Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Vzťahuje sa na:✅databáza SQL v službe Microsoft Fabric
Microsoft Fabric šifruje všetky dáta v pokoji pomocou kľúčov spravovaných Microsoftom. SQL databáza uchováva všetky dáta v vzdialených Azure Storage účtoch. Aby sa splnili požiadavky na šifrovanie v pokoji pomocou kľúčov spravovaných Microsoftom, každý Azure Storage účet používaný SQL databázou má povolené šifrovanie na strane služby .
S kľúčmi spravovanými zákazníkmi pre pracovné priestory Fabric môžete použiť kľúče Azure Key Vault na pridanie ďalšej vrstvy ochrany k dátam vo vašich pracovných priestoroch Microsoft Fabric, vrátane všetkých dát v SQL databáze v Microsoft Fabric. Kľúč spravovaný zákazníkom poskytuje väčšiu flexibilitu, umožňuje spravovať jeho rotáciu, kontrolovať prístup a auditné využitie. Kľúče spravované zákazníkmi tiež pomáhajú organizáciám napĺňať potreby správy dát a dodržiavať štandardy ochrany a šifrovania údajov.
- Keď konfigurujete zákaznícky spravovaný kľúč pre pracovný priestor v Microsoft Fabric, transparentné šifrovanie dát sa automaticky zapne pre všetky SQL databázy (a
tempdb) v danom pracovnom priestore pomocou špecifikovaného kľúča spravovaného zákazníkom. Tento proces je bezproblémový a nevyžaduje manuálny zásah.- Hoci proces šifrovania začína automaticky pre všetky existujúce SQL databázy, nie je okamžitý. Dĺžka závisí od veľkosti každej SQL databázy, pričom väčšie SQL databázy vyžadujú viac času na dokončenie šifrovania.
- Po nastavení kľúča spravovaného zákazníkom sú všetky SQL databázy, ktoré vytvoríte v pracovnom priestore, tiež šifrované pomocou kľúča spravovaného zákazníkom.
- Ak odstránite kľúč spravovaný zákazníkom, dešifrovanie sa spustí pre všetky SQL databázy v pracovnom priestore. Rovnako ako šifrovanie, aj dešifrovanie závisí od veľkosti SQL databázy a môže trvať dlho. Po dešifrovaní sa SQL databázy vracajú k používaniu kľúčov spravovaných Microsoftom na šifrovanie.
Ako funguje transparentné šifrovanie dát v SQL databáze v Microsoft Fabric
Transparentné šifrovanie dát vykonáva šifrovanie a dešifrovanie databázy v reálnom čase, súvisiacich záloh a transakčných záznamov v pokoji.
- Tento proces prebieha na úrovni stránok, čo znamená, že každá stránka je dešifrovaná pri čítaní do pamäte a znovu zašifrovaná pred opätovným zápisom na disk.
- Transparentné šifrovanie dát zabezpečuje celú databázu pomocou symetrického kľúča známeho ako Kľúč na šifrovanie databázy (DEK).
- Keď sa databáza spustí, databázový engine SQL Serveru DEK dešifruje a používa ho na správu šifrovacích a dešifrovacích operácií.
- Transparentný štít na šifrovanie dát – konkrétne zákaznícky spravovaný kľúč nakonfigurovaný na úrovni pracovného priestoru – chráni DEK.
Zálohovanie a obnovenie
Keď je SQL databáza zašifrovaná zákazníkom spravovaným kľúčom, všetky novo vytvorené zálohy sú tiež zašifrované rovnakým kľúčom.
Keď zmeníte kľúč, staré zálohy SQL databázy sa neaktualizujú, aby používali najnovší kľúč. Na obnovenie zálohy zašifrovanej zákazníkom spravovaným kľúčom sa uistite, že materiál kľúča je dostupný v Azure Key Vault. Všetky staré verzie zákaznícky spravovaných kľúčov uchovávajte v Azure Key Vault, aby bolo možné obnoviť SQL databázové zálohy.
Proces obnovy SQL databázy vždy rešpektuje nastavenie pracovného priestoru spravovaného zákazníkom. Nasledujúca tabuľka popisuje rôzne scenáre obnovy na základe nastavení kľúča spravovaných zákazníkmi a či je záloha šifrovaná.
| Záloha je... | Nastavenie kľúčového pracovného priestoru spravovaného zákazníkom | Stav šifrovania po obnovení |
|---|---|---|
| Nie je zašifrované | Zakázané | SQL databáza nie je šifrovaná |
| Nie je zašifrované | Zapnuté | SQL databáza je šifrovaná kľúčom spravovaným zákazníkom |
| Zašifrované zákazníkom spravovaným kľúčom | Zakázané | SQL databáza nie je šifrovaná |
| Zašifrované zákazníkom spravovaným kľúčom | Zapnuté | SQL databáza je šifrovaná kľúčom spravovaným zákazníkom |
| Zašifrované zákazníkom spravovaným kľúčom | Povolený, ale iný zákaznícky spravovaný kľúč | SQL databáza je šifrovaná novým kľúčom spravovaným zákazníkom |
Overenie úspešného kľúča spravovaného zákazníkom
Keď v pracovnom priestore povolíte šifrovanie kľúčov spravovaných zákazníkmi, existujúca databáza je zašifrovaná. Nová databáza v pracovnom priestore je tiež šifrovaná, keď je povolený zákaznícky spravovaný kľúč. Na overenie, že vaša databáza je úspešne zašifrovaná, spustite nasledujúci T-SQL dotaz:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Databáza je šifrovaná, ak
encryption_state_descsa pole zobrazujeENCRYPTEDs akoASYMMETRIC_KEY.encryptor_type - Ak je stav ,
ENCRYPTION_IN_PROGRESSstĺpecpercent_completeoznačuje priebeh zmeny stavu šifrovania. Táto hodnota platí,0ak neprebieha žiadna zmena stavu. - Ak nie je zašifrovaná, databáza sa neobjavuje vo výsledkoch
sys.dm_database_encryption_keysdotazu .
Riešenie problémov s neprístupným kľúčom spravovaným zákazníkom
Keď konfigurujete zákaznícky spravovaný kľúč pre pracovný priestor v Microsoft Fabric, SQL databáza vyžaduje nepretržitý prístup ku kľúču, aby zostala online. Ak SQL databáza stratí prístup ku kľúču v Azure Key Vault, do 10 minút začne SQL databáza odmietať všetky pripojenia a zmení svoj stav na Neprístupný. Používatelia dostanú zodpovedajúcu chybovú správu, napríklad "Databáza <database ID>.database.fabric.microsoft.com nie je prístupná kvôli kritickej chybe Azure Key Vault."
- Ak je prístup ku kľúču obnovený do 30 minút, SQL databáza sa automaticky vylieči v priebehu nasledujúcej hodiny.
- Ak sa prístup ku kľúču obnoví po viac ako 30 minútach, automatické opravenie SQL databázy nie je možné. Obnova SQL databázy si vyžaduje dodatočné kroky a môže trvať značné množstvo času v závislosti od veľkosti SQL databázy.
Použite nasledujúce kroky na opätovné overenie kľúča spravovaného zákazníkom:
- Vo vašom pracovnom priestore kliknite pravým tlačidlom na SQL databázu alebo vyberte
...kontextové menu. Vyberte Nastavenia. - Vyberte šifrovanie.
- Na opätovné overenie kľúča spravovaného zákazníkom vyberte možnosť Revalidovať kľúč spravovaný zákazníkom. Ak je opätovná validácia úspešná, obnovenie prístupu k vašej SQL databáze môže chvíľu trvať.
Poznámka
Keď znovu overíte kľúč pre jednu SQL databázu, kľúč sa automaticky znovu overí pre všetky SQL databázy vo vašom pracovnom priestore.
Limitations
Súčasné obmedzenia pri používaní kľúča spravovaného zákazníkom pre SQL databázu v Microsoft Fabric:
- 4 096-bitové kľúče nie sú podporované pre SQL databázy v Microsoft Fabric. Podporované dĺžky kľúčov sú 2 048 bitov a 3 072 bitov.
- Kľúč spravovaný zákazníkom musí byť RSA alebo RSA-HSM asymetrický kľúč.