Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:Banco de Dados SQL do Azure
Instância Gerenciada SQL do Azure
Azure Synapse Analytics (somente pools SQL dedicados)
Este artigo descreve como responder a uma proteção TDE potencialmente comprometida para o Banco de Dados SQL do Azure ou o Azure Synapse Analytics que está usando TDE com chaves gerenciadas pelo cliente no Azure Key Vault - Bring Your Own Key (BYOK) support. Para obter mais informações sobre o suporte BYOK para TDE, consulte a página de visão geral do .
Atenção
Os procedimentos descritos neste artigo só devem ser feitos em casos extremos ou em ambientes de teste. Analise cuidadosamente os passos, pois excluir protetores TDE em uso ativo do Cofre de Chaves do Azure resultará em o banco de dados tornar-se indisponível.
Se houver suspeita de comprometimento de uma chave, de modo que um serviço ou usuário tenha acesso não autorizado à chave, é melhor excluí-la.
Lembre-se de que, assim que o protetor TDE for excluído no Cofre de Chaves do Azure, em até 10 minutos, todos os bancos de dados criptografados começarão a negar todas as conexões com a mensagem de erro correspondente e alterarão seu estado para Inacessível.
Este guia de instruções explica como tornar os bancos de dados inacessíveis após uma resposta a um incidente de segurança.
Observação
Este artigo aplica-se à Base de Dados SQL do Azure, à Instância Gerida SQL do Azure e ao Azure Synapse Analytics (pools SQL dedicados (anteriormente SQL DW)). Para obter documentação sobre Criptografia de Dados Transparente para pools SQL dedicados dentro dos espaços de trabalho do Synapse, consulte criptografia do Azure Synapse Analytics.
Pré-requisitos
- Você deve ter uma assinatura do Azure e ser um administrador nessa assinatura.
- Você deve ter o Azure PowerShell instalado e em execução.
- Este guia de instruções pressupõe que você já esteja usando uma chave do Cofre de Chaves do Azure como o protetor TDE para um Banco de Dados SQL do Azure ou Sinapse do Azure. Consulte Criptografia de Dados Transparente com Suporte BYOK para saber mais.
Para obter instruções de instalação do módulo Az, consulte Instalar o Azure PowerShell. Use o novo módulo Az do Azure PowerShell.
Verifique as impressões digitais do protetor TDE
Os passos seguintes descrevem como verificar a impressão digital do Protetor TDE ainda em uso pelos Arquivos de Log Virtuais (VLF) de uma determinada base de dados. A impressão digital do protetor TDE atual do banco de dados e o ID do banco de dados podem ser encontrados ao executar:
SELECT [database_id],
[encryption_state],
[encryptor_type], /*asymmetric key means Azure Key Vault, certificate means service-managed keys*/
[encryptor_thumbprint]
FROM [sys].[dm_database_encryption_keys]
A seguinte consulta retorna os VLFs e as respetivas impressões digitais do Protetor TDE em uso. Cada impressão digital diferente refere-se a uma chave diferente no Cofre da Chave do Azure:
SELECT * FROM sys.dm_db_log_info (database_id)
Como alternativa, você pode usar o PowerShell ou a CLI do Azure:
O comando Get-AzSqlServerKeyVaultKey
PowerShell fornece a impressão digital do Protetor TDE usado na consulta, para que você possa ver quais chaves manter e quais chaves excluir no Cofre de Chaves do Azure. Somente as chaves não mais usadas pelo banco de dados podem ser excluídas com segurança do Cofre de Chaves do Azure.
Mantenha os recursos criptografados acessíveis
Crie uma nova chave no Cofre de Chaves do Azure. Certifique-se de que esta nova chave seja criada num cofre de chaves separado do protetor TDE potencialmente comprometido, uma vez que o controlo de acesso é configurado ao nível do cofre.
Adicione a nova chave ao servidor usando os cmdlets Add-AzSqlServerKeyVaultKey e Set-AzSqlServerTransparentDataEncryptionProtector e atualize-a como o novo protetor TDE do servidor.
# add the key from Azure Key Vault to the server Add-AzSqlServerKeyVaultKey -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -KeyId <KeyVaultKeyId> # set the key as the TDE protector for all resources under the server Set-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> ` -ServerName <LogicalServerName> -Type AzureKeyVault -KeyId <KeyVaultKeyId>
Verifique se o servidor e todas as réplicas foram atualizadas para o novo protetor TDE usando o cmdlet
Get-AzSqlServerTransparentDataEncryptionProtector. Observação
Pode levar alguns minutos para que o novo protetor TDE se propague para todos os bancos de dados e bancos de dados secundários sob o servidor.
Get-AzSqlServerTransparentDataEncryptionProtector -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>
Faça um backup da nova chave no Cofre de Chaves do Azure.
# -OutputFile parameter is optional; if removed, a file name is automatically generated. Backup-AzKeyVaultKey -VaultName <KeyVaultName> -Name <KeyVaultKeyName> -OutputFile <DesiredBackupFilePath>
Exclua a chave comprometida do Cofre de Chaves do Azure usando o cmdlet Remove-AzKeyVaultKey .
Remove-AzKeyVaultKey -VaultName <KeyVaultName> -Name <KeyVaultKeyName>
Para restaurar uma chave para o Cofre de Chaves do Azure no futuro, use o cmdlet Restore-AzKeyVaultKey .
Restore-AzKeyVaultKey -VaultName <KeyVaultName> -InputFile <BackupFilePath>
Tornar os recursos criptografados inacessíveis
Solte os bancos de dados que estão sendo criptografados pela chave potencialmente comprometida.
O backup do banco de dados e dos arquivos de log é feito automaticamente, portanto, uma restauração point-in-time do banco de dados pode ser feita a qualquer momento (desde que você forneça a chave). Os bancos de dados devem ser descartados antes da exclusão de um protetor TDE ativo para evitar a perda potencial de dados de até 10 minutos das transações mais recentes.
Faça backup do material de chave do protetor TDE no Cofre de Chaves do Azure.
Remova a chave potencialmente comprometida do Cofre de Chaves do Azure.
Observação
Pode levar cerca de 10 minutos para que qualquer alteração de permissão entre em vigor no cofre de chaves. Isso inclui revogar as permissões de acesso ao protetor TDE no AKV, e os usuários dentro desse período de tempo ainda podem ter permissões de acesso.
Conteúdo relacionado
- Saiba como girar o protetor TDE de um servidor para cumprir os requisitos de segurança: girar o protetor de criptografia de dados transparente usando o PowerShell
- Introdução ao suporte Bring Your Own Key para TDE: ative o TDE usando sua própria chave do Azure Key Vault usando o PowerShell