Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Vzťahuje sa na:✅databáza SQL v službe Microsoft Fabric
Dôležité
Táto funkcia je ukážky.
Microsoft Fabric šifruje všetky dáta v pokoji pomocou kľúčov spravovaných Microsoftom. Všetky SQL databázové dáta sú uložené v vzdialených Azure Storage účtoch. Aby sa splnili požiadavky na šifrovanie v pokoji pomocou kľúčov spravovaných Microsoftom, každý Azure Storage účet používaný SQL databázou je nakonfigurovaný so zapnutým šifrovaním na strane služby .
S kľúčmi spravovanými zákazníkmi pre pracovné priestory Fabric môžete použiť kľúče Azure Key Vault na pridanie ďalšej vrstvy ochrany k dátam vo vašich pracovných priestoroch Microsoft Fabric, vrátane všetkých dát v SQL databáze v Microsoft Fabric. Kľúč spravovaný zákazníkmi poskytuje väčšiu flexibilitu, čo vám umožňuje spravovať striedanie, ovládať prístup a auditovanie používania. Kľúče spravované zákazníkmi tiež pomáhajú organizáciám napĺňať potreby správy dát a dodržiavať štandardy ochrany a šifrovania údajov.
- Keď je kľúč spravovaný zákazníkom nastavený pre pracovný priestor v Microsoft Fabric, transparentné šifrovanie dát sa automaticky zapne pre všetky SQL databázy (a
tempdb) v danom pracovnom priestore pomocou špecifikovaného kľúča spravovaného zákazníkom. Tento proces je úplne bezproblémový a nevyžaduje žiadny manuálny zásah.- Hoci proces šifrovania začína automaticky pre všetky existujúce SQL databázy, nie je okamžitý; trvanie závisí od veľkosti každej SQL databázy, pričom väčšie SQL databázy vyžadujú viac času na dokončenie šifrovania.
- Po nastavení kľúča spravovaného zákazníkom budú všetky SQL databázy vytvorené v pracovnom priestore tiež šifrované pomocou kľúča spravovaného zákazníkom.
- Ak je kľúč spravovaný zákazníkom odstránený, proces dešifrovania sa spustí pre všetky SQL databázy v pracovnom priestore. Rovnako ako šifrovanie, aj dešifrovanie závisí od veľkosti SQL databázy a môže trvať čas. Po dešifrovaní sa SQL databázy vracajú k používaniu kľúčov spravovaných Microsoftom na šifrovanie.
Ako funguje transparentné šifrovanie dát v SQL databáze v Microsoft Fabric
Transparentné šifrovanie dát vykonáva šifrovanie a dešifrovanie databázy v reálnom čase, súvisiacich záloh a transakčných záznamov v pokoji.
- Tento proces prebieha na úrovni stránok, čo znamená, že každá stránka je dešifrovaná pri čítaní do pamäte a znovu zašifrovaná pred opätovným zápisom na disk.
- Transparentné šifrovanie dát zabezpečuje celú databázu pomocou symetrického kľúča známeho ako Kľúč na šifrovanie databázy (DEK).
- Keď sa databáza spustí, zašifrovaný DEK je dešifrovaný a použitý databázovým engine SQL Serveru na správu šifrovacích a dešifrovacích operácií.
- Samotný DEK je chránený transparentným ochranným systémom na šifrovanie dát, čo je asymetrický kľúč spravovaný zákazníkom – konkrétne kľúč spravovaný zákazníkom konfigurovaný na úrovni pracovného priestoru.
Zálohovanie a obnovenie
Keď je SQL databáza zašifrovaná zákazníkom spravovaným kľúčom, všetky novo vytvorené zálohy sú tiež zašifrované rovnakým kľúčom.
Keď sa kľúč zmení, staré zálohy SQL databázy sa neaktualizujú na použitie najnovšieho kľúča. Ak chcete obnoviť zálohu zašifrovanú zákazníkom spravovaným kľúčom, uistite sa, že kľúčový materiál je dostupný v Azure Key Vault. Preto odporúčame, aby zákazníci uchovávali všetky staré verzie zákaznícky spravovaných kľúčov v Azure Key Vault, aby bolo možné obnoviť zálohy SQL databázy.
Proces obnovy SQL databázy vždy rešpektuje nastavenie pracovného priestoru spravovaného kľúčom od zákazníka. Tabuľka nižšie popisuje rôzne scenáre obnovy na základe nastavení kľúča spravovaných zákazníkmi a či je záloha šifrovaná.
| Záloha je... | Nastavenie kľúčového pracovného priestoru spravovaného zákazníkom | Stav šifrovania po obnovení |
|---|---|---|
| Nie je zašifrované | Zakázané | SQL databáza nie je šifrovaná |
| Nie je zašifrované | Zapnuté | SQL databáza je šifrovaná kľúčom spravovaným zákazníkom |
| Zašifrované zákazníkom spravovaným kľúčom | Zakázané | SQL databáza nie je šifrovaná |
| Zašifrované zákazníkom spravovaným kľúčom | Zapnuté | SQL databáza je šifrovaná kľúčom spravovaným zákazníkom |
| Zašifrované zákazníkom spravovaným kľúčom | Povolený, ale iný zákaznícky spravovaný kľúč | SQL databáza je šifrovaná novým kľúčom spravovaným zákazníkom |
Overenie úspešného kľúča spravovaného zákazníkom
Keď v pracovnom priestore povolíte šifrovanie kľúča spravovaného zákazníkom, existujúca databáza bude zašifrovaná. Nová databáza v pracovnom priestore bude tiež šifrovaná, keď je zapnutý kľúč spravovaný zákazníkom. Na overenie, či je vaša databáza úspešne zašifrovaná, spustite nasledujúci T-SQL dotaz:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Databáza je šifrovaná, ak
encryption_state_descsa pole zobrazujeENCRYPTEDs akoASYMMETRIC_KEY.encryptor_type - Ak je stav ,
ENCRYPTION_IN_PROGRESSstĺpecpercent_completeoznačí priebeh zmeny šifrovacieho stavu. Bude to v0prípade, že neprebieha žiadna zmena štátu. - Ak nie je zašifrovaná, databáza sa neobjaví vo výsledkoch
sys.dm_database_encryption_keysdotazu .
Riešenie problémov s neprístupným kľúčom spravovaným zákazníkom
Keď je zákaznícky spravovaný kľúč nastavený pre pracovný priestor v Microsoft Fabric, je potrebný nepretržitý prístup ku kľúču, aby SQL databáza zostala online. Ak SQL databáza stratí prístup ku kľúču v Azure Key Vault, do 10 minút začne SQL databáza odmietať všetky spojenia a zmení svoj stav na Neprístupný. Používatelia dostanú zodpovedajúcu chybovú správu, napríklad "Databáza <database ID>.database.fabric.microsoft.com nie je prístupná kvôli kritickej chybe Azure Key Vault.".
- Ak je prístup ku kľúču obnovený do 30 minút, SQL databáza sa automaticky vylieči v priebehu nasledujúcej hodiny.
- Ak sa prístup ku kľúču obnoví po viac ako 30 minútach, automatické vyliečenie SQL databázy nie je možné. Obnovenie SQL databázy vyžaduje dodatočné kroky a môže trvať značné množstvo času v závislosti od veľkosti SQL databázy.
Použite nasledujúce kroky na opätovné overenie kľúča spravovaného zákazníkom:
- Vo vašom pracovnom priestore kliknite pravým tlačidlom na SQL databázu alebo na
...kontextové menu. Vyberte Nastavenia. - Vyberte šifrovanie (náhľad).
- Ak sa chcete pokúsiť o opätovnú validáciu kľúča spravovaného zákazníkom, vyberte tlačidlo Revalidovať kľúč spravovaný zákazníkom . Ak je opätovná validácia úspešná, obnovenie prístupu k vašej SQL databáze môže chvíľu trvať.
Poznámka
Keď znovu overíte kľúč pre jednu SQL databázu, kľúč sa automaticky znovu overí pre všetky SQL databázy vo vašom pracovnom priestore.
Limitations
Súčasné obmedzenia pri používaní kľúča spravovaného zákazníkom pre SQL databázu v Microsoft Fabric:
- 4 096-bitové kľúče nie sú podporované pre SQL Database v Microsoft Fabric. Podporované dĺžky kľúčov sú 2 048 bitov a 3 072 bitov.
- Kľúč spravovaný zákazníkom musí byť RSA alebo RSA-HSM asymetrický kľúč.