Motståndskraft mellan regioner för SQL TDE med Azure Key Vault Managed HSM

Hanterad Azure SQL-instans

Azure Key Vault

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Den här lösningen beskriver ett säkert och motståndskraftigt distributionsmönster för Azure SQL Managed Instance. Den visar hur Azure Key Vault Managed HSM används för att lagra de kundhanterade TDE-skyddsnycklarna (transparent datakryptering).

Arkitektur

Diagrammet innehåller två nyckelavsnitt, den primära regionen och den sekundära regionen. Den primära regionen har ett underavsnitt som innehåller SQL Managed Instance, tillgänglighetszoner och ett undernät med en nätverkssäkerhetsgrupp (NSG). Den primära regionen har ett annat underavsnitt som innehåller ett undernät med en NSG, en privat slutpunkt för den primära regionen av hanterad HSM, en annan privat slutpunkt, en lastbalanserare och en hanterad HSM-pool. Varje underavsnitt har ett virtuellt nätverk och resursgrupper. En privat DNS-zon för mHSM finns också i den primära regionen. Den sekundära regionen replikerar den primära regionens resurser. En pil märkt hanteringsplan pekar från SQL Managed Instance till Traffic Manager i avsnittet externa globala resurser. En pil med etiketten tvärregional datareplikering pekar från SQL Managed Instance-underavsnittet i den primära regionen till samma underavsnitt i den sekundära regionen. En pil märkt "replikering mellan regioner" går från underavsnittet för den hanterade HSM-poolen i den primära regionen till samma underavsnitt i den sekundära regionen. I varje region pekar en pil märkt dataplan från SQL Managed Instance till den privata slutpunkten och sedan till Traffic Manager. I varje region pekar en pil märkt hanteringsplan från SQL Managed Instance till Traffic Manager. I varje region pekar en pil från Traffic Manager till den hanterade HSM-poolen, vilket indikerar att Traffic Manager omdirigerar till närmaste mHSM.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Följande arbetsflöde motsvarar föregående diagram:

1. SQL Managed Instance konfigureras med tillgänglighetsgrupper i den sekundära oparade regionen för att replikera data för katastrofåterställning.

2. Hanterad HSM konfigureras med en pool mellan regioner. Den här poolen replikerar automatiskt nyckelmaterialet och behörigheterna till valvet i den sekundära regionen utan parning.

3. Dataplanstrafik från SQL Managed Instance flödar via den privata slutpunkten för Managed HSM.

4. Hanterad HSM använder Azure Traffic Manager för att dirigera trafiken till närmaste driftvalv.

5. Om den hanterade instansen behöver kontrollera behörigheter för en nyckel skickar den en begäran om hanteringsplan via Azure-stamnätverket.

Komponenter

• SQL Managed Instance är ett PaaS-erbjudande (platform-as-a-service) som nästan är helt kompatibelt med den senaste SQL Server Enterprise Edition-databasmotorn. Den tillhandahåller en intern implementering av virtuella nätverk som förbättrar säkerheten och ger en fördelaktig affärsmodell för befintliga SQL Server-kunder. Du kan använda SQL Managed Instance för att migrera dina lokala program till molnet med minimala ändringar i program och databaser.

  SQL Managed Instance innehåller även omfattande PaaS-funktioner, inklusive automatisk korrigering och versionsuppdateringar, automatiserade säkerhetskopieringar och hög tillgänglighet. Dessa funktioner minskar avsevärt hanteringskostnaderna och den totala ägandekostnaden. I den här arkitekturen är SQL Managed Instance den databas som använder TDE-skyddsnycklarna.

• Hanterad HSM är en fullständigt hanterad molntjänst som ger hög tillgänglighet, enskild användarinstans och efterlevnad av branschstandard. Hanterad HSM är utformad för att skydda kryptografiska nycklar för molnprogram. Den använder Federal Information Processing Standards 140-2 Level 3-validerade HSM:er. Hanterad HSM är en av flera viktiga hanteringslösningar i Azure. I den här arkitekturen lagrar Managed HSM TDE-skyddsnycklarna på ett säkert sätt och ger återhämtning mellan regioner.

• En privat Azure-slutpunkt fungerar som ett nätverksgränssnitt som på ett säkert sätt ansluter PaaS-tjänster, till exempel Azure Storage, Azure SQL Database och Azure Key Vault till ett virtuellt nätverk via en privat IP-adress. Den här funktionen eliminerar behovet av offentlig internetexponering, vilket förbättrar säkerheten genom att hålla trafiken inom Azure-stamnätverket. Den använder också kundens virtuella nätverk för extra skydd. I den här arkitekturen säkerställer en privat Azure-slutpunkt att trafiken mellan tjänster flödar via ett privat virtuellt nätverk.

• Azure Private DNS ger sömlös namnmatchning för privata slutpunkter, vilket gör att resurser i ett virtuellt nätverk kan komma åt Azure-tjänster privat. Det gör att de kan använda fullständigt kvalificerade domännamn i stället för offentliga IP-adresser, vilket förbättrar säkerheten och tillgängligheten. När en privat slutpunkt skapas registreras motsvarande DNS-post automatiskt i den länkade privata DNS-zonen. En privat DNS-zon säkerställer att trafiken till tjänsten förblir inom Azure-stamnätverket. Den här metoden förbättrar säkerhet, prestanda och efterlevnad genom att undvika exponering för det offentliga Internet. Om ett regionalt tjänstfel inträffar tillhandahåller Azure Private DNS inbyggd namnupplösningsresiliens mellan regioner för Hanterad HSM. I den här arkitekturen använder tjänsterna Azure Private DNS för att kommunicera med varandra via sina privata nätverksadresser.

Scenarioinformation

I den här lösningen strävar en kund efter att uppfylla strikta tröskelvärden för servicenivåmål (SLO) för sitt verksamhetskritiska system samtidigt som full funktionalitet för de listade tjänsterna säkerställs. För att uppnå det här målet använder de SQL Managed Instance med en kundhanterad TDE-skyddsnyckel. Nyckeln lagras i ett valv som stöder deras valda regioner och uppfyller alla efterlevnads- och säkerhetskrav. Åtkomst till privata slutpunkter tillämpas också för förbättrat skydd.

Potentiella användningsfall

• En kund använder två parkopplade eller oparkopplade regioner. Den primära SQL Managed Instance finns i en region och redundansgrupper konfigureras för att ansluta den till SQL Managed Instance i den sekundära regionen.

• En kund använder en Hanterad HSM-instans i en primär region med en replik mellan regioner i en sekundär region. När en replik mellan regioner är aktiverad skapas en Traffic Manager-instans. Traffic Manager-instansen hanterar routningen av trafik till det lokala valvet om båda valvena är i drift eller till valvet som är i drift om ett valv inte är tillgängligt.

• En kund använder två anpassade DNS-zoner för att stödja en privat slutpunkt för en hanterad HSM-instans i varje region.

• En kundaktiverad TDE på användardatabaser använder en kundhanterad nyckelmodell och lagrar en skyddsnyckel i Managed HSM.

• En kund använder den här designen för att ge maximal motståndskraft.

Bidragsgivare

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Huvudsakliga författare:

• Laura Grob | Huvudarkitekt för molnlösning
• Armen Kaleshian | Huvudarkitekt för molnlösning
• Michael Piskorski | Senior Cloud Solution Architect

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Nästa steg

• En omfattande guide till Managed HSM för reglerade branscher
• Inbyggda roller för rollbaserad åtkomstkontroll på lokal nivå för hanterad HSM
• Aktivera replikering i flera regioner på hanterad HSM
• Konfigurera hanterad HSM med privata slutpunkter
• Översikt över hanterad HSM-återställning
• Nyckelsuveränitet, tillgänglighet, prestanda och skalbarhet i Hanterad HSM
• Metodtips för att skydda hanterad HSM
• Säkerhetsöversikt för Key Vault
• Om "Key Vault"-nycklar
• Generera och överföra HSM-skyddade nycklar
• Tillgänglighet och redundans för Key Vault

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Den här lösningen beskriver ett säkert och motståndskraftigt distributionsmönster för Azure SQL Managed Instance. Den visar hur Azure Key Vault Managed HSM används för att lagra de kundhanterade TDE-skyddsnycklarna (transparent datakryptering).

Arkitektur

Diagrammet innehåller två nyckelavsnitt, den primära regionen och den sekundära regionen. Den primära regionen har ett underavsnitt som innehåller SQL Managed Instance, tillgänglighetszoner och ett undernät med en nätverkssäkerhetsgrupp (NSG). Den primära regionen har ett annat underavsnitt som innehåller ett undernät med en NSG, en privat slutpunkt för den primära regionen av hanterad HSM, en annan privat slutpunkt, en lastbalanserare och en hanterad HSM-pool. Varje underavsnitt har ett virtuellt nätverk och resursgrupper. En privat DNS-zon för mHSM finns också i den primära regionen. Den sekundära regionen replikerar den primära regionens resurser. En pil märkt hanteringsplan pekar från SQL Managed Instance till Traffic Manager i avsnittet externa globala resurser. En pil med etiketten tvärregional datareplikering pekar från SQL Managed Instance-underavsnittet i den primära regionen till samma underavsnitt i den sekundära regionen. En pil märkt "replikering mellan regioner" går från underavsnittet för den hanterade HSM-poolen i den primära regionen till samma underavsnitt i den sekundära regionen. I varje region pekar en pil märkt dataplan från SQL Managed Instance till den privata slutpunkten och sedan till Traffic Manager. I varje region pekar en pil märkt hanteringsplan från SQL Managed Instance till Traffic Manager. I varje region pekar en pil från Traffic Manager till den hanterade HSM-poolen, vilket indikerar att Traffic Manager omdirigerar till närmaste mHSM.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Följande arbetsflöde motsvarar föregående diagram:

1. SQL Managed Instance konfigureras med tillgänglighetsgrupper i den sekundära oparade regionen för att replikera data för katastrofåterställning.

2. Hanterad HSM konfigureras med en pool mellan regioner. Den här poolen replikerar automatiskt nyckelmaterialet och behörigheterna till valvet i den sekundära regionen utan parning.

3. Dataplanstrafik från SQL Managed Instance flödar via den privata slutpunkten för Managed HSM.

4. Hanterad HSM använder Azure Traffic Manager för att dirigera trafiken till närmaste driftvalv.

5. Om den hanterade instansen behöver kontrollera behörigheter för en nyckel skickar den en begäran om hanteringsplan via Azure-stamnätverket.

Komponenter

• SQL Managed Instance är ett PaaS-erbjudande (platform-as-a-service) som nästan är helt kompatibelt med den senaste SQL Server Enterprise Edition-databasmotorn. Den tillhandahåller en intern implementering av virtuella nätverk som förbättrar säkerheten och ger en fördelaktig affärsmodell för befintliga SQL Server-kunder. Du kan använda SQL Managed Instance för att migrera dina lokala program till molnet med minimala ändringar i program och databaser.

  SQL Managed Instance innehåller även omfattande PaaS-funktioner, inklusive automatisk korrigering och versionsuppdateringar, automatiserade säkerhetskopieringar och hög tillgänglighet. Dessa funktioner minskar avsevärt hanteringskostnaderna och den totala ägandekostnaden. I den här arkitekturen är SQL Managed Instance den databas som använder TDE-skyddsnycklarna.

• Hanterad HSM är en fullständigt hanterad molntjänst som ger hög tillgänglighet, enskild användarinstans och efterlevnad av branschstandard. Hanterad HSM är utformad för att skydda kryptografiska nycklar för molnprogram. Den använder Federal Information Processing Standards 140-2 Level 3-validerade HSM:er. Hanterad HSM är en av flera viktiga hanteringslösningar i Azure. I den här arkitekturen lagrar Managed HSM TDE-skyddsnycklarna på ett säkert sätt och ger återhämtning mellan regioner.

• En privat Azure-slutpunkt fungerar som ett nätverksgränssnitt som på ett säkert sätt ansluter PaaS-tjänster, till exempel Azure Storage, Azure SQL Database och Azure Key Vault till ett virtuellt nätverk via en privat IP-adress. Den här funktionen eliminerar behovet av offentlig internetexponering, vilket förbättrar säkerheten genom att hålla trafiken inom Azure-stamnätverket. Den använder också kundens virtuella nätverk för extra skydd. I den här arkitekturen säkerställer en privat Azure-slutpunkt att trafiken mellan tjänster flödar via ett privat virtuellt nätverk.

• Azure Private DNS ger sömlös namnmatchning för privata slutpunkter, vilket gör att resurser i ett virtuellt nätverk kan komma åt Azure-tjänster privat. Det gör att de kan använda fullständigt kvalificerade domännamn i stället för offentliga IP-adresser, vilket förbättrar säkerheten och tillgängligheten. När en privat slutpunkt skapas registreras motsvarande DNS-post automatiskt i den länkade privata DNS-zonen. En privat DNS-zon säkerställer att trafiken till tjänsten förblir inom Azure-stamnätverket. Den här metoden förbättrar säkerhet, prestanda och efterlevnad genom att undvika exponering för det offentliga Internet. Om ett regionalt tjänstfel inträffar tillhandahåller Azure Private DNS inbyggd namnupplösningsresiliens mellan regioner för Hanterad HSM. I den här arkitekturen använder tjänsterna Azure Private DNS för att kommunicera med varandra via sina privata nätverksadresser.

Scenarioinformation

I den här lösningen strävar en kund efter att uppfylla strikta tröskelvärden för servicenivåmål (SLO) för sitt verksamhetskritiska system samtidigt som full funktionalitet för de listade tjänsterna säkerställs. För att uppnå det här målet använder de SQL Managed Instance med en kundhanterad TDE-skyddsnyckel. Nyckeln lagras i ett valv som stöder deras valda regioner och uppfyller alla efterlevnads- och säkerhetskrav. Åtkomst till privata slutpunkter tillämpas också för förbättrat skydd.

Potentiella användningsfall

• En kund använder två parkopplade eller oparkopplade regioner. Den primära SQL Managed Instance finns i en region och redundansgrupper konfigureras för att ansluta den till SQL Managed Instance i den sekundära regionen.

• En kund använder en Hanterad HSM-instans i en primär region med en replik mellan regioner i en sekundär region. När en replik mellan regioner är aktiverad skapas en Traffic Manager-instans. Traffic Manager-instansen hanterar routningen av trafik till det lokala valvet om båda valvena är i drift eller till valvet som är i drift om ett valv inte är tillgängligt.

• En kund använder två anpassade DNS-zoner för att stödja en privat slutpunkt för en hanterad HSM-instans i varje region.

• En kundaktiverad TDE på användardatabaser använder en kundhanterad nyckelmodell och lagrar en skyddsnyckel i Managed HSM.

• En kund använder den här designen för att ge maximal motståndskraft.

Bidragsgivare

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Huvudsakliga författare:

• Laura Grob | Huvudarkitekt för molnlösning
• Armen Kaleshian | Huvudarkitekt för molnlösning
• Michael Piskorski | Senior Cloud Solution Architect

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Nästa steg

• En omfattande guide till Managed HSM för reglerade branscher
• Inbyggda roller för rollbaserad åtkomstkontroll på lokal nivå för hanterad HSM
• Aktivera replikering i flera regioner på hanterad HSM
• Konfigurera hanterad HSM med privata slutpunkter
• Översikt över hanterad HSM-återställning
• Nyckelsuveränitet, tillgänglighet, prestanda och skalbarhet i Hanterad HSM
• Metodtips för att skydda hanterad HSM
• Säkerhetsöversikt för Key Vault
• Om "Key Vault"-nycklar
• Generera och överföra HSM-skyddade nycklar
• Tillgänglighet och redundans för Key Vault