Dalintis per

Šifravimo rakto valdymas

Visos aplinkos Microsoft Dataverse naudoja SQL serverio skaidrų duomenų šifravimą (TDE), kad būtų galima atlikti duomenų šifravimą realiuoju laiku, kai jie įrašomi į diską. Tai taip pat žinoma kaip šifravimas ramybės būsenoje.

Pagal numatytuosius parametrus „Microsoft“ saugo ir valdo aplinkų duomenų bazės šifravimo raktus už jus. Valdymo raktų funkcija Microsoft Power Platform administravimo centre suteikia administratoriams galimybę savarankiškai valdyti duomenų bazės šifravimo raktą, susietą su Dataverse nuomotoju.

Svarbu

Nuo 2026 m. sausio 6 d. nutrauksime savo rakto (BYOK) palaikymą. Klientai raginami pereiti prie klientų valdomų raktų (CMK) – patobulinto sprendimo, kuris siūlo patobulintas funkcijas, platesnį duomenų šaltinių palaikymą ir didesnį našumą. Sužinokite daugiau dalyje Klientų valdomo šifravimo rakto valdymas ir Aplinkos perkėlimas į kliento valdomą raktą (BYOK).

Šifravimo rakto valdymas taikomas tik „Azure“ SQL aplinkos duomenų bazėse. Toliau nurodytos funkcijos ir paslaugos toliau naudoja "Microsoft" valdomą šifravimo raktą savo duomenims užšifruoti ir jų negalima užšifruoti naudojant savarankiškai valdomą šifravimo raktą:

Pastaba.

  • Savarankiškai valdomą duomenų bazės šifravimo rakto funkciją "Microsoft" turi įjungti jūsų nuomotojui, kad galėtumėte ja naudotis.
  • Norint naudoti duomenų šifravimo valdymo priemones aplinkoje, aplinka turi būti sukurta " Microsoft" įjungus savarankiškai valdomą duomenų bazės šifravimo rakto funkciją.
  • Nuomotojuje įjungus funkciją, visos naujos aplinkos sukuriamos naudojant tik "Azure SQL" saugyklą. Šios aplinkos, neatsižvelgiant į tai, ar jos užšifruotos naudojant nuosavą raktą (BYOK), ar "Microsoft" valdomąjį raktą, turi apribojimų dėl failo įkėlimo dydžio, negali naudoti "Azure" Cosmos DB ir "Data Lake" paslaugų, Dataverse o ieškos indeksai šifruojami naudojant "Microsoft" valdomąjį raktą. Norėdami naudotis šiomis paslaugomis, turite pereiti prie kliento valdomo rakto.
  • Failus ir vaizdus , kurių dydis mažesnis nei 128 MB, galima naudoti, jei jūsų aplinkos versija yra 9.2.21052.00103 arba naujesnė.
  • Daugelyje esamų aplinkų failai ir žurnalai saugomi ne "Azure SQL" duomenų bazėse. Šiose aplinkose negalima pasirinkti savarankiškai valdomo šifravimo rakto. Naudojant savarankiškai valdomą šifravimo raktą galima įjungti tik naujas aplinkas (kai prisiregistruojate naudoti šią programą).

Įvadas į raktų valdymą

Raktų valdymas administratoriams leidžia patiems nurodyti šifravimo raktą arba jį sugeneruoti – šiuo raktu apsaugoma aplinkos duomenų bazė.

Raktų valdymo funkcija palaiko PFX ir BYOK šifravimo raktų failus, pvz., saugomus aparatūros saugos modulyje (HSM). Jei norite naudoti šifravimo rakto įkėlimo parinktį, jums reikia ir viešojo, ir privataus šifravimo rakto.

Raktų valdymo funkcija supaprastina šifravimo raktų valdymą naudodama „Azure Key Vault“, kur saugomi šifravimo raktai. „Azure Key Vault“ padeda apsaugoti kriptografinius raktus ir paslaptis, kurias naudoja debesies programos ir paslaugos. Raktų valdymo funkcijai nereikia turėti "Azure Key Vault" prenumeratos ir daugeliu atvejų nereikia pasiekti šifravimo raktų, naudojamų Dataverse saugykloje.

Valdomų raktų funkcija leidžia atlikti šias užduotis:

  • Suteikti galimybę savarankiškai valdyti duomenų bazės šifravimo raktus, susijusius su aplinkomis.

  • Generuokite naujus šifravimo raktus arba įkelkite esamus PFX arba BYOK šifravimo raktų failus.

  • Užrakinti ir atrakinti nuomotojo aplinkas.

    Įspėjimas

    Kol nuomotojas užrakintas, niekas negali pasiekti jokių nuomotojo aplinkų. Daugiau informacijos: Nuomotojo užrakinimas

Supratimas apie galimus raktų valdymo pavojus

Kaip ir bet kurioje verslui svarbioje programoje, jūsų organizacijos darbuotojai, turintys administracinio lygio prieigą, turi būti patikimi. Prieš naudojant raktų valdymo funkciją, reikėtų suprasti duomenų bazės šifravimo raktų valdymo pavojus. Gali būti, kad jūsų organizacijoje dirbantis kenkėjiškas administratorius (asmuo, kuriam suteikta arba kuris gavo administratoriaus lygio prieigą, siekdamas pakenkti organizacijos saugai arba verslo procesams), gali naudoti valdomųjų raktų funkciją, kad sukurtų raktą ir naudotų jį užrakinti visas nuomotojo aplinkas.

Apsvarstykite tokią įvykių seką.

Kenkėjiškas administratorius prisijungia prie "Power Platform" administravimo centro, eina į puslapį Aplinkos ir pasirenka Valdyti šifravimo raktą. Tada kenkėjiškas administratorius sukuria naują raktą su slaptažodžiu, atsisiunčia šifravimo raktą į vietinį diską ir suaktyvina naują raktą. Dabar visos aplinkos duomenų bazės užšifruotos nauju raktu. Paskui kenkėjiškas administratorius užrakina nuomotoją naujai atsisiųstu raktu, tada paima arba panaikina atsisiųstą šifravimo raktą.

Dėl šių veiksmų visos nuomotojo aplinkos išjungiamos nuo internetinės prieigos ir visos duomenų bazės atsarginės kopijos tampa neatkuriamos.

Svarbu

Siekiant neleisti kenkėjiškam administratoriui sutrikdyti verslo operacijų užrakinant duomenų bazę, valdomų raktų funkcija neleidžia užrakinti nuomotojo aplinkų 72 valandas nuo šifravimo rakto pakeitimo arba suaktyvinimo. Tai kitiems administratoriams suteikia iki 72 valandų neleistiniems raktų pakeitimams atšaukti.

Šifravimo raktų reikalavimai

Jei nurodote savo šifravimo raktą, jis turi atitikti šiuos Azure Key Vault priimtus reikalavimus.

  • Šifravimo rakto failo formatas turi būti PFX arba BYOK.
  • 2048 bitų RSA.
  • RSA-HSM rakto tipas (reikalinga "Microsoft" palaikymo užklausa).
  • PFX šifravimo raktų failai turi būti apsaugoti slaptažodžiu.

Daugiau informacijos apie HSM apsaugoto rakto generavimą ir perdavimą internetu rasite Kaip sugeneruoti ir perkelti HSM apsaugotus raktus "Azure Key Vault". Palaikomas tik "nCipml" tiekėjo HSM raktas. Prieš generuodami HSM raktą, eikite į Power Platform administravimo centrą Šifravimo raktų>tvarkymas Sukurti naują rakto langą, kad gautumėte savo aplinkos regiono prenumeratos ID. Norėdami sukurti raktą, turite kopijuoti ir įklijuoti šį prenumeratos ID į savo HSM. Tai užtikrina, kad failą galės atidaryti tik mūsų "Azure Key Vault".

Raktų valdymo užduotys

Siekiant supaprastinti rakto valdymo užduotis, užduotys suskirstomos į tris sritis.

Administratoriai gali naudoti Power Platform administravimo centrą ar Power Platform administravimo modulį cmdlets tam, kad atliktų čia aprašytas nuomotojo apsaugos rakto valdymo užduotis.

Šifravimo rakto sukūrimas arba siuntimas nuomotojui

Visi šifravimo raktai saugomi saugykloje „Azure Key Vault“; be to, vienu metu gali būti tik vienas aktyvusis raktas. Kadangi aktyvusis raktas naudojamas užšifruoti visas nuomotojo aplinkas, šifravimas valdomas nuomotojo lygiu. Suaktyvinus raktą, galima pažymėti kiekvieną aplinką atskirai, kad jose būtų naudojamas šifravimo raktas.

Naudokite šią procedūrą norėdami pirmą kartą nustatyti valdomojo rakto funkciją aplinkoje arba pakeisti (arba perkelti) jau savarankiškai valdomo nuomotojo šifravimo raktą.

Įspėjimas

Kai čia aprašytus veiksmus atliekate pirmą kartą, pasirenkate savarankišką šifravimo raktų valdymą. Daugiau informacijos: Supraskite galimą riziką, kylančią tvarkant raktus

  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).

  2. Naršymo srityje pasirinkite Valdyti .

  3. Srityje Tvarkyti pasirinkite Aplinkos. Rodomas puslapis Aplinkos .

  4. Įrankių juostoje pasirinkite Tvarkyti šifravimo raktus .

  5. Pasirinkite Patvirtinti , kad patvirtintumėte valdomos pagrindinės rizikos veiksnį.

  6. Įrankių juostoje pasirinkite Naujas raktas.

  7. Kairiojoje srityje įveskite išsamią informaciją, jei norite sukurti arba nusiųsti raktą.

    • Pasirinkite Regionas. Ši parinktis rodoma tik jei jūsų nuomotojas turi kelis regionus.
    • Įveskite Rakto pavadinimas.
    • Pasirinkite iš tolesnių parinkčių:

  8. Pasirinkite Toliau.

Naujo rakto sukūrimas (.pfx)

  1. Įveskite slaptažodį ir tada dar kartą įveskite slaptažodį, kad patvirtintumėte.
  2. Pasirinkite Sukurti ir naršyklėje pasirinkite sukurto failo pranešimą.
  3. Šifravimo rakto .pfx failas atsisiunčiamas į jūsų žiniatinklio naršyklės numatytąjį atsisiuntimų aplanką. Įrašykite failą saugioje vietoje (rekomenduojame sukurti šio rakto ir slaptažodžio atsargines kopijas).

Nusiųsti raktą (.pfx arba .byok)

  1. Pasirinkite Nusiųsti raktą, pasirinkite .pfx arba .byok1 failą, tada pasirinkite Atidaryti.
  2. Įveskite rakto slaptažodį ir pasirinkite Sukurti.

1 Jei naudojate .byok šifravimo raktų failus, įsitikinkite, kad eksportuodami šifravimo raktą iš savo vietinio HSM naudojate ekrane rodomą prenumeratos id. Daugiau informacijos: Kaip generuoti ir perduoti HSM apsaugotus raktus, skirtus „Azure Key Vault“ saugyklai

Pastaba.

Siekiant sumažinti administratoriaus atliekamų veiksmų skaičių valdant rakto procesą, raktas automatiškai aktyvuojamas pirmą kartą įkėlus. Visiems vėlesniems rakto įkėlimams reikalingas papildomas veiksmas, kad raktas būtų aktyvuotas.

Nuomotojo šifravimo rakto suaktyvinimas

Sukūrus ir nusiuntus šifravimo raktą nuomotojui, raktą galima suaktyvinti.

  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
  2. Naršymo srityje pasirinkite Valdyti .
  3. Srityje Tvarkyti pasirinkite Aplinkos. Rodomas puslapis Aplinkos .
  4. Įrankių juostoje pasirinkite Tvarkyti šifravimo raktus .
  5. Pasirinkite Patvirtinti , kad patvirtintumėte valdomos pagrindinės rizikos veiksnį.
  6. Pažymėkite raktą, kurio būsena yra Pasiekiamas, ir įrankių juostoje pasirinkite Aktyvinti raktą.
  7. Pasirinkite Patvirtinti , kad patvirtintumėte rakto pakeitimą.

Kai aktyvinate nuomotojo raktą, raktų valdymo tarnybai reikia laiko, kad suaktyvintų raktą. Lauke Rakto būsena rodoma, kad raktas Diegiamas, kai naujas arba nusiųstas raktas aktyvinamas.

Aktyvinus raktą, įvyksta toliau aprašyti dalykai.

  • Visos užšifruotos aplinkos automatiškai užšifruojamos aktyviu raktu (atlikus šį veiksmą, prastovų nėra).
  • Aktyvavus šifravimo raktą, jis taikomas visoms aplinkoms, kurios pakeičiamos iš „Microsoft“ pateikto į savarankiškai valdomą šifravimo raktą.

Svarbu

Norint supaprastinti raktų valdymo procesą, kad visos aplinkos būtų valdomos naudojant tą patį raktą, aktyviojo rakto negalima atnaujinti, kai yra užrakintų aplinkų. Visas užrakintas aplinkas reikia atrakinti prieš aktyvinant naują raktą. Jei yra užrakintų aplinkų, kurių nereikia atrakinti, jas reikia panaikinti.

Pastaba.

Suaktyvinę šifravimo raktą, 24 valandas negalėsite aktyvinti kito rakto.

Šifravimo aplinkoje valdymas

Pagal numatytuosius parametrus kiekviena aplinka užšifruojama naudojant „Microsoft“ pateiktą šifravimo raktą. Suaktyvinus nuomotojo šifravimo raktą, administratoriai gali pakeisti numatytąjį šifravimą ir naudoti suaktyvintą šifravimo raktą. Norėdami naudoti suaktyvintą raktą, atlikite toliau pateikiamus veiksmus.

Šifravimo rakto taikymas aplinkai

  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
  2. Naršymo srityje pasirinkite Valdyti .
  3. Srityje Tvarkyti pasirinkite Aplinkos. Rodomas puslapis Aplinkos .
  4. Atidarykite užšifruotą aplinką „Microsoft“ pateikta.
  5. Pasirinkite Žr. viską.
  6. Skyriuje Aplinkos šifravimas pasirinkite Valdyti.
  7. Pasirinkite Patvirtinti , kad patvirtintumėte valdomos pagrindinės rizikos veiksnį.
  8. Pasirinkite Taikyti šį raktą, kad sutiktumėte pakeisti šifravimą ir naudoti suaktyvintą raktą.
  9. Pasirinkite Patvirtinti , kad patvirtintumėte, jog raktą tvarkote tiesiogiai ir kad šiam veiksmui yra prastovų.

Vietoj valdomo šifravimo rakto vėl naudoti „Microsoft“ pateikiamą šifravimo raktą

Sugrąžinus „Microsoft“ pateikiamą šifravimo raktą, aplinka konfigūruojama, gražinant numatytąjį veikimo būdą, kai „Microsoft“ valdo šifravimo raktą už jus.

  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
  2. Naršymo srityje pasirinkite Valdyti .
  3. Srityje Tvarkyti pasirinkite Aplinkos. Rodomas puslapis Aplinkos .
  4. Pasirinkite aplinką, kuri užšifruojama savarankiškai valdomu raktu.
  5. Pasirinkite Žr. viską.
  6. Skiltyje Aplinkos šifravimas pasirinkite Tvarkyti ir tada pasirinkite Patvirtinti.
  7. Dalyje Grįžti prie standartinio šifravimo valdymo pasirinkite Grįžti.
  8. Gamybos aplinkose patvirtinkite aplinką, įvesdami aplinkos pavadinimą.
  9. Pasirinkite Patvirtinti, kad grįžtumėte prie standartinio šifravimo rakto valdymo.

Nuomotojo rakinimas

Kadangi kiekvienam nuomotojui yra tik vienas aktyvus raktas, užrakinus nuomininko šifravimą, išjungiamos visos nuomotojuje esančios aplinkos . Visos užrakintos aplinkos yra niekam nepasiekiamos, įskaitant „Microsoft“, kol jūsų organizacijos Power Platform aptarnavimo administratorius jo neatrakins raktu, kuriuo jis buvo užrakintas.

Perspėjimas

Niekada nereikėtų užrakinti nuomotojo aplinkų vykdant įprastą verslo procesą. Užrakinus nuomininką, visos aplinkos atjungiamos nuo tinklo ir prie jų negali prisijungti niekas, įskaitant „Microsoft“. Dataverse Be to, sustabdomos tokios paslaugos kaip sinchronizavimas ir priežiūra. Jei nuspręsite palikti aptarnavimą, užrakinus nuomotoją galima užtikrinti, kad jūsų internetinių duomenų niekas niekada nebepasieks.

Atkreipkite dėmesį į toliau pateikiamus su nuomotojo aplinkų užrakinimu susijusius dalykus.

  • Užrakintų aplinkų negalima atkurti iš atsarginės kopijos.
  • Užrakintos aplinkos panaikinamos, jei nebus atrakintos po 28 dienų.
  • Negalėsite užrakinti aplinkų 72 valandas po šifravimo rakto pakeitimo.
  • Užrakinus nuomotoją, užrakinamos visos aktyviosios aplinkos nuomotojuje.

Svarbu

  • Užrakinę aktyviąsias aplinkas, turite palaukti bent vieną valandą prieš jas atrakindami.
  • Pradėjus užrakinimo procesą, visi šifravimo raktai, kurių būsena yra Aktyvusis arba Pasiekiamas, panaikinami. Užrakinimo procesas gali užtrukti iki valandos, ir per šį laiką atrakinti užrakintų aplinkų neleidžiama.
  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
  2. Naršymo srityje pasirinkite Valdyti .
  3. Srityje Tvarkyti pasirinkite Aplinkos. Rodomas puslapis Aplinkos .
  4. Įrankių juostoje pasirinkite Tvarkyti šifravimo raktus .
  5. Pažymėkite raktą Aktyvusis ir pasirinkite Užrakinti aktyviąsias aplinkas.
  6. Dešiniojoje srityje pasirinkite Nusiųsti aktyvųjį raktą, raskite ir pasirinkite raktą, įveskite slaptažodį, tada pasirinkite Užrakinti.
  7. Paraginti įveskite ekrane rodomą tekstą, kad patvirtintumėte, jog norite užrakinti visas regiono aplinkas, ir pasirinkite Patvirtinti

Užrakintų aplinkų atrakinimas

Norėdami atrakinti aplinkas, pirmiausia turite įkelti ir aktyvuoti nuomininko šifravimo raktą tuo pačiu raktu, kuris buvo naudojamas nuomininkui užrakinti. Užrakintos aplinkos neatrakinamos automatiškai, kai raktas suaktyvinamas. Kiekvieną užrakintą aplinką reikia atrakinti atskirai.

Svarbu

  • Užrakinę aktyviąsias aplinkas, turite palaukti bent vieną valandą prieš jas atrakindami.
  • Atrakinimo procesas gali užtrukti iki valandos. Atrakinus raktą, jį galima naudoti Aplinkos šifravimui valdyti.
  • Negalima sukurti naujo arba nusiųsti esamo rakto, kol visos užrakintos aplinkos nebus atrakintos.
Šifravimo rakto atrakinimas

  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).

  2. Naršymo srityje pasirinkite Valdyti .

  3. Srityje Tvarkyti pasirinkite Aplinkos. Rodomas puslapis Aplinkos .

  4. Įrankių juostoje pasirinkite Tvarkyti šifravimo raktus .

  5. Pažymėkite raktą, kurio būsena yra Užrakintas, ir komandų juostoje pasirinkite Atrakinti raktą.

  6. Pasirinkite Nusiųsti užrakintą raktą, raskite ir pasirinkite raktą, kuriuo buvo užrakintas nuomotojas, įveskite slaptažodį, tada pasirinkite Atrakinti.

    Rakto būsena tampa Diegiamas. Prieš atrakindami užrakintas aplinkas, turite palaukti, kol rakto būsena taps Aktyvusis.

  7. Norėdami atrakinti aplinką, žr. kitą skyrių.

Aplinkų atrakinimas

  1. Eikite į puslapį Aplinkos ir pasirinkite užrakintos aplinkos pavadinimą.

    Arbatpinigiai

    Nežymėkite eilutės. Pasirinkite aplinkos pavadinimą.

  2. Skyriuje Išsami informacija pasirinkite Žr. viską, kad dešinėje būtų rodoma sritis Išsami informacija.

  3. Skiltyje Aplinka Šifravimas, esančioje srityje Išsami informacija , pasirinkite Tvarkyti.

  4. Puslapyje Aplinkos šifravimas pasirinkite Atrakinti.

  5. Pasirinkite Patvirtinti, kad patvirtintumėte, jog norite atrakinti aplinką.

  6. Pakartokite ankstesnius veiksmus, kad atrakintumėte kitas aplinkas.

Aplinkos duomenų bazės operacijos

Kliento nuomotojas gali turėti aplinkas, kurios užšifruotos naudojant „Microsoft“ valdomą raktą, ir aplinkas, kurios užšifruotos naudojant kliento valdomą raktą. Siekiant išlaikyti duomenų vientisumą ir duomenų apsaugą, tvarkant aplinkos duomenų bazės operacijas pasiekiami šie valdikliai.

  1. Atkurti

    Perrašoma aplinka (atkurta aplinka) yra apribota ta pačia aplinka, iš kurios buvo sukurta atsarginė kopija, arba kita aplinka, kuri yra užšifruota tuo pačiu kliento valdomu raktu. Be to, ankstesnės atsarginės kopijos, padarytos, kai aplinka buvo užšifruota naudojant "Microsoft" valdomą raktą, negalima atkurti aplinkoje, kuri šiuo metu yra užšifruota naudojant kliento valdomą raktą. Kitaip tariant, atsarginės kopijos atkūrimas į aplinką leidžiamas, kai dabartinė aplinkos šifravimo būsena (nesvarbu, ar tai būtų "Microsoft" valdomas raktas, ar kliento valdomas raktas) sutampa su aplinkos šifravimo būsena atsarginės kopijos kūrimo metu.

  2. Kopijuoti

    Perrašoma aplinka (kopijuojama aplinka) yra apribota iki kitos aplinkos, kuri yra užšifruota tuo pačiu kliento valdomu raktu.

    Pastaba.

    Jei palaikymo tyrimo aplinka buvo sukurta siekiant išspręsti palaikymo problemą kliento valdomoje aplinkoje, prieš atliekant aplinkos kopijavimo operaciją, palaikymo tyrimo aplinkos šifravimo raktą reikia pakeisti į kliento valdomą raktą.

  3. Atstatyti

    Aplinkos užšifruoti duomenys, įskaitant atsargines kopijas, ištrinami. Atstačius aplinką, aplinkos šifravimas bus grąžintas į „Microsoft“ valdomą raktą.

Susijęs turinys

SQL serveris: skaidrus duomenų šifravimas (TDE)

  • Last updated on