Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
SQL Server
O SQL Server Connector for Azure Key Vault permite que a criptografia do SQL Server use o serviço Azure Key Vault como um provedor de Gerenciamento Extensível de Chaves (EKM) para proteger chaves de criptografia do SQL Server.
Este artigo descreve o conector do SQL Server. Para mais informações, consultar:
- Configurar a Gestão de Chaves Extensíveis de Encriptação de Dados Transparente do SQL Server com o Azure Key Vault
- Usar o SQL Server Connector com recursos de criptografia SQL
- Manutenção do SQL Server Connector & solução de problemas
O que é Extensible Key Management (EKM) e por que usá-lo?
O SQL Server fornece vários tipos de criptografia que ajudam a proteger dados confidenciais, incluindo TDE (criptografia de dados transparente), CLE ( criptografar uma coluna de dados ) e criptografia de backup. Em todos esses casos, nessa hierarquia de chaves tradicional, os dados são criptografados usando uma chave de criptografia de dados simétrica (DEK). A chave de criptografia de dados simétrica é ainda mais protegida criptografando-a com uma hierarquia de chaves armazenadas no SQL Server.
Em vez deste modelo, a alternativa é o EKM Provider Model. O uso da arquitetura do provedor EKM permite que o SQL Server proteja as chaves de criptografia de dados usando uma chave assimétrica armazenada fora do SQL Server em um provedor criptográfico externo. Este modelo adiciona uma camada adicional de segurança e separa a gestão de chaves e dados.
A imagem a seguir compara a hierarquia de chaves de gerenciamento de serviço tradicional com o sistema Azure Key Vault.
O SQL Server Connector serve como uma ponte entre o SQL Server e o Azure Key Vault, para que o SQL Server possa usar a escalabilidade, o alto desempenho e a alta disponibilidade do serviço Azure Key Vault. A imagem a seguir representa como a hierarquia de chaves funciona na arquitetura do provedor EKM com o Azure Key Vault e o SQL Server Connector.
O Azure Key Vault pode ser usado com instalações do SQL Server em Máquinas Virtuais do Azure e para servidores locais. O serviço de cofre de chaves também oferece a opção de usar HSMs (Hardware Security Modules) rigorosamente controlados e monitorados para um nível mais alto de proteção para chaves de criptografia assimétricas. Para obter mais informações sobre o cofre de chaves, consulte Azure Key Vault.
Observação
Apenas o Azure Key Vault e o Azure Key Vault Managed HSM são suportados. O Azure Cloud HSM não é suportado.
A imagem a seguir resume o fluxo de processo do EKM usando o cofre de chaves. (Os números de etapa do processo na imagem não devem corresponder aos números de etapa de configuração que se seguem à imagem.)
Observação
As versões 1.0.0.440 e anteriores não são mais suportadas em ambientes de produção. Atualize para a versão 1.0.1.0 ou posterior visitando o Centro de Download da Microsoft e usando as instruções na página SQL Server Connector Maintenance & Troubleshooting em "Atualização do SQL Server Connector".
Para a próxima etapa, consulte Configurar o Gerenciamento Extensível de Chaves TDE do SQL Server usando o Cofre de Chaves do Azure.
Para cenários de uso, consulte Usar o SQL Server Connector com recursos de criptografia SQL.