Understanding Extensible Key Management (EKM)
SQL Server zapewnia możliwości szyfrowanie danych wraz z Rozszerzalny Key Management. (EKM) przy użyciu Microsoft Cryptographic API Dostawca (MSCAPI) w celu wygenerowania szyfrowanie i klucz.Szyfrowanie klucz s danych i klucz szyfrowania są tworzone w przejściowa klucz kontenerów i ich muszą być eksportowane z dostawca przed są przechowywane w bazie danych.Ta metoda umożliwia zarządzanie kluczami, do obsługi przez hierarchię kluczy szyfrowanie i kopia zapasowa klucz, SQL Server.
Rosnące zapotrzebowanie regulacyjnych zgodności i stanowić zagrożenie dla prywatności dane organizacji są wykorzystując szyfrowanie w celu rozwiązania "obrony szczegółowo".Ta metoda często jest niepraktyczne, używając tylko bazy danych narzędzia zarządzania szyfrowanie.Producenci sprzętu dostarczenie przedsiębiorstwa adres klucz zarządzania przy użyciu Moduły zabezpieczeń sprzętowych (HSM).Klucze szyfrowanie są przechowywane na moduły sprzętu lub oprogramowania urządzenia HSM.To rozwiązanie bardziej bezpieczne, ponieważ klucze szyfrowanie nie znajdują się przy użyciu szyfrowanie danych.
Wielu dostawców oferuje HSM dla przyspieszania szyfrowanie i zarządzania kluczami.Urządzenia HSM używają interfejsów sprzętu z procesu serwera jako pośrednik między aplikacją i HSM.Dostawcy także zaimplementować MSCAPI dostawców za pośrednictwem ich modułów, które mogą być sprzętu lub oprogramowania.MSCAPI często zawiera tylko podzbiór funkcji, które są oferowane przez HSM.Dostawców oferuje również oprogramowanie do zarządzania HSM, klucz konfiguracja i kluczy dostępu.
Implementacje HSM różnią się od dostawcy do dostawcy, a następnie używać ich z SQL Server wymaga wspólny interfejs. Chociaż MSCAPI tego interfejs, obsługuje tylko podzbiór funkcji HSM.Ma także inne ograniczenia, takie jak brak możliwości oryginalnie utrzymują kluczy symetrycznych i brak zorientowane na sesja pomocy technicznej.
The SQL Server 2008 Extensible klucz Management enables third-party EKM/HSM vendors to register their modules in SQL Server. Podczas rejestrowania SQL Server Użytkownicy mogą używać kluczy szyfrowanie, przechowywany w modułach EKM. Dzięki temu SQL Server Zaawansowane szyfrowanie dostęp do funkcji te moduły obsługi takich jak zbiorczej szyfrowania i odszyfrowywania oraz zarządzania kluczami funkcji, takich jak klucz przedawnienia i obracania klucz.
Konfiguracja EKM
Rozszerzalny klucz Management jest dostępna tylko w wersji Enterprise Developer i Evaluation z SQL Server.
Domyślnie Extensible klucz zarządzania jest wyłączony.Aby włączyć tę funkcję, należy użyć polecenia sp_configure składająca się z następujących opcji i wartości, jak w poniższym przykładzie:
sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
Uwaga
Procedura przechowywana sp_configure dla tej opcji w przypadku wersji niż wersje Evaluation, Developer lub Enterprise, wyświetlony zostanie błąd.
Aby wyłączyć tę funkcję, zestaw wartość 0.Aby uzyskać więcej informacji na temat ustawiania opcji serwera, zobacz sp_configure (języka Transact-SQL).
Jak używać EKM
SQL Server 2008 Rozszerzalny klucz Management umożliwia kluczy szyfrowanie, które chronią plików bazy danych, które mają być przechowywane w urządzenie wyłączone pole takie jak karty inteligentnej, urządzenie USB lub moduł EKM/HSM.Umożliwia to także ochrony danych ze strony administratorów bazy danych (z wyjątkiem członków grupy sysadmin).Dane można szyfrować za pomocą kluczy szyfrowanie, że tylko bazy danych użytkownik ma dostęp do zewnętrznego modułu EKM/HSM.
Rozszerzalny klucz zarządzanie zapewnia również następujące korzyści:
Sprawdzanie dodatkowych autoryzacja (Włączenie separacji należności).
Większa wydajność związane ze sprzętem szyfrowanie lub odszyfrowywania.
Szyfrowanie zewnętrznych klucz generacji.
Szyfrowanie zewnętrznych klucz magazynu (fizycznej separacji danych i klucz s).
Szyfrowanie klucz pobierania.
Zachowanie klucz szyfrowanie zewnętrznych (umożliwia obracanie klucz szyfrowanie).
Łatwiejsze szyfrowanie klucz odzyskiwania.
Dystrybucji klucz szyfrowanie w zarządzaniu.
Bezpieczne usuwanie kluczy szyfrowanie.
Dla nazwy użytkownika i hasło połączenia lub inne metody zdefiniowane przez sterownik EKM można użyć Extensible klucz Management.
Ostrzeżenie
Do rozwiązywania problemów, Microsoft Pomoc techniczna może wymagać od dostawca EKM klucz szyfrowanie. Konieczne może również uzyskać dostęp do narzędzi do dostawcy lub procesy w celu ułatwienia rozwiązywania problemu.
Uwierzytelnianie z urządzeniem EKM
Moduł EKM może obsługiwać więcej niż jeden typ uwierzytelnianie.Każdy dostawca udostępnia tylko jeden typ uwierzytelnianie SQL Server, to jeśli moduł obsługuje Basic lub inne typy uwierzytelnianie, opisuje jeden lub drugi, ale nie oba na raz.
EKM specyficzne dla urządzenia podstawowego uwierzytelnianie korzystanie z nazwy użytkownika i hasło
Dla tych modułów EKM, które obsługują przy użyciu uwierzytelniania podstawowego Nazwa użytkownika i hasło pair, SQL Server zapewnia przezroczyste uwierzytelnianie przy użyciu poświadczenia. Aby uzyskać więcej informacji na temat poświadczenia zobacz Credentials (Database Engine).
Poświadczenie mogą być tworzone dla dostawca EKM i mapowane na identyfikator logowania (zarówno systemu Windows i SQL Server konta) mają dostęp do modułu EKM na podstawie za logowania. The Identify pole of the credential contains the username; the secret pole contains a password to connect to an EKM module.
Jeśli nie ma żadnych poświadczeń logowania mapowany dla dostawca EKM, poświadczenia są mapowane na SQL Server konto usługa jest używana.
Identyfikator logowania może mieć wiele poświadczenia mapowany, tak długo, jak są one używane do dostawców EKM charakterystyczne.Musi istnieć tylko jeden poświadczenie mapowane na dostawca EKM na logowania.Te same poświadczenia mogą być mapowane do innych logowania.
Inne typy uwierzytelnianie EKM specyficzne dla urządzenia
Dla modułów EKM, których uwierzytelnianie innego niż system Windows lub użytkownika, hasło kombinacje, uwierzytelnianie należy wykonać niezależnie od SQL Server.
szyfrowanie i odszyfrowywania przez urządzenie EKM
Następujące funkcje i funkcje służą do szyfrowania i odszyfrowywania danych za pomocą kluczy symetrycznych i asymetrycznych:
Funkcji lub funkcja |
Odwołanie |
|---|---|
Klucz szyfrowanie symetrycznego |
|
Szyfrowanie klucz asymetrycznego |
|
EncryptByKey (key_guid, tekstem "jawnym",...) |
|
DecryptByKey (szyfrowany,...) |
|
EncryptByAsmKey (key_guid, "zwykły tekst") |
|
DecryptByAsmKey(ciphertext) |
Bazy danych klucze szyfrowanie przez EKM kluczy
SQL Server można użyć EKM klucze do szyfrowania innych kluczy w bazie danych.Można tworzyć i na urządzeniu EKM za pomocą kluczy symetrycznych i asymetrycznych.Można szyfrować kluczy symetrycznych macierzystego (innych niż EKM) z EKM klucze asymetryczne.
W poniższym przykładzie tworzony jest klucz zawartości bazy danych i szyfruje go za pomocą klucza na moduł EKM.
CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1
Aby uzyskać więcej informacji na temat bazy danych i kluczy serwera SQL Server, zobacz SQL Server and Database Encryption Keys (Database Engine).
Uwaga
Nie można zaszyfrować jeden klucz EKM przy użyciu innego klucza EKM.
See Also