Расширенное управление ключами с помощью Azure Key Vault (SQL Server)
Применимо к:
SQL Server
Соединитель SQL Server для Microsoft Azure Key Vault позволяет шифрованию SQL Server использовать службу Azure Key Vault в качестве поставщика расширенного управления ключами (EKM) для защиты ключей шифрования SQL Server.
В этом разделе описывается соединитель SQL Server. Дополнительные сведения см. в статьях Этапы настройки расширенного управления ключами с использованием хранилища ключей Azure, Использование соединителя SQL Server с компонентами шифрования SQLи Соединитель SQL Server, приложение.
Что такое расширяемое управление ключами (EKM) и зачем его использовать?
SQL Server предоставляет несколько типов шифрования, которые помогают защитить конфиденциальные данные, включая прозрачное шифрование данных (TDE), шифрование уровня столбцов (CLE) и шифрование резервных копий. Во всех этих случаях в рамках этой традиционной иерархии ключей данные шифруются с помощью симметричного ключа шифрования (DEK). Ключ шифрования симметричного данных дополнительно защищен путем шифрования его с помощью иерархии ключей, хранящихся в SQL Server. Альтернативой этой модели является модель поставщика расширенного управления ключами. Использование архитектуры поставщика EKM позволяет SQL Server защитить ключи шифрования данных с помощью асимметричного ключа, хранящегося за пределами SQL Server во внешнем поставщике шифрования. Эта модель добавляет дополнительный уровень безопасности и разделяет управление ключами и данными.
На следующем рисунке традиционная управляемая службой иерархия ключей сравнивается с хранилищем ключей Azure.
Sql Server Подключение or служит мостом между SQL Server и Azure Key Vault, поэтому SQL Server может использовать масштабируемость, высокую производительность и высокий уровень доступности службы Azure Key Vault. На следующем рисунке показано, как иерархия ключей работает в архитектуре поставщика EKM с Azure Key Vault и sql Server Подключение or.
Azure Key Vault можно использовать с установками SQL Server на Виртуальные машины Microsoft Azure и для локальных серверов. Служба хранилища ключей также предоставляет возможность использовать жестко контролируемые и отслеживаемые аппаратные модули безопасности (HSM) для обеспечения более высокого уровня защиты асимметричных ключей шифрования. Дополнительные сведения о хранилище ключей см. в статье Хранилище ключей Azure.
На следующем изображении представлен поток процесса расширенного управления ключами с использованием хранилища ключей. (Номера шагов процесса на изображении не обязательно соответствуют номерам шагов установки, указанным после изображения.)
Примечание.
Версии 1.0.0.440 и старше были заменены и больше не поддерживаются в рабочих средах. Выполните обновление до версии 1.0.1.0 или более поздней, посетив Центр загрузки Майкрософт и используя инструкции на странице Обслуживание соединителя SQL Server и устранение неполадок в разделе "Обновление соединителя SQL Server".
Следующий шаг см. в статье Этапы настройки расширенного управления ключами с использованием хранилища ключей Azure.
Сценарии использования см. в статье Использование Соединителя SQL Server с компонентами шифрования SQL.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по