Gire o protetor de criptografia de dados transparente (TDE)

Aplica-se a:Banco de Dados SQL do Azure Azure SQL Managed InstanceAzure Synapse Analytics (somente pools SQLdedicados)

Este artigo descreve a rotação de chaves para um servidor usando um protetor TDE do Cofre de Chaves do Azure. Girar o protetor TDE lógico para um servidor significa alternar para uma nova chave assimétrica que protege os bancos de dados no servidor. A rotação de chaves é uma operação online e deve levar apenas alguns segundos para ser concluída, porque isso apenas descriptografa e criptografa novamente a chave de criptografia de dados do banco de dados, não todo o banco de dados.

Este artigo discute métodos automatizados e manuais para girar o protetor TDE no servidor.

Considerações importantes ao girar o protetor TDE

• Quando o protetor TDE é alterado/girado, backups antigos do banco de dados, incluindo arquivos de log de backup, não são atualizados para usar o protetor TDE mais recente. Para restaurar um backup criptografado com um protetor TDE do Cofre de Chaves, certifique-se de que o material da chave esteja disponível para o servidor de destino. Portanto, recomendamos que você mantenha todas as versões antigas do protetor TDE no Azure Key Vault (AKV), para que os backups de banco de dados possam ser restaurados.
• Mesmo ao mudar da chave gerenciada pelo cliente (CMK) para a chave gerenciada pelo serviço, mantenha todas as chaves usadas anteriormente no AKV. Isso garante que os backups do banco de dados, incluindo arquivos de log de backup, possam ser restaurados com os protetores TDE armazenados no AKV.
• Além de backups antigos, os arquivos de log de transações também podem exigir acesso ao protetor TDE mais antigo. Para determinar se há algum log restante que ainda exija a chave mais antiga, depois de executar a rotação de chaves, use o sys.dm_db_log_info modo de exibição de gerenciamento dinâmico (DMV). Este DMV retorna informações sobre o arquivo de log virtual (VLF) do log de transações, juntamente com sua impressão digital da chave de criptografia do VLF.
• As chaves mais antigas precisam ser mantidas no AKV e disponíveis para o servidor com base no período de retenção de backup configurado como parte traseira das políticas de retenção de backup no banco de dados. Isso ajuda a garantir que todos os backups de retenção de longo prazo (LTR) no servidor ainda possam ser restaurados usando as chaves mais antigas.

Nota

Um pool SQL dedicado pausado no Azure Synapse Analytics deve ser retomado antes das rotações de chave.

Este artigo aplica-se à Base de Dados SQL do Azure, à Instância Gerida SQL do Azure e aos pools SQL dedicados do Azure Synapse Analytics (anteriormente SQL DW). Para obter documentação sobre criptografia de dados transparente (TDE) para pools SQL dedicados dentro de espaços de trabalho Synapse, consulte Criptografia do Azure Synapse Analytics.

Importante

Não exclua versões anteriores da chave após uma sobreposição. Quando as chaves são roladas, alguns dados ainda são criptografados com as chaves anteriores, como backups de banco de dados mais antigos, arquivos de log de backup e arquivos de log de transações.

Pré-requisitos

• Este guia de instruções pressupõe que você já esteja usando uma chave do Cofre de Chaves do Azure como protetor TDE para o Banco de Dados SQL do Azure ou o Azure Synapse Analytics. Consulte Criptografia de dados transparente com suporte BYOK.
• Você deve ter o Azure PowerShell instalado e em execução.

Gorjeta

Recomendado, mas opcional - crie primeiro o material de chave para o protetor TDE em um módulo de segurança de hardware (HSM) ou armazenamento de chaves local e importe o material de chave para o Cofre de Chaves do Azure. Siga as instruções para usar um módulo de segurança de hardware (HSM) e o Cofre de Chaves para saber mais.

Portal

Aceda ao Portal do Azure

PowerShell

Para obter instruções de instalação do módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para cmdlets específicos, consulte AzureRM.Sql. Use o novo módulo Az do Azure PowerShell.

A CLI do Azure

Para instalação, consulte Instalar a CLI do Azure.

Rotação automática de chaves

A rotação automática para o protetor TDE pode ser habilitada ao configurar o protetor TDE para o servidor ou o banco de dados, a partir do portal do Azure ou usando os comandos abaixo do PowerShell ou da CLI do Azure. Uma vez ativado, o servidor ou banco de dados verificará continuamente o cofre de chaves em busca de novas versões da chave que está sendo usada como protetor TDE. Se uma nova versão da chave for detetada, o protetor TDE no servidor ou banco de dados será automaticamente girado para a versão mais recente da chave dentro de 24 horas.

A rotação automática em um servidor, banco de dados ou instância gerenciada pode ser usada com a rotação automática de chaves no Cofre de Chaves do Azure para habilitar a rotação zero touch de ponta a ponta para chaves TDE.

Nota

Se o servidor ou a instância gerenciada tiver a replicação geográfica configurada, antes de habilitar a rotação automática, diretrizes adicionais precisarão ser seguidas, conforme descrito aqui.

Portal

Usando o portal do Azure:

1. Navegue até a seção Criptografia de dados transparente para um servidor existente ou instância gerenciada.
2. Selecione a opção Chave gerenciada pelo cliente e selecione o cofre de chaves e a chave a serem usados como protetor TDE.
3. Marque a caixa de seleção Girar automaticamente a chave .
4. Selecione Guardar.

PowerShell

Para obter instruções de instalação do módulo Az PowerShell, consulte Instalar o Azure PowerShell. Para cmdlets específicos, consulte AzureRM.Sql.

Para habilitar a rotação automática para o protetor TDE usando o PowerShell, consulte o script a seguir. O <keyVaultKeyId> pode ser recuperado do Key Vault.

Base de Dados SQL do Azure

Use o comando Set-AzSqlServerTransparentDataEncryptionProtector .

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Instância Gerida do SQL no Azure

Use o comando Set-AzSqlInstanceTransparentDataEncryptionProtector .

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

A CLI do Azure

Para obter informações sobre como instalar a versão atual da CLI do Azure, consulte Instalar o artigo da CLI do Azure.

Para habilitar a rotação automática para o protetor TDE usando a CLI do Azure, consulte o script a seguir.

Base de Dados SQL do Azure

Use o comando az sql server tde-key set .

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Instância Gerida do SQL no Azure

Use o comando az sql mi tde-key set .

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Rotação automática de chaves no nível do banco de dados

A rotação automática de chaves também pode ser habilitada no nível do banco de dados para o Banco de Dados SQL do Azure. Isso é útil quando você deseja habilitar a rotação automática de chaves para apenas um ou um subconjunto de bancos de dados em um servidor. Para obter mais informações, consulte Gerenciamento de identidades e chaves para TDE com chaves gerenciadas pelo cliente no nível do banco de dados.

Portal

Para obter informações do portal do Azure sobre como configurar a rotação automática de chaves no nível do banco de dados, consulte Atualizar um Banco de Dados SQL do Azure existente com chaves gerenciadas pelo cliente no nível do banco de dados.

PowerShell

Para habilitar a rotação automática para o protetor TDE no nível do banco de dados usando o PowerShell, consulte o comando a seguir. Use o parâmetro e defina como $true para habilitar a rotação automática de chaves ou $false para desabilitar a -EncryptionProtectorAutoRotation rotação automática de chaves.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

A CLI do Azure

Para habilitar a rotação automática para o protetor TDE no nível do banco de dados usando a CLI do Azure, consulte o comando a seguir. Use o parâmetro e defina como True para habilitar a rotação automática de chaves ou False para desabilitar a --encryption-protector-auto-rotation rotação automática de chaves.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Rotação automática de chaves para configurações de replicação geográfica

Em uma configuração de replicação geográfica do Banco de Dados SQL do Azure em que o servidor primário está definido para usar TDE com CMK, o servidor secundário também precisa ser configurado para habilitar TDE com CMK com a mesma chave usada no primário.

Portal

Usando o portal do Azure:

1. Navegue até a seção Criptografia de dados transparente para o servidor primário .

2. Selecione a opção Chave gerenciada pelo cliente e selecione o cofre de chaves e a chave a serem usados como protetor TDE.

3. Marque a caixa de seleção Girar automaticamente a chave .

4. Selecione Guardar.

   

5. Navegue até a seção Criptografia de dados transparente para o servidor secundário .

6. Selecione a opção Chave gerenciada pelo cliente e selecione o cofre de chaves e a chave a serem usados como protetor TDE. Use a mesma chave usada para o servidor primário.

7. Desmarque Tornar esta chave o protetor TDE padrão.

8. Selecione Guardar.

   

Quando a chave é girada no servidor primário, ela é transferida automaticamente para o servidor secundário.

PowerShell

O <keyVaultKeyId> pode ser recuperado do Key Vault.

1. Use o comando Add-AzSqlServerKeyVaultKey para adicionar uma nova chave ao servidor secundário .

   # add the key from Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Adicione a mesma chave na primeira etapa ao servidor primário .

   # add the key from Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Use Set-AzSqlInstanceTransparentDataEncryptionProtector para definir a chave como o protetor primário no servidor primário com rotação automática de chave definida como true.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Rode a chave do cofre de chaves no Cofre da Chave usando o comando Get-AzKeyVaultKey e Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Verifique se o SQL Server (primário e secundário) tem a nova chave ou versão da chave:

   Nota

   A rotação de chaves pode levar até uma hora para ser aplicada ao servidor. Aguarde pelo menos uma hora antes de executar este comando.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Use chaves diferentes para cada servidor

É possível configurar os servidores primário e secundário com uma chave de cofre de chave diferente ao configurar o TDE com CMK no portal do Azure. Não é evidente no portal do Azure que a chave usada para proteger o servidor primário também é a mesma chave que protege o banco de dados primário que foi replicado para o servidor secundário. No entanto, você pode usar o PowerShell, a CLI do Azure ou as APIs REST para obter detalhes sobre as chaves usadas no servidor. Isso mostra que as chaves giradas automaticamente são transferidas do servidor primário para o servidor secundário.

Veja um exemplo de uso de comandos do PowerShell para verificar chaves que são transferidas do servidor primário para o servidor secundário após a rotação de chaves.

1. Execute o seguinte comando no servidor primário para exibir os detalhes da chave de um servidor:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Você deve ver resultados semelhantes aos seguintes:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Execute o mesmo Get-AzSqlServerKeyVaultKey comando no servidor secundário:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Se o servidor secundário tiver um protetor TDE padrão usando uma chave diferente do servidor primário, você verá duas (ou mais) chaves. A primeira chave é o protetor TDE padrão e a segunda chave é a chave usada no servidor primário usado para proteger o banco de dados replicado.

5. Quando a chave é girada no servidor primário, ela é transferida automaticamente para o servidor secundário. Se você executar o Get-AzSqlServerKeyVaultKey novamente no servidor primário, deverá ver duas chaves. A primeira chave é a chave original e a segunda chave, que é a chave atual que foi gerada como parte da rotação da chave.

6. A execução do Get-AzSqlServerKeyVaultKey comando no servidor secundário também deve mostrar as mesmas chaves que estão presentes no servidor primário. Isso confirma que as chaves giradas no servidor primário são transferidas automaticamente para o servidor secundário e usadas para proteger a réplica do banco de dados.

Rotação manual da chave

A rotação manual de chaves usa os seguintes comandos para adicionar uma nova chave, que pode estar sob um novo nome de chave ou até mesmo outro cofre de chaves. O uso dessa abordagem oferece suporte à adição da mesma chave a diferentes cofres de chaves para oferecer suporte a cenários de alta disponibilidade e geo-dr. A rotação manual de chaves também pode ser feita usando o portal do Azure.

Com a rotação manual de chaves, quando uma nova versão de chave é gerada no cofre de chaves (manualmente ou através da política de rotação automática de chaves no cofre de chaves), o mesmo deve ser definido manualmente como o protetor TDE no servidor.

Nota

O comprimento combinado para o nome do cofre de chaves e o nome da chave não pode exceder 94 caracteres.

Portal

Através do portal do Azure:

1. Navegue até o menu Criptografia de dados transparente para um servidor existente ou instância gerenciada.
2. Selecione a opção Chave gerenciada pelo cliente e selecione o cofre de chaves e a chave a serem usados como o novo protetor TDE.
3. Selecione Guardar.

PowerShell

Use o comando Add-AzKeyVaultKey para adicionar uma nova chave ao cofre de chaves.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Para o Banco de Dados SQL do Azure, use:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Para a Instância Gerenciada SQL do Azure, use:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

A CLI do Azure

Use o comando az keyvault key create para adicionar uma nova chave ao cofre de chaves.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Para o Banco de Dados SQL do Azure, use:

• az sql server chave criar
• AZ SQL Server Tde-Key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Para a Instância Gerenciada SQL do Azure, use:

• az sql mi key criar
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Alternar o modo protetor TDE

Portal

Usando o portal do Azure para alternar o protetor TDE do modo gerenciado pela Microsoft para o modo BYOK:

1. Navegue até o menu Criptografia de dados transparente para um servidor existente ou instância gerenciada.
2. Selecione a opção Chave gerenciada pelo cliente.
3. Selecione o cofre de chaves e a chave a ser usada como protetor TDE.
4. Selecione Guardar.

PowerShell

Base de Dados SQL do Azure

• Para alternar o protetor TDE do modo gerenciado pela Microsoft para o modo BYOK, use o comando Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Para alternar o protetor TDE do modo BYOK para o gerenciado pela Microsoft, use o comando Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Instância Gerida do SQL no Azure

• Para alternar o protetor TDE do modo gerenciado pela Microsoft para o modo BYOK, use o comando Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Para alternar o protetor TDE do modo BYOK para o gerenciado pela Microsoft, use o comando Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

A CLI do Azure

Base de Dados SQL do Azure

Os exemplos a seguir usam az sql server tde-key set.

• Para mudar o protetor TDE do modo gerenciado pela Microsoft para o modo BYOK:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Para alternar o protetor TDE do modo BYOK para o gerenciado pela Microsoft:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Instância Gerida do SQL no Azure

Os exemplos a seguir usam az sql mi tde-key set.

• Para mudar o protetor TDE do modo gerenciado pela Microsoft para o modo BYOK:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Para alternar o protetor TDE do modo BYOK para o gerenciado pela Microsoft:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Conteúdos relacionados

• Se houver um risco de segurança, saiba como remover um protetor TDE potencialmente comprometido: remova uma chave potencialmente comprometida.

• Introdução à integração do Azure Key Vault e suporte Bring Your Own Key para TDE: ative o TDE usando sua própria chave do Key Vault usando o PowerShell.