Šifrēšanas atslēgas pārvaldība

Visas Microsoft Dataverse vides izmanto SQL servera caurskatāmo datu šifrēšanu (Transparent Data Encryption — TDE), lai veiktu datu reāllaika šifrēšanu, tos ierakstot diskā, sauktu arī par neaktīvo šifrēšanu.

Pēc noklusējuma Microsoft glabā un pārvalda datu bāzu šifrēšanas atslēgu jūsu vidēm, lai jums tas nebūtu jādara. Atslēgu pārvaldības līdzeklis pakalpojumā Microsoft Power Platform administrēšanas centrs sniedz administratoriem iespēju patstāvīgi pārvaldīt datu bāzu šifrēšanas atslēgu, kas ir saistīta ar Dataverse nomnieku.

Svarīgi

• No 2023. gada 2. jūnija šis pakalpojums ir jaunināts uz klienta pārvaldītu šifrēšanas atslēgu. Jaunie klienti, kuriem ir jāpārvalda sava šifrēšanas atslēga, izmantos jaunināto pakalpojumu, jo šis pakalpojums vairs netiek piedāvāts.
• Pašapkalpošanās datu bāzes šifrēšanas atslēgas ir pieejamas tikai klientiem, kuriem ir vairāk nekā 1000 licenču Power Apps un vairāk nekā 1000 Dynamics 365 Enterprise licenču vai vairāk nekā 1000 licenšu abās minētajās programmās par vienu nomnieku. Lai pieteiktos šajā programmā, iesniedziet atbalsta pieprasījumu.

Šifrēšanas atslēgas pārvaldība ir piemērojama tikai Azure SQL vides datu bāzēm. Tālāk norādītie līdzekļi un pakalpojumi turpina izmantot Microsoft pārvaldīto šifrēšanas atslēgu, lai šifrētu savus datus, un tos nevar šifrēt ar pašu pārvaldītu šifrēšanas atslēgu:

• Copilots un ģeneratīvais AI funkcijas un Microsoft Power Platform Microsoft Dynamics 365
• Dataverse meklēšana
• Elastīgās tabulas
• Mobile Offline
• Darbību žurnāls (Microsoft 365 portāls)
• Exchange (servera puses sinhronizācija)

Piezīmes

• Lai jūs varētu izmantot šo līdzekli, korporācijai Microsoft vispirms jāaktivizē pašapkalpošanās datubāzes šifrēšanas atslēgas līdzeklis.
• Lai videi izmantotu datu šifrēšanas pārvaldības līdzekļus videi, vide ir jāveido pēc tam, kad Microsoft ir ieslēgusi pašpārvaldītu datu bāzes šifrēšanas atslēgu.
• Ja jūsu vidē ir instalēta 9.2.21052.00103 versija, varat iespējot atbalstu failiem un attēliem, kuru lielums < 128MB.
• Lielākajai daļai esošo vižu ir fails un žurnāls, kas tiek glabāts ne Azure SQL datu bāzēs. Šīs vides nevar tikt izvēlētas pašpārvaldītai šifrēšanas atslēgai. Ar pašpārvaldītu šifrēšanas atslēgu var iespējot tikai jaunas vides (tiklīdz esat pierakstījies šai programmai).

Iepazīšanās ar atslēgu pārvaldību

Izmantojot atslēgu pārvaldību, administratori var nodrošināt paši savu šifrēšanas atslēgu vai iegūt viņiem ģenerētu šifrēšanas atslēgu, kas tiek izmantota, lai aizsargātu vides datu bāzi.

Atslēgu pārvaldības līdzeklis atbalsta gan PFX, gan BYOK šifrēšanas atslēgu failus, piemēram, failus, kas tiek glabāti aparatūras drošības modulī (HSM). Lai izmantotu šifrēšanas atslēgas augšupielādes opciju, ir nepieciešama gan publiskā, gan privātā šifrēšanas atslēga.

Atslēgu pārvaldības līdzeklis vienkāršo šifrēšanas atslēgu pārvaldību, izmantojot Azure Key Vault, lai droši glabātu šifrēšanas atslēgas. Azure Key Vault palīdz aizsargāt šifrēšanas atslēgas un slepenu informāciju, kas izmantota mākoņa programmās un pakalpojumos. Atslēgu pārvaldības līdzeklim nav nepieciešams Azure Key Vault abonements, un vairumā gadījumu nav nepieciešams piekļūt šifrēšanas atslēgām, kas tiek izmantotas pakalpojumam Dataverse akreditācijas datu komplektā.

Atslēgu pārvaldības līdzeklis sniedz iespēju veikt šādus uzdevumus.

• Iespējot ar vidēm saistītu datu bāzu šifrēšanas atslēgu patstāvīgas pārvaldības iespēju.

• Ģenerēt jaunas šifrēšanas atslēgas vai augšupielādēt esošus .PFX vai .BYOK šifrēšanas atslēgu failus.

• Bloķēt un atbloķēt nomnieka vides.

  Brīdinājums.

  Kamēr nomnieks ir bloķēts, neviens nevar piekļūt nevienai nomnieka videi. Papildinformācija: Nomnieka bloķēšana.

Izprotiet iespējamo risku, veicot atslēgu pārvaldību

Tāpat kā jebkuras citas kritiskās biznesa programmas gadījumā jūsu organizācijas darbiniekiem, kuriem ir piekļuve administratīvā līmenī, jābūt uzticamiem. Pirms izmantojat atslēgu pārvaldības līdzekli, jums jāizprot risks, veicot datu bāzu šifrēšanas atslēgu pārvaldību. Pastāv iespēja, ka ļaunprātīgs administrators (persona, kurai ir piešķirta vai kura ir ieguvusi administratora līmeņa piekļuvi, var ar nolūku kaitēt organizācijas drošības vai biznesa procesiem), kurš strādā jūsu organizācijā, varētu izmantot atslēgu pārvaldības līdzekli, lai izveidotu atslēgu, un izmantot to, lai bloķētu visas nomnieka vides.

Apsveriet šādu scenāriju.

Ļaunprātīgais administrators pierakstās Power Platform administrēšanas centrā, pāriet uz cilni Vides un atlasa Pārvaldīt šifrēšanas atslēgu. Pēc tam ļaunprātīgs administrators izveido jaunu atslēgu ar paroli, lokālajā diskā lejupielādē šifrēšanas atslēgu un aktivizē jaunu atslēgu. Tagad visas vides datu bāzes tiek šifrētas ar jauno atslēgu. Pēc tam ļaunprātīgais administrators bloķē nomnieku, izmantojot tikko lejupielādēto atslēgu, un pēc tam paņem vai dzēš lejupielādēto šifrēšanas atslēgu.

Šīs darbības atspējos tiešsaistes piekļuvi visām nomnieka vidēm un padarīs neatjaunojamus visus datu bāzes dublējumus.

Svarīgi

Lai neļautu ļaunprātīgajam administratoram traucēt uzņēmējdarbību, bloķējot datu bāzi, pārvaldīto atslēgu līdzeklis nepieļauj nomnieka vides bloķēšanu 72 stundas pēc šifrēšanas atslēgas maiņas vai aktivizācijas. Tādejādi citi administratori var 72 stundu laikā atritināt jebkādas neautorizētas atslēgas izmaiņas.

Šifrēšanas atslēgas prasības

Ja nodrošināt savu šifrēšanas atslēgu, jūsu atslēgai ir jāatbilst šīm prasībām, kas tiek pieņemtas pakalpojumā Azure Key Vault.

• Šifrēšanas atslēgas failu formātam ir jābūt PFX vai BYOK.
• 2048 bitu RSA.
• RSA-HSM atslēgas tips (nepieciešams Microsoft atbalsta pieprasījums).
• PFX šifrēšanas atslēgu failiem jābūt aizsargātiem ar paroli.

Plašāku informāciju par HSM aizsargātas atslēgas ģenerēšanu un nosūtīšanu internetā skatiet sadaļā HSM aizsargātu atslēgu ģenerēšana un nosūtīšana pakalpojumam Azure Key Vault. Tikai nCipher Piegādātāja HSM atslēga tiek atbalstīta. Pirms HSM atslēgas ģenerēšanas dodieties uz Power Platform administrēšanas centra logu Pārvaldīt šifrēšanas atslēgas/Izveidot jaunu atslēgu, lai iegūtu savas vides reģiona abonementa ID. Lai izveidotu atslēgu, nokopējiet un ielīmējiet šo abonementa ID savā HSM. Šādi tiks nodrošināts, ka jūsu failu varēs atvērt tikai ar Azure Key Vault.

Atslēgu pārvaldības uzdevumi

Lai vienkāršotu galvenos pārvaldības uzdevumus, uzdevumi tiek sadalīti trīs jomās:

1. Šifrēšanas atslēgas ģenerēšana vai augšupielāde nomniekam
2. Šifrēšanas atslēgas aktivizēšana nomniekam
3. Šifrēšanas pārvaldība videi

Administratori var lietot Power Platform administrēšanas centru vai Power PlatformMicrosoft.Xrm.OnlineManagementAPI PowerShell moduli cmdlets, lai veiktu šeit aprakstītos nomnieku drošības atslēgu pārvaldības uzdevumus.

Šifrēšanas atslēgas ģenerēšana vai augšupielāde nomniekam

Visas šifrēšanas atslēgas tiek glabātas Azure Key Vault, un jebkurā brīdī var būt tikai viena aktīva atslēga. Tā kā aktīvā atslēga tiek izmantota, lai šifrētu visas nomnieka vides, šifrēšanas pārvaldība tiek veikta nomnieka līmenī. Pēc tam, kad atslēga ir aktivizēta, var atlasīt katru atsevišķu vidi, lai atslēgu izmantotu šifrēšanai.

Izmantojiet šo procedūru, lai pirmo reizi iestatītu atslēgas pārvaldības līdzekli videi vai mainītu (vai apvērstu) šifrēšanas atslēgu nomniekam, kurš jau veic patstāvīgu pārvaldību.

Brīdinājums.

Pirmo reizi veicot iepriekš aprakstītās darbības, jūs izvēlaties pats pārvaldīt savas šifrēšanas atslēgas. Papildinformācija: Iespējamā riska izprašana, pašam veicot atslēgu pārvaldību.

1. Piesakieties Power Platform administrēšanas centrā kā administrators (Dynamics 365 administrators, globālais administrators vai Microsoft Power Platform administrators).

2. Atlasiet cilni Vides un pēc tam rīkjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.

3. Atlasiet Apstiprināt, lai apstiprinātu atslēgu pārvaldīšanas risku.

4. Rīkjoslā atlasiet Jauna atslēga.

5. Kreisajā rūtī aizpildiet detalizēto informāciju, lai ģenerētu vai augšupielādētu atslēgu:

   • Atlasiet Reģions. Šī opcija tiek rādīta tikai tad, ja nomniekam ir vairāki reģioni.
   • Ievadiet Atslēgas nosaukums.
   • Izvēlieties kādu no tālāk minētajām opcijām:
     • Lai izveidotu jaunu atslēgu, atlasiet Ģenerēt jaunu (.pfx). Papildinformācija: Jaunas atslēgas izveide (. pfx).
     • Lai izmantotu savu ģenerēto atslēgu, atlasiet Augšupielādēt (.pfx vai.byok). Papildinformācija: Atslēgas augšupielāde (.pfx vai .byok).

6. Atlasiet Tālāk.

Jaunas atslēgas ģenerēšana (.pfx)

1. Ievadiet paroli un pēc tam, lai apstiprinātu, ievadiet paroli vēlreiz.
2. Atlasiet Izveidot un pēc tam pārlūkprogrammā atlasiet izveidoto faila paziņojumu.
3. Šifrēšanas atslēgas .PFX fails ir lejupielādēts jūsu tīmekļa pārlūkprogrammas noklusējuma lejupielāžu mapē. Saglabājiet failu drošā vietā (ieteicams šo atslēgu dublēt kopā ar tās paroli).

Atslēgas augšupielāde (.pfx vai .byok)

1. Atlasiet Augšupielādēt atslēgu, atlasiet .pfx vai .byok¹ failu un pēc tam atlasiet Atvērt.
2. Ievadiet atslēgas paroli un pēc tam atlasiet Izveidot.

¹ .byok šifrēšanas atslēgas failu gadījumā pārliecinieties, ka, eksportējot šifrēšanas atslēgu no vietējā HSM, izmantojat abonementa ID, kā parādīts attēlā. Papildinformācija: Kā ģenerēt un pārvietot HSM aizsargātas atslēgas Azure Key Vault.

Note

Lai samazinātu darbību skaitu, administratoram pārvaldot atslēgas procesu, atslēga tiek automātiski aktivizēta, kad to augšupielādē pirmoreiz. Turpmākai atslēgu augšupielādei ir nepieciešama papildu darbība atslēgas aktivizēšanai.

Šifrēšanas atslēgas aktivizēšana nomniekam

Kad nomniekam ir ģenerēta vai augšupielādēta šifrēšanas atslēga, to var aktivizēt.

1. Piesakieties Power Platform administrēšanas centrā kā administrators (Dynamics 365 administrators, globālais administrators vai Microsoft Power Platform administrators).
2. Atlasiet cilni Vides un pēc tam rīkjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
3. Atlasiet Apstiprināt, lai apstiprinātu atslēgu pārvaldīšanas risku.
4. Atlasiet atslēgu ar statusu Pieejams un pēc tam rīkjoslā atlasiet Aktivizēt atslēgu.
5. Atlasiet Apstiprināt , lai apstiprinātu atslēgas maiņu.

Kad aktivizējat nomnieka atslēgu, atslēgas pārvaldības servisam ir nepieciešams laiks, lai atslēgu aktivizētu. Kad tiek aktivizēta jaunā vai augšupielādētā atslēga, Atslēgas statuss parāda atslēgu kā Tiek instalēta. Kad atslēga ir aktivizēta, notiek tālāk minētais.

• Visas šifrētās vides automātiski tiek šifrētas, izmantojot aktīvo atslēgu (šai darbībai nav dīkstāves).
• Kad šī funkcija ir aktivizēta, šifrēšanas atslēga tiek lietota visām vidēm, kas tiek mainītas no Microsoft nodrošinātām uz patstāvīgi pārvaldītu šifrēšanas atslēgu.

Svarīgi

Lai pilnveidotu atslēgas pārvaldības procesu tā, lai visas vides tiktu pārvaldītas ar vienu un to pašu atslēgu, aktīvo atslēgu nevar atjaunināt, ja pastāv bloķētas vides. Lai varētu aktivizēt jaunu atslēgu, vispirms ir jāatbloķē visas bloķētās vides. Ja pastāv bloķētas vides, ko nav nepieciešams atbloķēt, tās ir jāizdzēš.

Note

Pēc tam, kad ir aktivizēta šifrēšanas atslēga, citu atslēgu nevar aktivizēt 24 stundas.

Šifrēšanas pārvaldība videi

Pēc noklusējuma katra vide tiek šifrēta, izmantojot Microsoft nodrošinātu šifrēšanas atslēgu. Pēc tam, kad nomniekam ir aktivizēta šifrēšanas atslēga, administratori var izvēlēties mainīt noklusējuma šifrēšanu, lai izmantotu aktivizēto šifrēšanas atslēgu. Lai izmantotu aktivizēto atslēgu, veiciet tālām minētās darbības.

Šifrēšanas atslēgas lietošana videi

1. Piesakieties Power Platform administrēšanas centrā, izmantojot vides administratora vai sistēmas administratora lomas akreditācijas datus.
2. Atlasiet cilni Vides.
3. Atveriet šifrēto vidi Microsoft nodrošināts.
4. Atlasiet Skatīt visu
5. Sadaļā Vides šifrēšana atlasiet Pārvaldīt.
6. Atlasiet Apstiprināt, lai apstiprinātu atslēgu pārvaldīšanas risku.
7. Atlasiet Lietot šo atslēgu, lai akceptētu šifrēšanas maiņu aktivizētās atslēgas izmantošanai.
8. Atlasiet Apstiprināt, lai apstiprinātu, ka pārvaldāt atslēgu tieši un, ka šai darbībai nav dīkstāves.

Atgriešanās no pārvaldītas šifrēšanas atslēgas pie Microsoft nodrošinātas šifrēšanas atslēgas

Atgriešanās pie Microsoft nodrošinātas šifrēšanas atslēgas konfigurē vidi atpakaļ uz noklusējuma uzvedību, kur Microsoft pārvalda šifrēšanas atslēgu jūsu vietā.

1. Piesakieties Power Platform administrēšanas centrā, izmantojot vides administratora vai sistēmas administratora lomas akreditācijas datus.
2. Atlasiet cilni Vides un pēc tam atlasiet vidi, kas tiek šifrēta, izmantojot patstāvīgi pārvaldītu atslēgu.
3. Atlasiet Skatīt visu
4. Sadaļā Vides šifrēšana atlasiet Pārvaldīt un pēc tam atlasiet Apstiprināt.
5. Sadaļā Atgriezties pie standarta šifrēšanas pārvaldības atlasiet Atgriezties.
6. Ražošanas vidēs apstipriniet vidi, ievadot vides nosaukumu.
7. Atlasiet Apstiprināt, lai atgrieztos pie standarta šifrēšanas atslēgas pārvaldības.

Nomnieka bloķēšana

Tā kā katram nomniekam ir tikai viena aktīva atslēga, bloķējot nomnieka šifrēšanu, nomniekam tiek atspējotas visas vides. Visas bloķētās vides paliek pilnībā nepieejamas visiem, ieskaitot Microsoft, līdz Power Platform servisa administrators jūsu organizācijā to atbloķē, izmantojot atslēgu, kas tika izmantota tās bloķēšanai.

Brīdinājums

Nekādā gadījumā nebloķējiet nomnieka vides normāla uzņēmējdarbības procesa ietvaros. Bloķējot Dataverse nomnieku, visas vides nonāks pilnīgā bezsaistē, un neviens nevarēs tām piekļūt, tostarp Microsoft. Turklāt tiek apturēti tādi pakalpojumi kā sinhronizēšana un uzturēšana. Ja izlemjat pamest servisu, nomnieka bloķēšana var nodrošināt, ka jūsu tiešsaistes datiem neviens vairs nevarēs piekļūt.
Ņemiet vērā tālāk minēto informāciju par nomnieka vides bloķēšanu:

• Bloķētas vides nevar atjaunot no dublējuma.
• Bloķētās vides tiek dzēstas, ja tās netiek atbloķētas pēc 28 dienām.
• Nav iespējams bloķēt vidi 72 stundas pēc šifrēšanas atslēgas maiņas.
• Nomnieka bloķēšana bloķē visas aktīvās vides nomnieka ietvaros.

Svarīgi

• Lai varētu tās atbloķēt, jānogaida vismaz viena stunda pēc aktīvas vides bloķēšanas.
• Kad bloķēšanas process ir sākts, tiek izdzēstas visi šifrēšanas atslēgas, kuru statuss ir "Aktīvs" vai "Pieejams". Bloķēšanas process var aizņemt līdz pat stundai, un šajā laikā ir aizliegta bloķētās vides atbloķēšana.

1. Piesakieties Power Platform administrēšanas centrā kā administrators (Dynamics 365 administrators, globālais administrators vai Microsoft Power Platform administrators).
2. Atlasiet cilni Vides un pēc tam komandjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
3. Atlasiet atslēgu Aktīvs un pēc tam atlasiet Bloķēt aktīvās vides.
4. Labajā rūtī atlasiet Augšupielādēt aktīvo atslēgu, atrodiet un atlasiet atslēgu, ievadiet paroli un pēc tam atlasiet Bloķēt.
5. Kad tiek piedāvāts, ievadiet tekstu, kas tiek rādīts ekrānā, lai apstiprinātu, ka vēlaties bloķēt visas vides reģionā, un pēc tam atlasiet Apstiprināt.

Bloķētas vides atbloķēšana

Lai atbloķētu vidi, nepieciešams vispirms augšupielādēt un tad aktivizēt nomnieka šifrēšanas atslēgu, izmantojot to pašu atslēgu, kas tika izmantota, lai bloķētu nomnieku. Lūdzu, ņemiet vērā, ka bloķētās vides netiek atbloķētas automātiski, tiklīdz atslēga ir aktivizēta. Katra bloķētā vide ir jāatbloķē atsevišķi.

Svarīgi

• Lai varētu tās atbloķēt, jānogaida vismaz viena stunda pēc aktīvas vides bloķēšanas.
• Atbloķēšanas process var aizņemt līdz pat vienai stundai. Kad atslēga ir atbloķēta, varat izmantot šo atslēgu, lai Pārvaldītu vides šifrēšanu.
• Nav iespējams izveidot jaunu vai augšupielādēt esošu atslēgu, kamēr nav atbloķētas visas bloķētās vides.

Šifrēšanas atslēgas atbloķēšana

1. Piesakieties Power Platform administrēšanas centrā kā administrators (Dynamics 365 administrators, globālais administrators vai Microsoft Power Platform administrators).
2. Atlasiet cilni Vides un pēc tam atlasiet Pārvaldīt šifrēšanas atslēgas.
3. Atlasiet atslēgu ar statusu Bloķēts un pēc tam komandjoslā atlasiet Atbloķēt atslēgu.
4. Atlasiet Augšupielādēt bloķēto atslēgu, atrodiet un atlasiet atslēgu, kas izmantota, lai bloķētu nomnieku, ievadiet paroli un pēc tam atlasiet Atbloķēt. Atslēgas status mainās uz Instalēšana. Lai varētu atbloķēt bloķētās vides, jāpagaida, līdz atslēgas statuss ir Aktīvs.
5. Lai atbloķētu vidi, skatiet nākamo sadaļu.

Vides atbloķēšana

1. Atlasiet cilni Vides un pēc tam atlasiet bloķētās vides nosaukumu.

   Padoms

   Neatlasiet rindu. Atlasiet vides nosaukumu.

2. Sadaļā Detalizēta informācija atlasiet Skatīt visu, lai labajā pusē parādītu rūti Detalizēta informācija.

3. Šifrēšanas sadaļā Vides rūtī Detalizēta informācija atlasiet Pārvaldīt.

   

4. Lapā Vides šifrēšana atlasiet Atbloķēt.

   

5. Atlasiet Apstiprināt, lai apstiprinātu, ka vēlaties atbloķēt vidi.

6. Atkārtojiet iepriekš aprakstītās darbības, lai atbloķētu papildu vides.

Vides datubāzes operācijas

Klienta nomniekam var būt vides, kuras ir šifrētas, izmantojot Microsoft pārvaldīto atslēgu, un vides, kuras ir šifrētas ar klienta pārvaldītu atslēgu. Lai saglabātu datu integritāti un aizsardzību, pārvaldot vides datu bāzu operācijas, ir pieejami šādi kontroles pasākumi:

1. Atjaunot Pārrakstāmā vide (vide, kurā ir atjaunots) ir ierobežota uz to pašu vidi, no kuras paņemts dublējums, lai citu vidi, kura ir šifrēta ar tādu pašu klienta pārvaldītu atslēgu.

   

2. Kopēt Pārrakstāmā vide (vide, kurā ir iekopēts) ir ierobežota uz citu vidi, kura ir šifrēta ar tādu pašu klienta pārvaldītu atslēgu.

   

   Piezīmes

   Tika izveidota Atbalsta izpētes vide, lai atrisinātu atbalsta problēmu klienta pārvaldītā vidē, šifrēšanas atslēga Atbalsta izpētes videi ir jāmaina uz klienta pārvaldītu atslēgu iekams var veikt vides kopēšanas darbību.

3. Atiestatīt Tiks dzēsti vides šifrētie dati, tostarp dublējumi. Pēc vides atiestatīšanas vides šifrējums atgriezīsies uz Microsoft pārvaldīto atslēgu.

Skatiet arī:

SQL Server: caurspīdīga datu šifrēšana (TDE)