Opis Extensible Key Management (EKM)
SQL Serverzapewnia możliwości szyfrowanie danych wraz z Extensible Key Management (EKM) za pomocą Interfejs Microsoft Cryptographic API dostawca (MSCAPI) dla szyfrowanie i klucz Generowanie.Klucze szyfrowanie danych i klucz szyfrowanie są tworzone w przejściowych kontenery kluczy i muszą zostać wywiezione z dostawca przed są przechowywane w bazie danych.Takie podejście umożliwia zarządzanie kluczami do obsługi przez hierarchię kluczy szyfrowanie i kopia zapasowa klucz SQL Server.
Rosnące zapotrzebowanie na zgodność z normami i stanowić zagrożenie dla prywatności danych organizacji są wykorzystując szyfrowanie sposób "Ochrona wielopoziomowa" roztwór.To podejście jest często niepraktyczne, używając tylko bazy danych narzędzia zarządzania szyfrowanie.Producenci sprzętu oferują produkty tego przedsiębiorstwa adres klucz zarządzania za pomocą Moduły zabezpieczeń sprzętu (HSM).Urządzenia HSM przechowywania kluczy szyfrowanie na moduły sprzętu lub oprogramowania.To rozwiązanie bezpieczniejsze, ponieważ klucze szyfrowanie nie znajdują się z szyfrowanie danych.
Liczba dostawców oferuje HSM obu klucz przyspieszenia zarządzania i szyfrowanie.Urządzenia HSM używać interfejsów sprzętu z procesu serwera jako pośrednik między aplikacją i HSM.Dostawców implementuje również dostawcy MSCAPI nad ich moduły, które mogą być sprzętu lub oprogramowania.MSCAPI często oferuje tylko podzbiór funkcji oferowanych przez HSM.Dostawców oferuje również oprogramowanie do zarządzania HSM, klucz konfiguracja i kluczy dostępu.
Implementacje HSM różnią się od dostawcy do dostawcy i używać ich z SQL Server wymaga wspólnego interfejs.Chociaż ten interfejs MSCAPI, obsługuje tylko podzbiór funkcji HSM.Posiada także inne ograniczenia, takie jak niemożność macierzyście utrzymują kluczy symetrycznych i brak obsługi zorientowane na sesja.
SQL Server 2008 Extensible Key Management umożliwia EKM i HSM dostawcami zarejestrować ich modułów w SQL Server.Jeśli zarejestrowany, SQL Server Użytkownicy mogą używać kluczy szyfrowanie, przechowywane w modułach EKM.Umożliwia to SQL Server na dostęp do funkcji zaawansowanego szyfrowanie, obsługi tych modułów, takich jak luzem, szyfrowanie i odszyfrowywania oraz zarządzania kluczami funkcje takie jak klucz przedawniania i obrót klucz.
Konfiguracja EKM
Extensible Key Management jest dostępna tylko w wersji Enterprise, Developer i oceny z SQL Server.
Extensible Key Management jest domyślnie wyłączone.Aby włączyć tę funkcję, należy użyć sp_configure z następujących opcji i wartości, jak w następującym przykładzie polecenie:
sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
Ostrzeżenie
Jeśli używasz sp_configure polecenia dla tej opcji na wersje inne niż wersje Enterprise, Developer lub oceny, zostanie wyświetlony błąd.
Aby wyłączyć tę funkcję, zestaw wartość 0.Aby uzyskać więcej informacji dotyczących sposobu zestaw opcji serwera, zobacz sp_configure (języka Transact-SQL).
Jak używać EKM
SQL Server 2008Extensible Key Management umożliwia klucze szyfrowanie chroniących pliki bazy danych przechowywane w urządzenie wyłączone pole, takie jak karty inteligentnej, urządzenie USB lub modułu EKM i HSM.Umożliwia także ochrony danych od administratorów baz danych (z wyjątkiem członków sysadmin grupy).Dane można szyfrowane przy użyciu kluczy szyfrowanie, że tylko bazy danych użytkownik ma dostęp do zewnętrznego modułu EKM i HSM.
Extensible zarządzanie kluczami zapewnia również następujące korzyści:
Sprawdź dodatkowe autoryzacja (włączając rozdzielenie obowiązków).
Wyższa wydajność sprzętowych szyfrowanie lub odszyfrowywania.
Szyfrowanie zewnętrznych klucz generacji.
Szyfrowanie zewnętrznych klucz storage (fizycznej separacji danych i kluczs).
Pobieranie klucz szyfrowania.
Przechowywania klucz szyfrowanie zewnętrznych (umożliwia obracanie klucz szyfrowanie).
Łatwiejsze szyfrowanie klucz odzyskiwanie.
Dystrybucji klucz szyfrowanie w zarządzaniu.
Szyfrowanie Secure klucz likwidacji.
Extensible zarządzania kluczami można użyć nazwy użytkownika i hasła kombinacji lub inne metody zdefiniowane przez sterownik EKM.
Przestroga |
---|
Do rozwiązywania problemów, Microsoft Pomoc techniczna może wymagać klucz szyfrowanie z dostawca EKM.Konieczne może również uzyskać dostęp do narzędzia dostawcy lub procesów, aby rozwiązać problem. |
Uwierzytelnianie za pomocą urządzenia EKM
Moduł EKM może obsługiwać więcej niż jeden typ uwierzytelnianie.Każdy dostawca udostępnia tylko jeden typ uwierzytelnianie SQL Server, czyli jeśli moduł obsługuje Basic lub innych typów uwierzytelnianie, udostępnia jedną lub innych, ale nie obu.
EKM urządzenia podstawowego uwierzytelnień przy użyciu nazwy użytkownika/hasła
Dla tych modułów EKM obsługujących przy użyciu uwierzytelniania podstawowego Nazwa użytkownika i hasło para SQL Server zapewnia przejrzyste uwierzytelnianie przy użyciu poświadczenia. Aby uzyskać więcej informacji o poświadczeniach, zobacz Poświadczenia (aparat bazy danych).
Poświadczenie można tworzyć dla dostawca EKM i mapowane do identyfikatora logowania (zarówno systemu Windows i SQL Server kont) na podstawie za logowania modułu EKM dostęp do. Identify Pole poświadczeń zawiera nazwę użytkownika; secret pole zawiera hasło, aby połączyć się z modułu EKM.
Jeśli nie ma żadnych poświadczeń logowania mapowanego dostawca EKM, poświadczenie mapowane SQL Server konto usługa jest używana.
Identyfikator logowania można poświadczenia wielu mapowany, jak są one używane do dostawców charakterystyczne EKM.Musi istnieć tylko jedna poświadczenie mapowane na dostawca EKM na logowanie.Te same poświadczenia mogą być mapowane na inne logowania.
Inne typy uwierzytelniania specyficzne dla urządzenia EKM
Dla modułów EKM, które mają inne niż Windows uwierzytelnianie lub użytkownika i hasło kombinacje, uwierzytelniania muszą być przeprowadzane niezależnie od SQL Server.
Szyfrowanie i odszyfrowywanie przez urządzenie EKM
Następujące funkcje i funkcji można używać do szyfrowania i odszyfrowywania danych za pomocą kluczy symetrycznych i asymetrycznych:
Funkcja lub funkcji |
Odwołanie |
---|---|
Klucz szyfrowanie symetrycznego |
|
Szyfrowanie klucza asymetrycznego |
|
EncryptByKey (key_guid, "zwykły tekst", …) |
|
DecryptByKey (szyfrowany, …) |
|
EncryptByAsmKey (key_guid, "zwykły tekst") |
|
DecryptByAsmKey(ciphertext) |
Bazy danych klucze szyfrowania klucze EKM
SQL Servermożna użyć EKM klucze do szyfrowania innych kluczy w bazie danych.Można tworzyć i używać kluczy symetrycznych i asymetrycznych na urządzeniu EKM.Można szyfrować kluczy symetrycznych macierzystego (bez EKM) z EKM klucze asymetryczne.
Poniższy przykład tworzy klucz zawartości bazy danych i szyfruje go za pomocą klucza w module EKM.
CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1
Więcej informacji dotyczących kluczy serwera w i bazy danych SQL Server, zobacz SQL Server i kluczy szyfrowania bazy danych (aparat bazy danych).
Ostrzeżenie
Nie można zaszyfrować jeden klucz EKM przy użyciu innego klucza EKM.
Zobacz także