Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server
Łącznik programu SQL Server dla usługi Azure Key Vault umożliwia szyfrowanie programu SQL Server, aby korzystać z usługi Azure Key Vault jako dostawcy rozszerzonego zarządzania kluczami (EKM) w celu ochrony kluczy szyfrowania programu SQL Server.
W tym artykule opisano łącznik programu SQL Server. Więcej informacji można znaleźć w następujących tematach:
- Konfigurowanie rozszerzalnego zarządzania kluczami funkcji TDE programu SQL Server za pomocą usługi Azure Key Vault
- Używanie łącznika programu SQL Server z funkcjami szyfrowania SQL
- Konserwacja łącznika programu SQL Server i rozwiązywanie problemów
Co to jest rozszerzone zarządzanie kluczami (EKM) i dlaczego go używać?
Program SQL Server udostępnia kilka typów szyfrowania, które pomagają chronić poufne dane, w tym Transparent Data Encryption (TDE),Szyfruj kolumnę danych (CLE) i Szyfrowanie kopii zapasowych. We wszystkich tych przypadkach w tej tradycyjnej hierarchii kluczy dane są szyfrowane przy użyciu klucza szyfrowania danych symetrycznych (DEK). Klucz szyfrowania danych symetrycznych jest dodatkowo chroniony przez szyfrowanie go za pomocą hierarchii kluczy przechowywanych w programie SQL Server.
Model dostawcy EKM jest alternatywą dla tego modelu. Użycie architektury dostawcy EKM umożliwia programowi SQL Server ochronę kluczy szyfrowania danych przy użyciu klucza asymetrycznego przechowywanego poza programem SQL Server w zewnętrznym dostawcy kryptograficznym. Ten model dodaje dodatkową warstwę zabezpieczeń i oddziela zarządzanie kluczami i danymi.
Na poniższej ilustracji porównaliśmy tradycyjną hierarchię kluczy zarządzania usługą z systemem usługi Azure Key Vault.
Łącznik programu SQL Server służy jako most między programem SQL Server i usługą Azure Key Vault, dzięki czemu program SQL Server może używać skalowalności, wysokiej wydajności i wysokiej dostępności usługi Azure Key Vault. Na poniższej ilustracji przedstawiono sposób działania hierarchii kluczy w architekturze dostawcy EKM za pomocą usługi Azure Key Vault i łącznika programu SQL Server.
Usługi Azure Key Vault można używać z instalacjami programu SQL Server na maszynach wirtualnych platformy Azure i na serwerach lokalnych. Usługa magazynu kluczy udostępnia również opcję używania ściśle kontrolowanych i monitorowanych sprzętowych modułów zabezpieczeń (HSM) w celu zapewnienia wyższego poziomu ochrony kluczy szyfrowania asymetrycznego. Aby uzyskać więcej informacji na temat magazynu kluczy, zobacz Azure Key Vault.
Uwaga / Notatka
Obsługiwane są tylko Azure Key Vault i Azure Key Vault Managed HSM. Moduł HSM w chmurze platformy Azure nie jest obsługiwany.
Na poniższym obrazie przedstawiono podsumowanie przepływu procesu zarządzania kluczami EKM przy użyciu magazynu kluczy. (Numery kroków procesu na obrazie nie mają pasować do numerów kroków konfiguracji umieszczonych poniżej obrazu).
Uwaga / Notatka
Wersje 1.0.0.440 i starsze nie są już obsługiwane w środowiskach produkcyjnych. Uaktualnij do wersji 1.0.1.0 lub nowszej, odwiedzając Centrum pobierania Microsoft i korzystając z instrukcji na stronie Konserwacja i rozwiązywanie problemów łącznika programu SQL Server w obszarze "Uaktualnianie łącznika programu SQL Server".
Aby uzyskać następny krok, zobacz Konfigurowanie rozszerzonego zarządzania kluczami TDE programu SQL Server przy użyciu usługi Azure Key Vault.
W przypadku scenariuszy użycia zobacz Używanie łącznika programu SQL Server z funkcjami szyfrowania SQL.