Een TDE-beveiliging (Transparent Data Encryption) verwijderen met behulp van PowerShell

Van toepassing op: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (alleen toegewezen SQL-pools)

In dit artikel wordt beschreven hoe u kunt reageren op een mogelijk aangetaste TDE-beveiliging voor Azure SQL Database of Azure Synapse Analytics die gebruikmaakt van TDE met door de klant beheerde sleutels in Azure Key Vault : BYOK-ondersteuning (Bring Your Own Key). Zie de overzichtspagina voor meer informatie over BYOK-ondersteuning voor TDE.

Let op

De procedures die in dit artikel worden beschreven, mogen alleen worden uitgevoerd in extreme gevallen of in testomgevingen. Controleer de stappen zorgvuldig, omdat het verwijderen van actief gebruikte TDE-beveiligingen uit Azure Key Vault ertoe leidt dat de database niet meer beschikbaar is.

Als een sleutel ooit wordt gecompromitteerd, zodat een service of gebruiker onbevoegde toegang tot de sleutel had, kunt u de sleutel het beste verwijderen.

Houd er rekening mee dat zodra de TDE-beveiliging is verwijderd in Key Vault, in maximaal tien minuten, alle versleutelde databases alle verbindingen met het bijbehorende foutbericht weigeren en de status ervan wijzigen in Ontoegankelijk.

Deze handleiding gaat over de aanpak om databases ontoegankelijk te maken na een gecompromitteerd incidentrespons.

Notitie

Dit artikel is van toepassing op Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics (toegewezen SQL-pools (voorheen SQL DW)). Zie Azure Synapse Analytics-versleuteling voor documentatie over Transparent Data Encryption voor toegewezen SQL-pools in Synapse-werkruimten.

Vereisten

• U moet een Azure-abonnement hebben en een beheerder van dat abonnement zijn.
• U moet Azure PowerShell hebben geïnstalleerd en uitgevoerd.
• In deze instructiegids wordt ervan uitgegaan dat u al een sleutel uit Azure Key Vault gebruikt als de TDE-beveiliging voor een Azure SQL Database of Azure Synapse. Zie Transparent Data Encryption met BYOK-ondersteuning voor meer informatie.

PowerShell

Raadpleeg Azure PowerShell installeren voor instructies over de installatie van de Az-module. Zie AzureRM.Sql voor specifieke cmdlets. Gebruik de nieuwe Azure PowerShell Az-module.

De Azure CLI

Zie De Azure CLI installeren voor installatie.

TDE-protectorvingerafdrukken controleren

In de volgende stappen wordt beschreven hoe u de TDE Protector-vingerafdrukken controleert die nog steeds worden gebruikt door VLF (Virtual Log Files) van een bepaalde database. De vingerafdruk van de huidige TDE-beveiliging van de database en de database-id vindt u door het volgende uit te voeren:

SELECT [database_id],
       [encryption_state],
       [encryptor_type], /*asymmetric key means AKV, certificate means service-managed keys*/
       [encryptor_thumbprint]
 FROM [sys].[dm_database_encryption_keys]

De volgende query retourneert de VLF's en de TDE Protector respectieve vingerafdrukken die in gebruik zijn. Elke andere vingerafdruk verwijst naar een andere sleutel in Azure Key Vault (AKV):

SELECT * FROM sys.dm_db_log_info (database_id)

U kunt ook PowerShell of de Azure CLI gebruiken:

PowerShell

De PowerShell-opdracht Get-AzureRmSqlServerKeyVaultKey biedt de vingerafdruk van de TDE-protector die in de query wordt gebruikt, zodat u kunt zien welke sleutels moeten worden bewaard en welke sleutels u in AKV wilt verwijderen. Alleen sleutels die niet meer door de database worden gebruikt, kunnen veilig worden verwijderd uit Azure Key Vault.

De Azure CLI

De PowerShell-opdracht az sql server key show biedt de vingerafdruk van de TDE-protector die in de query wordt gebruikt, zodat u kunt zien welke sleutels moeten worden bewaard en welke sleutels u in AKV wilt verwijderen. Alleen sleutels die niet meer door de database worden gebruikt, kunnen veilig worden verwijderd uit Azure Key Vault.

Versleutelde resources toegankelijk houden

PowerShell

1. Maak een nieuwe sleutel in Key Vault. Zorg ervoor dat deze nieuwe sleutel wordt gemaakt in een afzonderlijke sleutelkluis van de mogelijk aangetaste TDE-beveiliging, omdat toegangsbeheer is ingericht op kluisniveau.

2. Voeg de nieuwe sleutel toe aan de server met behulp van de cmdlets Add-AzSqlServerKeyKey en Set-AzSqlServerTransparentDataEncryptionProtector en werk deze bij als de nieuwe TDE-beveiliging van de server.

   # add the key from Key Vault to the server  
   Add-AzSqlServerKeyVaultKey -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -KeyId <KeyVaultKeyId>
   
   # set the key as the TDE protector for all resources under the server
   Set-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> `
       -ServerName <LogicalServerName> -Type AzureKeyVault -KeyId <KeyVaultKeyId>
   

3. Zorg ervoor dat de server en alle replica's zijn bijgewerkt naar de nieuwe TDE-protector met behulp van de cmdlet Get-AzSqlServerTransparentDataEncryptionProtector .

   Notitie

   Het kan enkele minuten duren voordat de nieuwe TDE-protector is doorgegeven aan alle databases en secundaire databases onder de server.

   Get-AzSqlServerTransparentDataEncryptionProtector -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>
   

4. Maak een back-up van de nieuwe sleutel in Key Vault.

   # -OutputFile parameter is optional; if removed, a file name is automatically generated.
   Backup-AzKeyVaultKey -VaultName <KeyVaultName> -Name <KeyVaultKeyName> -OutputFile <DesiredBackupFilePath>
   

5. Verwijder de geïnfecteerde sleutel uit Key Vault met behulp van de cmdlet Remove-AzKeyVaultKey .

   Remove-AzKeyVaultKey -VaultName <KeyVaultName> -Name <KeyVaultKeyName>
   

6. Als u in de toekomst een sleutel naar Key Vault wilt herstellen met behulp van de cmdlet Restore-AzKeyVaultKey .

   Restore-AzKeyVaultKey -VaultName <KeyVaultName> -InputFile <BackupFilePath>
   

De Azure CLI

Zie de Azure CLI-sleutelkluis voor naslaginformatie over opdrachten.

1. Maak een nieuwe sleutel in Key Vault. Zorg ervoor dat deze nieuwe sleutel wordt gemaakt in een afzonderlijke sleutelkluis van de mogelijk aangetaste TDE-beveiliging, omdat toegangsbeheer is ingericht op kluisniveau.

2. Voeg de nieuwe sleutel toe aan de server en werk deze bij als de nieuwe TDE-beveiliging van de server.

   # add the key from Key Vault to the server  
   az sql server key create --kid <KeyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <LogicalServerName>
   
   # set the key as the TDE protector for all resources under the server
   az sql server tde-key set --server-key-type AzureKeyVault --kid <KeyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <LogicalServerName>
   

3. Zorg ervoor dat de server en alle replica's zijn bijgewerkt naar de nieuwe TDE-beveiliging.

   Notitie

   Het kan enkele minuten duren voordat de nieuwe TDE-protector is doorgegeven aan alle databases en secundaire databases onder de server.

   az sql server tde-key show --resource-group <SQLDatabaseResourceGroupName> --server <LogicalServerName>
   

4. Maak een back-up van de nieuwe sleutel in Key Vault.

   # --file parameter is optional; if removed, a file name is automatically generated.
   az keyvault key backup --file <DesiredBackupFilePath> --name <KeyVaultKeyName> --vault-name <KeyVaultName>
   

5. Verwijder de geïnfecteerde sleutel uit Key Vault.

   az keyvault key delete --name <KeyVaultKeyName> --vault-name <KeyVaultName>
   

6. Een sleutel herstellen naar Key Vault in de toekomst.

   az keyvault key restore --file <BackupFilePath> --vault-name <KeyVaultName>
   

Versleutelde resources ontoegankelijk maken

1. Verwijder de databases die worden versleuteld door de mogelijk aangetaste sleutel.

   Er wordt automatisch een back-up van de database en logboekbestanden gemaakt, zodat een herstel naar een bepaald tijdstip van de database op elk gewenst moment kan worden uitgevoerd (zolang u de sleutel opgeeft). De databases moeten worden verwijderd voordat een actieve TDE-beveiliging wordt verwijderd om mogelijk gegevensverlies van maximaal 10 minuten van de meest recente transacties te voorkomen.

2. Maak een back-up van het sleutelmateriaal van de TDE-beveiliging in Key Vault.

3. Verwijder de mogelijk aangetaste sleutel uit Key Vault.

Notitie

Het kan ongeveer 10 minuten duren voordat wijzigingen in de machtigingen van kracht worden voor de sleutelkluis. Dit omvat het intrekken van toegangsmachtigingen voor de TDE-beveiliging in AKV en gebruikers binnen dit tijdsbestek hebben mogelijk nog steeds toegangsmachtigingen.

Gerelateerde inhoud

• Meer informatie over het roteren van de TDE-beveiliging van een server om te voldoen aan de beveiligingsvereisten: De Transparent Data Encryption-beveiliging roteren met behulp van PowerShell
• Aan de slag met Bring Your Own Key-ondersteuning voor TDE: Schakel TDE in met uw eigen sleutel uit Key Vault met behulp van PowerShell