bus nustatyta iš naujo, aplinkos šifravimas grąžinti atgal į valdomą Microsoft raktą.

Taip pat žr.

SQL serveris: skaidrus duomenų šifravimas (TDE)