Устойчивость между регионами для SQL TDE с управляемым HSM в Azure Key Vault

Управляемый экземпляр SQL Azure

Azure Key Vault

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Это решение описывает безопасный и устойчивый шаблон развертывания для Управляемого экземпляра SQL Azure. В нем показано, как в Azure Key Vault используется управляемый HSM для хранения защищающих ключей для прозрачного шифрования данных (TDE), управляемых клиентом.

Архитектура

Схема включает два ключевых раздела, основной регион и дополнительный регион. Основной регион содержит подраздел, включающий управляемый экземпляр SQL, зоны доступности и подсеть с группой безопасности сети (NSG). В основном регионе есть еще один подраздел, включающий подсеть с NSG, частную конечную точку основной зоны управляемого HSM, другую частную конечную точку, балансировщик нагрузки и пул управляемого HSM. Каждый подраздел содержит виртуальную сеть и группы ресурсов. Частная зона DNS для mHSM также находится в основном регионе. Дополнительный регион реплицирует ресурсы основного региона. Стрелка с подписью "плоскость управления" указывает от Управляемого экземпляра SQL на диспетчер трафика в разделе внешних глобальных ресурсов. Стрелка, помеченная как репликация данных между регионами, указывает из подраздела Управляемого экземпляра SQL в основном регионе на тот же подраздел во вторичном регионе. Стрелка, помеченная репликацией между регионами, указывает из подраздела управляемого пула HSM в основном регионе на аналогичный подраздел в дополнительном регионе. В каждом регионе стрелка, обозначенная как "плоскость данных", указывает от Управляемого экземпляра SQL на частную конечную точку, а затем на Traffic Manager. В каждом регионе стрелка, обозначенная как "управляющая плоскость", указывает от управляемого экземпляра SQL на диспетчер трафика. В каждом регионе стрелка указывает от диспетчера трафика на управляемый пул mHSM, что означает, что диспетчер трафика перенаправляет на ближайший mHSM.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Следующий рабочий процесс соответствует предыдущей схеме:

1. Управляемый экземпляр SQL сконфигурирован с группами доступности в вторичном неподключенном регионе для репликации данных в целях аварийного восстановления.

2. Управляемый модуль HSM настраивается с помощью межрегионального пула. Этот пул автоматически реплицирует ключевые материалы и разрешения в хранилище в дополнительном неисключаемом регионе.

3. Трафик плоскости данных из Управляемого экземпляра SQL проходит через частную конечную точку Managed HSM.

4. Управляемый модуль HSM использует диспетчер трафика Azure для маршрутизации трафика в ближайшее рабочее хранилище.

5. Если управляемый экземпляр должен проверить разрешения на ключ, он отправляет запрос плоскости управления по магистральной сети Azure.

Компоненты

• Управляемый экземпляр SQL — это платформа как услуга (PaaS), которая почти полностью совместима с последним ядром СУБД SQL Server Enterprise Edition. Она предоставляет собственную реализацию виртуальной сети, которая повышает безопасность и предоставляет полезную бизнес-модель для существующих клиентов SQL Server. Управляемый экземпляр SQL можно использовать для переноса локальных приложений в облако с минимальными изменениями в приложениях и базах данных.

  Управляемый экземпляр SQL также предоставляет комплексные возможности PaaS, включая автоматическое обновление исправлений и версий, автоматическое резервное копирование и высокий уровень доступности. Эти функции значительно снижают затраты на управление и общую стоимость владения. В этой архитектуре Управляемый экземпляр SQL — это база данных, использующая ключи защиты TDE.

• Управляемый модуль HSM — это полностью управляемая облачная служба, которая обеспечивает высокий уровень доступности, однотенантность и соответствие отраслевым стандартам. Управляемый модуль HSM предназначен для защиты криптографических ключей для облачных приложений. В нем используются сертифицированные модули аппаратной безопасности (HSM), соответствующие Федеральным стандартам обработки информации (FIPS) 140-2 третьего уровня. Управляемый модуль HSM — это одно из нескольких решений по управлению ключами в Azure. В этой архитектуре Управляемый HSM безопасно сохраняет ключи защиты TDE и обеспечивает устойчивость между регионами.

• Частная конечная точка Azure служит сетевым интерфейсом, который безопасно подключает службы PaaS, такие как служба хранилища Azure, база данных SQL Azure и Azure Key Vault к виртуальной сети через частный IP-адрес. Эта функция устраняет необходимость в общедоступном доступе к Интернету, что повышает безопасность, сохраняя трафик в магистральной сети Azure. Он также использует виртуальную сеть клиента для дополнительной защиты. В этой архитектуре частная конечная точка Azure гарантирует, что трафик между службами проходит через частную виртуальную сеть.

• Частный DNS Azure обеспечивает простое разрешение имен для частных конечных точек, что позволяет ресурсам в виртуальной сети получать доступ к службам Azure в частном порядке. Он позволяет им использовать полные доменные имена вместо общедоступных IP-адресов, что повышает безопасность и доступность. При создании частной конечной точки соответствующая запись системы доменных имен (DNS) автоматически регистрируется в связанной частной зоне DNS. Частная зона DNS гарантирует, что трафик к службе остается в магистральной сети Azure. Этот подход повышает безопасность, производительность и соответствие требованиям, избегая воздействия на общедоступный Интернет. Если происходит сбой региональной службы, Azure Private DNS обеспечивает встроенную устойчивость разрешения имён между регионами для Managed HSM. В этой архитектуре службы используют частный DNS Azure для взаимодействия друг с другом через адреса частной сети.

Сведения о сценарии

В этом решении клиент стремится соответствовать строгим пороговым значениям уровня обслуживания (SLO) для критически важной системы, обеспечивая полную функциональность перечисленных служб. Для достижения этой цели они используют управляемый экземпляр SQL с ключом защиты TDE, управляемым клиентом. Ключ хранится в хранилище, которое поддерживает выбранные регионы и соответствует всем требованиям соответствия и безопасности. Доступ к частной конечной точке также применяется для расширенной защиты.

Потенциальные варианты использования

• Клиент использует два парных или непарных региона. Основной управляемый экземпляр SQL расположен в одном регионе, а группы аварийного переключения настроены для подключения к управляемому экземпляру SQL во вторичном регионе.

• Клиент использует управляемый экземпляр HSM в основном регионе с репликой в другом регионе во вторичном регионе. При включении межрегиональной реплики создается экземпляр Traffic Manager. Экземпляр диспетчера трафика выполняет маршрутизацию трафика в локальное хранилище, если оба хранилища функционируют, или в доступное хранилище, если одно из хранилищ недоступно.

• Клиент использует две пользовательские зоны DNS для поддержки частной конечной точки для управляемого экземпляра HSM в каждом регионе.

• TDE с поддержкой клиента в пользовательских базах данных использует модель ключей, управляемую клиентом, и сохраняет ключ защиты в управляемом HSM.

• Клиент использует эту конструкцию для обеспечения максимальной устойчивости.

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основные авторы:

• Лора Гроб | Главный архитектор облачных решений
• Армен Калешян | Главный архитектор облачных решений
• Майкл Пискоски | Старший архитектор облачных решений

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Дальнейшие шаги

• Комплексное руководство по управляемому HSM для регулируемых отраслей
• Встроенные роли управления доступом на основе локальных ролей для управляемого устройства HSM
• Включение многорегионной репликации в управляемом HSM
• Настройте управляемый модуль HSM с частными конечными точками
• Обзор восстановления управляемого HSM
• Суверенитет ключей, доступность, производительность и масштабируемость в управляемом HSM
• Рекомендации по защите управляемого устройства HSM
• Обзор безопасности хранилища ключей
• Сведения о ключах Key Vault
• Создание и передача ключей, защищенных HSM
• Доступность и избыточность Key Vault

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Это решение описывает безопасный и устойчивый шаблон развертывания для Управляемого экземпляра SQL Azure. В нем показано, как в Azure Key Vault используется управляемый HSM для хранения защищающих ключей для прозрачного шифрования данных (TDE), управляемых клиентом.

Архитектура

Схема включает два ключевых раздела, основной регион и дополнительный регион. Основной регион содержит подраздел, включающий управляемый экземпляр SQL, зоны доступности и подсеть с группой безопасности сети (NSG). В основном регионе есть еще один подраздел, включающий подсеть с NSG, частную конечную точку основной зоны управляемого HSM, другую частную конечную точку, балансировщик нагрузки и пул управляемого HSM. Каждый подраздел содержит виртуальную сеть и группы ресурсов. Частная зона DNS для mHSM также находится в основном регионе. Дополнительный регион реплицирует ресурсы основного региона. Стрелка с подписью "плоскость управления" указывает от Управляемого экземпляра SQL на диспетчер трафика в разделе внешних глобальных ресурсов. Стрелка, помеченная как репликация данных между регионами, указывает из подраздела Управляемого экземпляра SQL в основном регионе на тот же подраздел во вторичном регионе. Стрелка, помеченная репликацией между регионами, указывает из подраздела управляемого пула HSM в основном регионе на аналогичный подраздел в дополнительном регионе. В каждом регионе стрелка, обозначенная как "плоскость данных", указывает от Управляемого экземпляра SQL на частную конечную точку, а затем на Traffic Manager. В каждом регионе стрелка, обозначенная как "управляющая плоскость", указывает от управляемого экземпляра SQL на диспетчер трафика. В каждом регионе стрелка указывает от диспетчера трафика на управляемый пул mHSM, что означает, что диспетчер трафика перенаправляет на ближайший mHSM.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

Следующий рабочий процесс соответствует предыдущей схеме:

1. Управляемый экземпляр SQL сконфигурирован с группами доступности в вторичном неподключенном регионе для репликации данных в целях аварийного восстановления.

2. Управляемый модуль HSM настраивается с помощью межрегионального пула. Этот пул автоматически реплицирует ключевые материалы и разрешения в хранилище в дополнительном неисключаемом регионе.

3. Трафик плоскости данных из Управляемого экземпляра SQL проходит через частную конечную точку Managed HSM.

4. Управляемый модуль HSM использует диспетчер трафика Azure для маршрутизации трафика в ближайшее рабочее хранилище.

5. Если управляемый экземпляр должен проверить разрешения на ключ, он отправляет запрос плоскости управления по магистральной сети Azure.

Компоненты

• Управляемый экземпляр SQL — это платформа как услуга (PaaS), которая почти полностью совместима с последним ядром СУБД SQL Server Enterprise Edition. Она предоставляет собственную реализацию виртуальной сети, которая повышает безопасность и предоставляет полезную бизнес-модель для существующих клиентов SQL Server. Управляемый экземпляр SQL можно использовать для переноса локальных приложений в облако с минимальными изменениями в приложениях и базах данных.

  Управляемый экземпляр SQL также предоставляет комплексные возможности PaaS, включая автоматическое обновление исправлений и версий, автоматическое резервное копирование и высокий уровень доступности. Эти функции значительно снижают затраты на управление и общую стоимость владения. В этой архитектуре Управляемый экземпляр SQL — это база данных, использующая ключи защиты TDE.

• Управляемый модуль HSM — это полностью управляемая облачная служба, которая обеспечивает высокий уровень доступности, однотенантность и соответствие отраслевым стандартам. Управляемый модуль HSM предназначен для защиты криптографических ключей для облачных приложений. В нем используются сертифицированные модули аппаратной безопасности (HSM), соответствующие Федеральным стандартам обработки информации (FIPS) 140-2 третьего уровня. Управляемый модуль HSM — это одно из нескольких решений по управлению ключами в Azure. В этой архитектуре Управляемый HSM безопасно сохраняет ключи защиты TDE и обеспечивает устойчивость между регионами.

• Частная конечная точка Azure служит сетевым интерфейсом, который безопасно подключает службы PaaS, такие как служба хранилища Azure, база данных SQL Azure и Azure Key Vault к виртуальной сети через частный IP-адрес. Эта функция устраняет необходимость в общедоступном доступе к Интернету, что повышает безопасность, сохраняя трафик в магистральной сети Azure. Он также использует виртуальную сеть клиента для дополнительной защиты. В этой архитектуре частная конечная точка Azure гарантирует, что трафик между службами проходит через частную виртуальную сеть.

• Частный DNS Azure обеспечивает простое разрешение имен для частных конечных точек, что позволяет ресурсам в виртуальной сети получать доступ к службам Azure в частном порядке. Он позволяет им использовать полные доменные имена вместо общедоступных IP-адресов, что повышает безопасность и доступность. При создании частной конечной точки соответствующая запись системы доменных имен (DNS) автоматически регистрируется в связанной частной зоне DNS. Частная зона DNS гарантирует, что трафик к службе остается в магистральной сети Azure. Этот подход повышает безопасность, производительность и соответствие требованиям, избегая воздействия на общедоступный Интернет. Если происходит сбой региональной службы, Azure Private DNS обеспечивает встроенную устойчивость разрешения имён между регионами для Managed HSM. В этой архитектуре службы используют частный DNS Azure для взаимодействия друг с другом через адреса частной сети.

Сведения о сценарии

В этом решении клиент стремится соответствовать строгим пороговым значениям уровня обслуживания (SLO) для критически важной системы, обеспечивая полную функциональность перечисленных служб. Для достижения этой цели они используют управляемый экземпляр SQL с ключом защиты TDE, управляемым клиентом. Ключ хранится в хранилище, которое поддерживает выбранные регионы и соответствует всем требованиям соответствия и безопасности. Доступ к частной конечной точке также применяется для расширенной защиты.

Потенциальные варианты использования

• Клиент использует два парных или непарных региона. Основной управляемый экземпляр SQL расположен в одном регионе, а группы аварийного переключения настроены для подключения к управляемому экземпляру SQL во вторичном регионе.

• Клиент использует управляемый экземпляр HSM в основном регионе с репликой в другом регионе во вторичном регионе. При включении межрегиональной реплики создается экземпляр Traffic Manager. Экземпляр диспетчера трафика выполняет маршрутизацию трафика в локальное хранилище, если оба хранилища функционируют, или в доступное хранилище, если одно из хранилищ недоступно.

• Клиент использует две пользовательские зоны DNS для поддержки частной конечной точки для управляемого экземпляра HSM в каждом регионе.

• TDE с поддержкой клиента в пользовательских базах данных использует модель ключей, управляемую клиентом, и сохраняет ключ защиты в управляемом HSM.

• Клиент использует эту конструкцию для обеспечения максимальной устойчивости.

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основные авторы:

• Лора Гроб | Главный архитектор облачных решений
• Армен Калешян | Главный архитектор облачных решений
• Майкл Пискоски | Старший архитектор облачных решений

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Дальнейшие шаги

• Комплексное руководство по управляемому HSM для регулируемых отраслей
• Встроенные роли управления доступом на основе локальных ролей для управляемого устройства HSM
• Включение многорегионной репликации в управляемом HSM
• Настройте управляемый модуль HSM с частными конечными точками
• Обзор восстановления управляемого HSM
• Суверенитет ключей, доступность, производительность и масштабируемость в управляемом HSM
• Рекомендации по защите управляемого устройства HSM
• Обзор безопасности хранилища ключей
• Сведения о ключах Key Vault
• Создание и передача ключей, защищенных HSM
• Доступность и избыточность Key Vault