หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
นําไปใช้กับ:✅ฐานข้อมูล SQL ใน Microsoft Fabric
Microsoft Fabric เข้ารหัสลับข้อมูลทั้งหมดที่ไม่ได้ใช้งานโดยใช้คีย์ที่จัดการโดย Microsoft ฐานข้อมูล SQL จัดเก็บข้อมูลทั้งหมดในบัญชี Azure Storage ระยะไกล เพื่อให้สอดคล้องกับข้อกําหนดการเข้ารหัสลับที่ไม่ได้ใช้งานโดยใช้คีย์ที่จัดการโดย Microsoft บัญชีที่เก็บข้อมูล Azure แต่ละบัญชีที่ใช้โดยฐานข้อมูล SQL จะเปิดใช้งานการเข้ารหัสลับฝั่งบริการ
ด้วย คีย์ที่จัดการโดยลูกค้าสําหรับพื้นที่ทํางาน Fabric คุณสามารถใช้คีย์ Azure Key Vault เพื่อเพิ่มการป้องกันอีกชั้นหนึ่งให้กับข้อมูลในพื้นที่ทํางาน Microsoft Fabric ของคุณ รวมถึงข้อมูลทั้งหมดในฐานข้อมูล SQL ใน Microsoft Fabric คีย์ที่จัดการโดยลูกค้าให้ความยืดหยุ่นมากขึ้น ช่วยให้คุณจัดการการหมุนเวียน ควบคุมการเข้าถึง และการตรวจสอบการใช้งาน คีย์ที่จัดการโดยลูกค้ายังช่วยให้องค์กรตอบสนองความต้องการด้านการกํากับดูแลข้อมูลและปฏิบัติตามมาตรฐานการปกป้องข้อมูลและการเข้ารหัสลับ
- เมื่อคุณกําหนดค่าคีย์ที่จัดการโดยลูกค้าสําหรับพื้นที่ทํางานใน Microsoft Fabric การเข้ารหัสลับข้อมูลแบบโปร่งใส จะเปิดใช้งานโดยอัตโนมัติสําหรับฐานข้อมูล SQL ทั้งหมด (และ
tempdb) ภายในพื้นที่ทํางานนั้นโดยใช้คีย์ที่จัดการโดยลูกค้าที่ระบุ กระบวนการนี้ราบรื่นและไม่ต้องการการแทรกแซงด้วยตนเอง- แม้ว่ากระบวนการเข้ารหัสจะเริ่มโดยอัตโนมัติสําหรับฐานข้อมูล SQL ที่มีอยู่ทั้งหมด แต่ก็ไม่ได้เกิดขึ้นในทันที ระยะเวลาขึ้นอยู่กับขนาดของฐานข้อมูล SQL แต่ละฐานข้อมูล โดยฐานข้อมูล SQL ขนาดใหญ่ต้องใช้เวลามากขึ้นในการเข้ารหัสให้เสร็จสมบูรณ์
- หลังจากที่คุณกําหนดค่าคีย์ที่จัดการโดยลูกค้า ฐานข้อมูล SQL ใดๆ ที่คุณสร้างในพื้นที่ทํางานจะถูกเข้ารหัสลับโดยใช้คีย์ที่จัดการโดยลูกค้าด้วย
- ถ้าคุณเอาคีย์ที่จัดการโดยลูกค้าออก การถอดรหัสจะเริ่มขึ้นสําหรับฐานข้อมูล SQL ทั้งหมดในพื้นที่ทํางาน เช่นเดียวกับการเข้ารหัส การถอดรหัสยังขึ้นอยู่กับขนาดของฐานข้อมูล SQL และอาจใช้เวลากว่าจะเสร็จสมบูรณ์ เมื่อถอดรหัสแล้ว ฐานข้อมูล SQL จะเปลี่ยนกลับไปใช้คีย์ที่จัดการโดย Microsoft สําหรับการเข้ารหัสลับ
การเข้ารหัสลับข้อมูลแบบโปร่งใสทํางานอย่างไรในฐานข้อมูล SQL ใน Microsoft Fabric
การเข้ารหัสข้อมูลที่โปร่งใสจะทําการเข้ารหัสแบบเรียลไทม์และถอดรหัสฐานข้อมูล
- กระบวนการนี้เกิดขึ้นที่ระดับหน้า ซึ่งหมายความว่าแต่ละหน้าจะถูกถอดรหัสเมื่ออ่านลงในหน่วยความจําและเข้ารหัสใหม่ก่อนที่จะเขียนกลับไปยังดิสก์
- การเข้ารหัสข้อมูลที่โปร่งใสจะรักษาความปลอดภัยฐานข้อมูลทั้งหมดโดยใช้คีย์สมมาตรที่เรียกว่าคีย์การเข้ารหัสฐานข้อมูล (DEK)
- เมื่อฐานข้อมูลเริ่มต้นทํางาน กลไกจัดการฐานข้อมูล SQL Server จะถอดรหัส DEK และใช้เพื่อจัดการการเข้ารหัสลับและการดําเนินการถอดรหัส
- ตัวป้องกันการเข้ารหัสลับข้อมูลแบบโปร่งใส โดยเฉพาะคีย์ที่จัดการโดยลูกค้าที่กําหนดค่าในระดับพื้นที่ทํางาน จะปกป้อง DEK
การสำรองและการคืนค่า
เมื่อฐานข้อมูล SQL ได้รับการเข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า การสํารองข้อมูลที่สร้างขึ้นใหม่จะถูกเข้ารหัสด้วยคีย์เดียวกันด้วย
เมื่อคุณเปลี่ยนคีย์ การสํารองข้อมูลเก่าของฐานข้อมูล SQL จะไม่ได้รับการปรับปรุงเพื่อใช้คีย์ล่าสุด เมื่อต้องการคืนค่าข้อมูลสํารองที่เข้ารหัสลับด้วยคีย์ที่จัดการโดยลูกค้า ให้ตรวจสอบให้แน่ใจว่าวัสดุคีย์พร้อมใช้งานใน Azure Key Vault เก็บคีย์ที่จัดการโดยลูกค้าเวอร์ชันเก่าทั้งหมดไว้ใน Azure Key Vault เพื่อให้สามารถกู้คืนการสํารองข้อมูลฐานข้อมูล SQL ได้
กระบวนการคืนค่าฐานข้อมูล SQL จะให้เกียรติการตั้งค่าพื้นที่ทํางานคีย์ที่จัดการโดยลูกค้าเสมอ ตารางต่อไปนี้สรุปสถานการณ์การคืนค่าต่างๆ ตามการตั้งค่าคีย์ที่จัดการโดยลูกค้า และว่าการสํารองข้อมูลถูกเข้ารหัสลับหรือไม่
| การสํารองข้อมูลคือ... | การตั้งค่าพื้นที่ทํางานคีย์ที่จัดการโดยลูกค้า | สถานะการเข้ารหัสหลังการกู้คืน |
|---|---|---|
| ไม่ได้เข้ารหัส | ถูกปิดใช้งาน | ฐานข้อมูล SQL ไม่ได้เข้ารหัสลับ |
| ไม่ได้เข้ารหัส | เปิดใช้งาน | ฐานข้อมูล SQL ถูกเข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า |
| เข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า | ถูกปิดใช้งาน | ฐานข้อมูล SQL ไม่ได้เข้ารหัสลับ |
| เข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า | เปิดใช้งาน | ฐานข้อมูล SQL ถูกเข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า |
| เข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า | คีย์ที่เปิดใช้งานแต่แตกต่างกันโดยลูกค้า | ฐานข้อมูล SQL ถูกเข้ารหัสด้วยคีย์ใหม่ที่จัดการโดยลูกค้า |
ตรวจสอบคีย์ที่จัดการโดยลูกค้าที่สําเร็จ
เมื่อคุณเปิดใช้งานการเข้ารหัสคีย์ที่จัดการโดยลูกค้าในพื้นที่ทํางาน ฐานข้อมูลที่มีอยู่จะถูกเข้ารหัส ฐานข้อมูลใหม่ในพื้นที่ทํางานจะถูกเข้ารหัสลับเมื่อเปิดใช้งานคีย์ที่จัดการโดยลูกค้า เมื่อต้องการตรวจสอบว่าฐานข้อมูลของคุณถูกเข้ารหัสลับเรียบร้อยแล้ว ให้เรียกใช้แบบสอบถาม T-SQL ต่อไปนี้:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- ฐานข้อมูลจะถูกเข้ารหัสถ้า
encryption_state_descเขตข้อมูลแสดงENCRYPTEDเป็นASYMMETRIC_KEYencryptor_type. - ถ้าสถานะเป็น
ENCRYPTION_IN_PROGRESSคอลัมน์percent_completeจะระบุความคืบหน้าของการเปลี่ยนแปลงสถานะการเข้ารหัส ค่า0นี้คือถ้าไม่มีการเปลี่ยนแปลงสถานะอยู่ - ถ้าไม่ได้เข้ารหัสลับ ฐานข้อมูลจะไม่ปรากฏในผลลัพธ์แบบสอบถามของ
sys.dm_database_encryption_keys
แก้ไขปัญหาคีย์ที่จัดการโดยลูกค้าที่ไม่สามารถเข้าถึงได้
เมื่อคุณกําหนดค่าคีย์ที่จัดการโดยลูกค้าสําหรับพื้นที่ทํางานใน Microsoft Fabric ฐานข้อมูล SQL จําเป็นต้องมีการเข้าถึงคีย์อย่างต่อเนื่องเพื่อให้ออนไลน์อยู่ ถ้าฐานข้อมูล SQL สูญเสียการเข้าถึงคีย์ใน Azure Key Vault ภายใน 10 นาที ฐานข้อมูล SQL จะเริ่มปฏิเสธการเชื่อมต่อทั้งหมดและเปลี่ยนสถานะเป็น ไม่สามารถเข้าถึงได้ ผู้ใช้ได้รับข้อความแสดงข้อผิดพลาดที่สอดคล้องกัน เช่น "ฐานข้อมูลไม่สามารถเข้าถึงได้ <database ID>.database.fabric.microsoft.com เนื่องจากข้อผิดพลาดร้ายแรงของ Azure Key Vault"
- หากการเข้าถึงคีย์ถูกกู้คืนภายใน 30 นาที ฐานข้อมูล SQL จะได้รับการฟื้นฟูโดยอัตโนมัติภายในหนึ่งชั่วโมงถัดไป
- ถ้าการเข้าถึงคีย์ถูกคืนค่าหลังจากผ่านไปนานกว่า 30 นาที การกู้คืนฐานข้อมูล SQL โดยอัตโนมัติจะไม่สามารถทําได้ การกู้คืนฐานข้อมูล SQL ต้องใช้ขั้นตอนเพิ่มเติม และอาจใช้เวลานานขึ้นอยู่กับขนาดของฐานข้อมูล SQL
ใช้ขั้นตอนต่อไปนี้เพื่อตรวจสอบความถูกต้องของคีย์ที่จัดการโดยลูกค้าอีกครั้ง:
- ในพื้นที่ทํางานของคุณ ให้คลิกขวาที่ฐานข้อมูล SQL หรือเลือก
...เมนูบริบท เลือก การตั้งค่า - เลือก การเข้ารหัสลับ
- เมื่อต้องการตรวจสอบความถูกต้องของคีย์ที่จัดการโดยลูกค้าอีกครั้ง ให้เลือก ตรวจสอบความถูกต้องของคีย์ที่จัดการโดยลูกค้าอีกครั้ง หากการตรวจสอบความถูกต้องใหม่สําเร็จ การกู้คืนการเข้าถึงฐานข้อมูล SQL ของคุณอาจใช้เวลาสักครู่
Note
เมื่อคุณตรวจสอบความถูกต้องของคีย์สําหรับฐานข้อมูล SQL หนึ่งฐานข้อมูล คีย์จะถูกตรวจสอบความถูกต้องใหม่โดยอัตโนมัติสําหรับฐานข้อมูล SQL ทั้งหมดภายในพื้นที่ทํางานของคุณ
Limitations
ข้อจํากัดปัจจุบันเมื่อใช้คีย์ที่จัดการโดยลูกค้าสําหรับฐานข้อมูล SQL ใน Microsoft Fabric:
- คีย์ 4,096 บิตไม่ได้รับการสนับสนุนสําหรับฐานข้อมูล SQL ใน Microsoft Fabric ความยาวของคีย์ที่รองรับคือ 2,048 บิตและ 3,072 บิต
- คีย์ที่จัดการโดยลูกค้าต้องเป็นคีย์ RSA หรือ RSA-HSM คีย์อสมมาตร