Müşteri tarafından yönetilen anahtarla saydam veri şifrelemesi Azure SQL

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Müşteri tarafından yönetilen anahtarla saydam veri şifrelemesi (TDE) Azure SQL bekleyen verilerin korunması için Kendi Anahtarını Getir (BYOK) senaryosuna olanak tanır ve kuruluşların anahtarların ve verilerin yönetiminde görev ayrımı uygulamasına olanak tanır. Müşteri tarafından yönetilen TDE ile müşteri, anahtar yaşam döngüsü yönetiminden (anahtar oluşturma, karşıya yükleme, döndürme, silme), anahtar kullanım izinlerinden ve anahtarlardaki işlemlerin denetiminden sorumludur.

Bu senaryoda, TDE koruyucusu olarak adlandırılan Veritabanı Şifreleme Anahtarının (DEK) şifrelenmesi için kullanılan anahtar, bulut tabanlı bir dış anahtar yönetim sistemi olan müşteriye ait ve müşteri tarafından yönetilen Azure Key Vault (AKV) içinde depolanan müşteri tarafından yönetilen asimetrik anahtardır. Key Vault, isteğe bağlı olarak FIPS 140-2 Düzey 2 doğrulanmış donanım güvenlik modülleri (HSM) tarafından desteklenen RSA şifreleme anahtarları için yüksek oranda kullanılabilir ve ölçeklenebilir güvenli depolama alanıdır. Depolanan anahtara doğrudan erişime izin vermez, ancak yetkili varlıklara anahtarı kullanarak şifreleme/şifre çözme hizmetleri sağlar. Anahtar, anahtar kasası tarafından oluşturulabilir, içeri aktarılabilir veya şirket içi HSM cihazından anahtar kasasına aktarılabilir.

Azure SQL Veritabanı ve Azure Synapse Analytics için TDE koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili tüm şifrelenmiş veritabanları tarafından devralınır. Azure SQL Yönetilen Örneği için TDE koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifrelenmiş veritabanları tarafından devralınır. Sunucu terimi, farklı belirtilmediği sürece hem SQL Veritabanı hem de Azure Synapse'daki bir sunucuya ve bu belgenin tamamında SQL Yönetilen Örneği yönetilen bir örneğe başvurur.

Not

Bu makale Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analizi (ayrılmış SQL havuzları (eski adı SQL DW) için geçerlidir. Synapse çalışma alanlarındaki ayrılmış SQL havuzları için saydam veri şifrelemesi belgeleri için bkz. Azure Synapse Analytics şifrelemesi.

Önemli

Hizmet tarafından yönetilen TDE kullanan ancak müşteri tarafından yönetilen TDE kullanmaya başlamak isteyen müşteriler için veriler geçiş sürecinde şifrelenmiş durumda kalır ve veritabanı dosyaları kapalı kalmaz veya yeniden şifrelenmez. Hizmet tarafından yönetilen anahtardan müşteri tarafından yönetilen anahtara geçiş yapmak için yalnızca DEK'in yeniden şifrelenmesi gerekir ve bu da hızlı ve çevrimiçi olarak gerçekleştirilen bir işlemdir.

Not

Azure SQL müşterilere bekleyen verilerin iki şifreleme katmanı sağlamak için platform tarafından yönetilen anahtarlarla altyapı şifrelemesi (AES-256 şifreleme algoritması kullanılarak) dağıtılmaktadır. Bu, bekleyen TDE ile birlikte müşteri tarafından yönetilen anahtarlarla birlikte ek bir şifreleme katmanı sağlar ve bu katman zaten kullanılabilir. Azure SQL Veritabanı ve Yönetilen Örnek için, altyapı şifrelemesi açıldığında ana veritabanı ve diğer sistem veritabanları dahil olmak üzere tüm veritabanları şifrelenir. Şu anda müşterilerin bu özelliğe erişim istemesi gerekir. Bu özellik ilginizi çekiyorsa, ile iletişime geçin AzureSQLDoubleEncryptionAtRest@service.microsoft.com.

Müşteri tarafından yönetilen TDE'nin avantajları

Müşteri tarafından yönetilen TDE, müşteriye aşağıdaki avantajları sağlar:

  • TDE koruyucusunun kullanımı ve yönetimi üzerinde tam ve ayrıntılı denetim;

  • TDE koruyucusu kullanımının saydamlığı;

  • Kuruluş içindeki anahtarların ve verilerin yönetiminde görev ayrımı yapabilme;

  • Key Vault yöneticisi şifrelenmiş veritabanına erişilemez hale getirmek için anahtar erişim izinlerini iptal edebilir;

  • AKV'de anahtarların merkezi yönetimi;

  • AKV, Microsoft'un şifreleme anahtarlarını göremeyecek veya ayıklayamaz şekilde tasarlandığından, son müşterilerinizden daha fazla güven;

Müşteri tarafından yönetilen TDE nasıl çalışır?

Müşteri tarafından yönetilen TDE'nin kurulumu ve çalışması

Azure SQL sunucusunun DEK'nin şifrelenmesi için AKV'de depolanan TDE koruyucusunu kullanabilmesi için anahtar kasası yöneticisinin benzersiz Azure Active Directory (Azure AD) kimliğini kullanarak sunucuya aşağıdaki erişim haklarını vermesi gerekir:

  • get - Key Vault anahtarın ortak bölümünü ve özelliklerini almak için

  • wrapKey - DEK'yi koruyabilmek (şifreleyebilmek)

  • unwrapKey - DEK korumasını kaldırabilmek (şifresini çözebilmek)

Anahtar kasası yöneticisi, anahtar kasası denetim olaylarının günlüğe kaydedilmesini de etkinleştirerek daha sonra denetlenebilir.

Sunucu AKV'den bir TDE koruyucusu kullanacak şekilde yapılandırıldığında, sunucu şifreleme için TDE özellikli her veritabanının DEK'sini anahtar kasasına gönderir. Anahtar kasası, kullanıcı veritabanında depolanan şifrelenmiş DEK'yi döndürür.

Gerektiğinde, sunucu şifre çözme için anahtar kasasına korumalı DEK gönderir.

Denetçiler, günlüğe kaydetme etkinleştirildiyse Key Vault AuditEvent günlüklerini gözden geçirmek için Azure İzleyici'yi kullanabilir.

Not

Tüm izin değişikliklerinin anahtar kasası için geçerli olması yaklaşık 10 dakika sürebilir. Buna, AKV'deki TDE koruyucusunun erişim izinlerinin iptali dahildir ve bu zaman dilimi içindeki kullanıcılar erişim izinlerine sahip olmaya devam edebilir.

Müşteri tarafından yönetilen TDE yapılandırmasıyla ilgili gereksinimler

AKV'yi yapılandırma gereksinimleri

  • Anahtar kasası ve SQL Veritabanı/yönetilen örnek aynı Azure Active Directory kiracısına ait olmalıdır. Kiracılar arası anahtar kasası ve sunucu etkileşimleri desteklenmez. Daha sonra kaynakları taşımak için AKV ile TDE'nin yapılandırılması gerekir. Kaynakları taşıma hakkında daha fazla bilgi edinin.

  • Yanlışlıkla anahtar (veya anahtar kasası) silinmesi nedeniyle veri kaybından korunmak için anahtar kasasında geçici silme ve temizleme koruma özellikleri etkinleştirilmelidir.

  • Azure Active Directory kimliğini kullanarak sunucuya veya yönetilen örneğe anahtar kasasına (get, wrapKey, unwrapKey) erişim verin. Sunucu kimliği, sistem tarafından atanan yönetilen kimlik veya sunucuya atanan kullanıcı tarafından atanan yönetilen kimlik olabilir. Azure portal kullandığınızda sunucu oluşturulduğunda Azure AD kimliği otomatik olarak oluşturulur. PowerShell veya Azure CLI kullandığınızda, Azure AD kimliği açıkça oluşturulmalı ve doğrulanmalıdır. PowerShell kullanırken ayrıntılı adım adım yönergeler için SQL Yönetilen Örneği için bkz. BYOK ile TDE'yi yapılandırma ve BYOK ile TDE'yi yapılandırma.

    • Anahtar kasasının izin modeline bağlı olarak (erişim ilkesi veya Azure RBAC), anahtar kasası erişimi anahtar kasasında bir erişim ilkesi oluşturularak veya Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı rolüyle yeni bir Azure RBAC rol ataması oluşturularak verilebilir.
  • AKV ile güvenlik duvarı kullanırken Güvenilen Microsoft hizmetlerinin güvenlik duvarını atlamasına izin ver seçeneğini etkinleştirmeniz gerekir.

AKV için geçici silme ve temizleme korumasını etkinleştirme

Önemli

Müşteri tarafından yönetilen TDE yeni veya mevcut bir sunucuda veya yönetilen örnekte yapılandırılırken anahtar kasasında hem geçici silme hem de temizleme koruması etkinleştirilmelidir.

Geçici silme ve temizleme koruması, Azure Key Vault'ın silinen kasaların ve silinen anahtar kasası nesnelerinin kurtarılmasını sağlayarak kullanıcının yanlışlıkla veya kötü amaçlı bir şekilde bir anahtarı veya anahtar kasasını silme riskini azaltan önemli özellikleridir.

  • Geçici olarak silinen kaynaklar, müşteri tarafından kurtarılmadığı veya temizlenmediği sürece 90 gün boyunca saklanır. Kurtarma ve temizleme eylemlerinin bir anahtar kasası erişim ilkesiyle ilişkili kendi izinleri vardır. Geçici silme özelliği yeni anahtar kasaları için varsayılan olarak açıktır ve Azure portal, PowerShell veya Azure CLI kullanılarak da etkinleştirilebilir.

  • Temizleme koruması Azure CLI veya PowerShell kullanılarak açılabilir. Temizleme koruması etkinleştirildiğinde silinmiş durumdaki bir kasa veya nesne saklama süresi geçene kadar temizlenemez. Varsayılan saklama süresi 90 gündür, ancak Azure portal boyunca 7 ile 90 gün arasında yapılandırılabilir.

  • Azure SQL, sunucu veya yönetilen örnek için TDE koruyucusu olarak kullanılan şifreleme anahtarını içeren anahtar kasasında geçici silme ve temizleme korumasının etkinleştirilmesini gerektirir. Bu, yanlışlıkla veya kötü amaçlı anahtar kasasının veya anahtarın silinmesi senaryosunun veritabanının erişilemez duruma geçmesini önlemeye yardımcı olur.

  • TDE koruyucusu mevcut bir sunucuda veya sunucu oluşturulurken yapılandırılırken, Azure SQL kullanılan anahtar kasasında geçici silme ve temizleme korumasının açık olduğunu doğrular. Anahtar kasasında geçici silme ve temizleme koruması etkinleştirilmediyse, TDE koruyucusu kurulumu bir hatayla başarısız olur. Bu durumda, önce anahtar kasasında geçici silme ve temizleme korumasının etkinleştirilmesi ve ardından TDE koruyucu kurulumunun gerçekleştirilmesi gerekir.

TDE koruyucusunu yapılandırma gereksinimleri

  • TDE koruyucusu yalnızca asimetrik, RSA veya RSA HSM anahtarı olabilir. Desteklenen anahtar uzunlukları 2048 bayt ve 3072 bayttır.

  • Anahtar etkinleştirme tarihi (ayarlandıysa) geçmişe ait bir tarih ve saat olmalıdır. Son kullanma tarihi (ayarlandıysa) gelecekteki bir tarih ve saat olmalıdır.

  • Anahtarın Etkin durumda olması gerekir.

  • Mevcut anahtarı anahtar kasasına aktarıyorsanız, anahtarı desteklenen dosya biçimlerinde (.pfx, .byokveya .backup) sağladığından emin olun.

Not

Azure SQL artık Yönetilen HSM'de TDE koruyucusu olarak depolanan bir RSA anahtarının kullanılmasını destekliyor. Azure Key Vault Yönetilen HSM, FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanıza olanak tanıyan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir. Yönetilen HSM'ler hakkında daha fazla bilgi edinin.

Not

v2.8.0'dan önceki Thales CipherTrust Manager sürümleriyle ilgili bir sorun, Azure Key Vault'a yeni aktarılan anahtarların Azure SQL Veritabanı ile veya müşteri tarafından yönetilen TDE senaryoları için Azure SQL Yönetilen Örneği kullanılmasını engeller. Bu sorunla ilgili daha fazla ayrıntıya buradan ulaşabilirsiniz. Bu gibi durumlarda, anahtarı anahtar kasasına aktardıktan sonra sunucu veya yönetilen örnek için TDE koruyucusu olarak kullanmaya başlamak için lütfen 24 saat bekleyin. Bu sorun Thales CipherTrust Manager v2.8.0'da giderilmiştir.

Müşteri tarafından yönetilen TDE'nin yapılandırılmasına yönelik öneriler

AKV'yi yapılandırırken öneriler

  • Sunucu anahtar kasasında TDE koruyucusna eriştiğinde yüksek kullanılabilirlik sağlamak için toplam 500 Genel Amaçlı veya 200 İş Açısından Kritik veritabanını tek bir abonelikteki bir anahtar kasasıyla ilişkilendirin. Bu rakamlar deneyime dayalıdır ve anahtar kasası hizmet sınırları içinde belgelenmiştir. Burada amaç, sunucu yük devretme işleminden sonra sorunları önlemektir, bu nedenle kasada o sunucuda veritabanları olduğu kadar çok sayıda anahtar işlemi tetikler.

  • Bu kritik kaynağı kimlerin silebileceğini denetlemek ve yanlışlıkla veya yetkisiz silme işlemlerini önlemek için anahtar kasasında bir kaynak kilidi ayarlayın. Kaynak kilitleri hakkında daha fazla bilgi edinin.

  • Tüm şifreleme anahtarlarında denetimi ve raporlamayı etkinleştirin: Anahtar kasası, diğer güvenlik bilgilerine ve olay yönetim araçlarına kolayca eklenen günlükler sağlar. Operations Management Suite Log Analytics , zaten tümleştirilmiş bir hizmet örneğidir.

  • Şifrelenmiş veritabanlarının yüksek kullanılabilirliğini sağlamak için her sunucuyu farklı bölgelerde bulunan ve aynı anahtar malzemesini tutan iki anahtar kasasına bağlayın. Anahtar kasalarından birinden gelen anahtarı TDE koruyucusu olarak işaretleyin. İlk bölgedeki anahtar kasasını etkileyen bir kesinti varsa sistem otomatik olarak ikinci bölgedeki anahtar kasasına aynı anahtar malzemesiyle geçiş yapacaktır.

Not

Müşteri tarafından yönetilen TDE'yi yapılandırma konusunda daha fazla esneklik sağlamak için Azure SQL Bir bölgedeki Veritabanı sunucusu ve Yönetilen Örnek artık başka bir bölgedeki anahtar kasasına bağlanabilir. Sunucu ile anahtar kasasının aynı bölgede birlikte bulunması gerekmez.

TDE koruyucusu yapılandırırken öneriler

  • TDE koruyucusunun bir kopyasını güvenli bir yerde saklayın veya emanet hizmetine emanet edin.

  • Anahtar, anahtar kasasında oluşturulduysa, anahtarı AKV'de ilk kez kullanmadan önce bir anahtar yedeklemesi oluşturun. Yedekleme yalnızca Azure Key Vault geri yüklenebilir. Backup-AzKeyVaultKey komutu hakkında daha fazla bilgi edinin.

  • Anahtarda her değişiklik yapıldığında yeni bir yedekleme oluşturun (örneğin, anahtar öznitelikleri, etiketler, ACL'ler).

  • Eski veritabanı yedeklemelerinin geri yüklenebilmesi için anahtarları döndürürken anahtarın önceki sürümlerini anahtar kasasında tutun. Bir veritabanı için TDE koruyucusu değiştirildiğinde, veritabanının eski yedekleri en son TDE koruyucuyu kullanacak şekilde güncelleştirilmez . Geri yükleme zamanında her yedeklemenin oluşturma sırasında şifrelendiği TDE koruyucunun olması gerekir. Anahtar döndürme işlemleri , PowerShell Kullanarak saydam veri şifreleme koruyucuyu döndürme başlığındaki yönergeler izlenerek gerçekleştirilebilir.

  • Hizmet tarafından yönetilen anahtarlara geçiş yaptıktan sonra bile daha önce kullanılan tüm anahtarları AKV’de tutun. Bu yaklaşım, veritabanı yedeklemelerinin AKV’de depolanan TDE koruyucularıyla geri yüklenebilmesini sağlar. Azure Key Vault ile oluşturulan TDE koruyucularının, kalan tüm depolanan yedeklemeler hizmet tarafından yönetilen anahtarlarla oluşturulana kadar korunması gerekir. Backup-AzKeyVaultKey kullanarak bu anahtarların kurtarılabilir yedek kopyalarını alın.

  • Güvenlik olayı sırasında güvenliği aşılmış olabilecek bir anahtarı veri kaybı riski olmadan kaldırmak için Tehlikeye girmiş olabilecek anahtarı kaldırma başlığı altındaki adımları izleyin.

TDE koruyucusunun dönüşü

Bir sunucu için TDE koruyucusunun döndürülmesinin anlamı, sunucudaki veritabanlarını koruyan yeni bir asimetrik anahtara geçiş yapmaktır. Anahtar döndürme çevrimiçi bir işlemdir ve tamamlanması yalnızca birkaç saniye sürer. İşlem, veritabanının tamamını değil yalnızca veritabanı şifreleme anahtarının şifresini çözer ve yeniden şifreler.

TDE koruyucusunun dönüşü el ile veya otomatik döndürme özelliği kullanılarak yapılabilir.

Sunucu için TDE koruyucusu yapılandırıldığında TDE koruyucusunun otomatik döndürmesi etkinleştirilebilir. Otomatik döndürme varsayılan olarak devre dışıdır. Etkinleştirildiğinde, sunucu TDE koruyucusu olarak kullanılan anahtarın yeni sürümleri için anahtar kasasını sürekli olarak denetler. Anahtarın yeni bir sürümü algılanırsa, sunucudaki TDE koruyucusu 60 dakika içinde otomatik olarak en son anahtar sürümüne döndürülür.

Azure Key Vault'da otomatik anahtar döndürme ile kullanıldığında, bu özellik Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği TDE koruyucusu için uçtan uca sıfır dokunma döndürmeyi etkinleştirir.

Not

TDE koruyucu özelliğinin otomatik rotasyonu şu anda SQL Veritabanı ve Yönetilen Örnek için genel önizleme aşamasındadır.

TDE koruyucusunun otomatik döndürmesini yapılandırırken coğrafi çoğaltmayla ilgili dikkat edilmesi gerekenler

Coğrafi çoğaltmayı oluştururken veya coğrafi çoğaltma sırasında sorunlardan kaçınmak için, birincil veya ikincil sunucuda TDE koruyucusunun otomatik döndürmesi etkinleştirildiğinde, coğrafi çoğaltmayı yapılandırırken şu kurallara uymak önemlidir:

  • Hem birincil hem de ikincil sunucuların birincil sunucunun anahtar kasası (birincil sunucunun TDE koruyucu anahtarını barındıran anahtar kasası) için Get, wrapKey ve unwrapKey izinlerine sahip olması gerekir.

  • Otomatik anahtar döndürmesi etkinleştirilmiş bir sunucu için, coğrafi çoğaltmayı başlatmadan önce birincil sunucuda TDE koruyucusu olarak kullanılan şifreleme anahtarını ikincil sunucuya ekleyin. İkincil sunucu, birincil sunucuyla (aynı anahtar malzemesine sahip başka bir anahtar değil) kullanılan aynı anahtar kasasındaki anahtara erişim gerektirir. Alternatif olarak, coğrafi çoğaltmayı başlatmadan önce, ikincil sunucunun yönetilen kimliğinin (kullanıcı tarafından atanan veya sistem tarafından atanan) birincil sunucunun anahtar kasası üzerinde gerekli izinlere sahip olduğundan ve sistemin anahtarı ikincil sunucuya eklemeyi deneyeceğinden emin olun.

  • Mevcut bir coğrafi çoğaltma kurulumu için, birincil sunucuda otomatik anahtar döndürmeyi etkinleştirmeden önce, birincil sunucuda TDE koruyucusu olarak kullanılan şifreleme anahtarını ikincil sunucuya ekleyin. İkincil sunucu, birincil sunucuyla (aynı anahtar malzemesine sahip başka bir anahtar değil) kullanılan aynı anahtar kasasındaki anahtara erişim gerektirir. Alternatif olarak, otomatik anahtarı etkinleştirmeden önce ikincil sunucunun yönetilen kimliğinin (kullanıcı tarafından atanan veya sistem tarafından atanan) birincil sunucunun anahtar kasası üzerinde gerekli izinlere sahip olduğundan ve sistemin anahtarı ikincil sunucuya eklemeyi deneyeceğinden emin olun.

Erişilemeyen TDE koruyucusu

TDE müşteri tarafından yönetilen bir anahtarı kullanacak şekilde yapılandırıldığında, veritabanının çevrimiçi olarak kalması için gereken TDE koruyucusuna sürekli erişim gerekir. Sunucu AKV'de müşteri tarafından yönetilen TDE koruyucusunun erişimini kaybederse, veritabanı 10 dakikaya kadar ilgili hata iletisiyle tüm bağlantıları reddetmeye başlar ve durumunu Erişilemez olarak değiştirir. Erişilemez durumdaki bir veritabanında izin verilen tek eylem, veritabanını silmektir.

Not

Aralıklı bir ağ kesintisi nedeniyle veritabanına erişilemiyorsa herhangi bir eylem gerekmez ve veritabanları otomatik olarak yeniden çevrimiçi olur.

Anahtara erişim geri yüklendikten sonra, veritabanını yeniden çevrimiçi yapmak için ek süre ve adımlar gerekir. Bu süre, anahtara erişim olmadan geçen süreye ve veritabanındaki verilerin boyutuna göre değişebilir:

  • Anahtar erişimi 30 dakika içinde geri yüklenirse veritabanı bir saat içinde otomatik olarak iyileştirilir.

  • Anahtar erişimi 30 dakikadan uzun bir süre sonra geri yüklenirse otomatik sistem durumu mümkün değildir ve veritabanını geri getirmek için portalda ek adımlar gerekir ve veritabanının boyutuna bağlı olarak önemli miktarda zaman alabilir. Veritabanı yeniden çevrimiçi olduğunda yük devretme grubu yapılandırması, belirli bir noktaya geri yükleme geçmişi ve etiketler gibi daha önce yapılandırılmış sunucu düzeyinde ayarlar kaybolur. Bu nedenle, temel anahtar erişim sorunlarını 30 dakika içinde tanımlamanızı ve çözmenizi sağlayan bir bildirim sistemi uygulamanız önerilir.

Aşağıda, erişilemeyen bir veritabanını yeniden çevrimiçi hale getirmek için portalda gereken ek adımların bir görünümü yer almaktadır.

TDE BYOK Erişilemez Veritabanı

Yanlışlıkla TDE koruyucusu erişim iptali

Anahtar kasasına yeterli erişim haklarına sahip bir kişi, anahtara sunucu erişimini yanlışlıkla şu şekilde devre dışı bırakabilir:

  • anahtar kasasının sunucudan alma, wrapKey, unwrapKey izinlerini iptal etme

  • anahtarı silme

  • anahtar kasasını silme

  • anahtar kasasının güvenlik duvarı kurallarını değiştirme

  • Azure Active Directory'de sunucunun yönetilen kimliğini silme

Veritabanının erişilemez duruma gelmesinin yaygın nedenleri hakkında daha fazla bilgi edinin.

SQL Yönetilen Örneği ile Key Vault arasında bağlantı engellendi

SQL Yönetilen Örneği'da, Azure Key Vault'da TDE koruyucusunun erişmeye çalışılırken karşılaşılan ağ hataları veritabanlarının durumunu Erişilemez olarak değiştirmesine neden olmayabilir, ancak daha sonra örneği kullanılamaz duruma getirir. Bu durum çoğunlukla anahtar kasası kaynağının mevcut olduğu ancak yönetilen örnekten uç noktaya ulaşılamadığı durumlarda gerçekleşir. Anahtar kasası uç noktasına ulaşılabildiği ancak bağlantının reddedildiği tüm senaryolar, eksik izinler vb. veritabanlarının durumunu Erişilemez olarak değiştirmesine neden olur.

Key Vault ağ bağlantısı olmamasının en yaygın nedenleri şunlardır:

  • Key Vault özel uç nokta üzerinden kullanıma sunulur ve yönetilen örnek alt ağıyla ilişkili Ağ Güvenlik Grubu'nun (NSG) giden kurallarında AKV hizmetinin özel IP adresine izin verilmez.
  • Anahtar kasası FQDN'sinin çözümlenmemesi veya geçersiz bir IP adresine çözümlenmesi gibi hatalı DNS çözümlemesi.

Yönetilen Örnekten TDE koruyucuyu barındıran Key Vault bağlantısını test edin. - Uç nokta, vault_name.vault.azure.net (https://> olmadan) gibi< kasa FQDN'nizdir. - Test edilecek bağlantı noktası 443'dür. - RemoteAddress sonucu mevcut olmalı ve doğru IP adresi olmalıdır - TCP testinin sonucu TcpTestSucceeded olmalıdır: True.

Testin TcpTestSucceeded : False sonucunu döndürmesi durumunda ağ yapılandırmasını gözden geçirin: - Çözümlenen IP adresini denetleyin, valilendiğini onaylayın. Eksik bir değer, DNS çözümlemesiyle ilgili sorunlar olduğu anlamına gelir. - Yönetilen örnekteki ağ güvenlik grubunun, özellikle çözümlenen adres anahtar kasasının özel uç noktasına ait olduğunda, 443 numaralı bağlantı noktasında çözümlenen IP adresini kapsayan bir giden kuralı olduğunu onaylayın. - Yönlendirme tablosu, sanal gerecin varlığı ve yapılandırması gibi diğer ağ yapılandırmalarını denetleyin.

Müşteri tarafından yönetilen TDE'yi izleme

Veritabanı durumunu izlemek ve TDE koruyucusu erişimi kaybı için uyarıyı etkinleştirmek için aşağıdaki Azure özelliklerini yapılandırın:

  • Azure Kaynak Durumu. TDE koruyucusunun erişimini kaybeden erişilemez bir veritabanı, veritabanına ilk bağlantı reddedildikten sonra "Kullanılamaz" olarak gösterilir.
  • Müşteri tarafından yönetilen anahtar kasasında TDE koruyucusunun erişimi başarısız olduğunda Etkinlik Günlüğü, girişler etkinlik günlüğüne eklenir. Bu olaylar için uyarılar oluşturmak, erişimi en kısa sürede yeniden devreye almanızı sağlar.
  • Eylem Grupları, Email/SMS/Push/Voice, Logic App, Web Kancası, ITSM veya Otomasyon Runbook'u gibi tercihlerinize göre size bildirim ve uyarı göndermek için tanımlanabilir.

Müşteri tarafından yönetilen TDE ile veritabanı yedekleme ve geri yükleme

Bir veritabanı Key Vault anahtarı kullanılarak TDE ile şifrelendiğinde, yeni oluşturulan tüm yedeklemeler aynı TDE koruyucusuyla da şifrelenir. TDE koruyucusu değiştirildiğinde, veritabanının eski yedekleri en son TDE koruyucuyu kullanacak şekilde güncelleştirilmez .

Key Vault'dan bir TDE koruyucusuyla şifrelenmiş bir yedeklemeyi geri yüklemek için anahtar malzemenin hedef sunucuda kullanılabilir olduğundan emin olun. Bu nedenle TDE koruyucusunun tüm eski sürümlerini anahtar kasasında tutmanızı öneririz; böylelikle veritabanı yedeklemeleri geri yüklenebilir.

Önemli

Herhangi bir anda bir sunucu için birden fazla TDE koruyucusu ayarlanamaz. Azure portal dikey penceresinde "Anahtarı varsayılan TDE koruyucusu yap" ile işaretlenmiş anahtardır. Ancak, birden çok ek anahtar TDE koruyucusu olarak işaretlemeden bir sunucuya bağlanabilir. Bu anahtarlar DEK'yi korumak için kullanılmaz, ancak yedekleme dosyası ilgili parmak iziyle anahtarla şifrelenirse yedekten geri yükleme sırasında kullanılabilir.

Yedeklemeyi geri yüklemek için gereken anahtar artık hedef sunucuda kullanılamıyorsa geri yükleme denemesinde şu hata iletisi döndürülür: "Hedef sunucunun <Servername> Zaman Damgası #1> ile <Zaman Damgası #2> arasında <oluşturulan tüm AKV URI'lerine erişimi yok. Tüm AKV URI'lerini geri yükledikten sonra işlemi yeniden deneyin."

Bunu azaltmak için hedef sunucu için Get-AzSqlServerKeyVaultKey cmdlet'ini veya hedef yönetilen örnek için Get-AzSqlInstanceKeyVaultKey komutunu çalıştırarak kullanılabilir anahtarların listesini döndürerek eksik anahtarları belirleyin. Tüm yedeklemelerin geri yüklenebilmesini sağlamak için, geri yükleme için hedef sunucunun gereken tüm anahtarlara erişimi olduğundan emin olun. Bu anahtarların TDE koruyucusu olarak işaretlenmesi gerekmez.

SQL Veritabanı için yedekleme kurtarma hakkında daha fazla bilgi edinmek için bkz. SQL Veritabanı'da veritabanını kurtarma. Azure Synapse Analytics'te ayrılmış SQL havuzları için yedekleme kurtarma hakkında daha fazla bilgi edinmek için bkz. Ayrılmış SQL havuzunu kurtarma. SQL Yönetilen Örneği ile SQL Server yerel yedekleme/geri yükleme işlemi için bkz. Hızlı Başlangıç: Veritabanını SQL Yönetilen Örneği geri yükleme.

Günlük dosyaları için dikkat edilmesi gereken bir diğer nokta: Yedeklenen günlük dosyaları, döndürülmüş olsa ve veritabanı artık yeni bir TDE koruyucusu kullanıyor olsa bile özgün TDE koruyucusuyla şifrelenmiş olarak kalır. Geri yükleme zamanında, veritabanını geri yüklemek için her iki anahtar da gerekir. Günlük dosyası Azure Key Vault'de depolanan bir TDE koruyucusu kullanıyorsa, bu süre içinde veritabanı hizmet tarafından yönetilen TDE kullanacak şekilde değiştirilmiş olsa bile geri yükleme zamanında bu anahtar gerekir.

Müşteri tarafından yönetilen TDE ile yüksek kullanılabilirlik

Sunucu için yapılandırılmış coğrafi yedeklilik olmadığında bile, sunucuyu aynı anahtar malzemeye sahip iki farklı bölgede iki farklı anahtar kasası kullanacak şekilde yapılandırmanızı öneririz. Diğer bölgedeki ikincil anahtar kasasındaki anahtar TDE koruyucusu olarak işaretlenmemelidir ve buna izin verilmez. Birincil anahtar kasasını etkileyen bir kesinti varsa ve yalnızca o zaman, sistem varsa otomatik olarak ikincil anahtar kasasında aynı parmak izine sahip diğer bağlantılı anahtara geçer. TDE koruyucusunun erişim hakları iptal edildiğinden ya da anahtar veya anahtar kasası silindiğinden anahtar veya anahtar kasası silindiğinde bu anahtarın gerçekleşmeyeceğini unutmayın çünkü bu durum müşterinin sunucunun anahtara erişimini kasıtlı olarak kısıtlamak istediğini gösterebilir. Aynı anahtar malzemesini farklı bölgelerdeki iki anahtar kasasına sağlamak, anahtarı anahtar kasasının dışında oluşturup her iki anahtar kasasına da içeri aktararak yapılabilir.

Alternatif olarak, bir bölgedeki birincil anahtar kasasını kullanarak anahtar oluşturularak ve anahtarı farklı bir Azure bölgesindeki bir anahtar kasasına kopyalayarak gerçekleştirilebilir. Anahtarı birincil anahtar kasasından şifreli biçimde almak için Backup-AzKeyVaultKey cmdlet'ini kullanın ve ardından Restore-AzKeyVaultKey cmdlet'ini kullanın ve anahtarı kopyalamak için ikinci bölgede bir anahtar kasası belirtin. Alternatif olarak, anahtarı yedeklemek ve geri yüklemek için Azure portal kullanın. Anahtar yedekleme/geri yükleme işlemine yalnızca aynı Azure aboneliği içindeki anahtar kasaları ile Azure coğrafyası arasında izin verilir.

Tek Sunuculu HA

Coğrafi DR ve müşteri tarafından yönetilen TDE

Hem etkin coğrafi çoğaltma hem de yük devretme grubu senaryolarında, söz konusu birincil ve ikincil sunucular aynı anahtar kasasına (herhangi bir bölgede) veya ayrı anahtar kasalarına bağlanabilir. Birincil ve ikincil sunuculara ayrı anahtar kasaları bağlıysa, müşteri anahtar kasaları genelinde anahtar malzemesini tutarlı tutmaktan sorumludur; böylece coğrafi ikincil eşitlenir ve bölgedeki bir kesinti nedeniyle birincil sunucu erişilemez hale gelirse ve yük devretme tetiklenirse bağlı anahtar kasasından aynı anahtarı kullanmayı devralabilir. En fazla dört ikincil yapılandırılabilir ve zincirleme (ikincillerin ikincilleri) desteklenmez.

Eksik anahtar malzemesi nedeniyle coğrafi çoğaltma sırasında veya oluşturulurken sorun yaşanmaması için müşteri tarafından yönetilen TDE'yi yapılandırırken (birincil ve ikincil sunucular için ayrı anahtar kasaları kullanılıyorsa) bu kurallara uyulması önemlidir:

  • İlgili tüm anahtar kasalarının aynı özelliklere ve ilgili sunucular için aynı erişim haklarına sahip olması gerekir.

  • İlgili tüm anahtar kasaları aynı anahtar malzemelerini içermelidir. Yalnızca geçerli TDE koruyucusu için değil, yedekleme dosyalarında kullanılabilecek tüm önceki TDE koruyucuları için de geçerlidir.

  • TDE koruyucusunun hem ilk kurulumu hem de dönüşü önce ikincil ve ardından birincilde yapılmalıdır.

Yük devretme grupları ve coğrafi dr

Yük devretmeyi test etmek için Etkin coğrafi çoğaltmaya genel bakış sayfasındaki adımları izleyin. SQL Veritabanı her iki anahtar kasasına da erişim iznine sahip olduğunu doğrulamak için yük devretme testi düzenli olarak yapılmalıdır.

Azure SQL Veritabanı sunucusu ve bir bölgedeki Yönetilen Örnek artık başka bir bölgedeki anahtar kasasına bağlanabilir. Sunucu ve anahtar kasasının aynı bölgede birlikte bulunması gerekmez. Bu şekilde, kolaylık sağlamak için birincil ve ikincil sunucular aynı anahtar kasasına (herhangi bir bölgede) bağlanabilir. Bu yöntem, iki sunucuda ayrı anahtar kasaları kullanılması durumunda anahtar malzemesinin eşitlenmemiş olduğu senaryolardan kaçınmaya yardımcı olur. Azure Key Vault'ta, hizmet veya bölge sorunları yaşandığında anahtarlarınızın ve anahtar kasalarınızın kullanılabilir durumda kaldığından emin olmak için birden çok yedeklilik katmanı vardır. Azure Key Vault kullanılabilirliği ve yedekliliği

Müşteri tarafından yönetilen TDE için Azure İlkesi

Azure İlkesi, Azure SQL Veritabanı sunucusu veya Azure SQL Yönetilen Örneği oluşturma veya güncelleştirme sırasında müşteri tarafından yönetilen TDE'yi zorunlu kılmak için kullanılabilir. Bu ilke uygulandığında, Azure'da veya yönetilen örnekte mantıksal sunucu oluşturma veya güncelleştirme girişimleri, müşteri tarafından yönetilen bir anahtarla yapılandırılmadıysa başarısız olur. Azure İlkesi tüm Azure aboneliğine veya yalnızca bir kaynak grubuna uygulanabilir.

Azure İlkesi hakkında daha fazla bilgi için bkz. Azure İlkesi nedir? ve tanım yapısı Azure İlkesi.

Aşağıdaki iki yerleşik ilke, Azure İlkesi'de müşteri tarafından yönetilen TDE için desteklenir:

  • SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır
  • SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Müşteri tarafından yönetilen TDE ilkesi, Azure portal gidip İlke hizmeti aranarak yönetilebilir. Tanımlar'ın altında müşteri tarafından yönetilen anahtarı arayın.

Bu ilkelerin üç etkisi vardır:

  • Denetim - Varsayılan ayardır ve yalnızca Azure İlkesi etkinlik günlüklerinde bir denetim raporu yakalar
  • Reddet - Müşteri tarafından yönetilen anahtar yapılandırılmadan mantıksal sunucu veya yönetilen örnek oluşturulmasını veya güncelleştirilmesini engeller
  • Devre dışı - İlkeyi devre dışı bırakır ve kullanıcıların müşteri tarafından yönetilen TDE etkinleştirilmeden mantıksal sunucu veya yönetilen örnek oluşturmasını veya güncelleştirmesini kısıtlamaz

Müşteri tarafından yönetilen TDE için Azure İlkesi Reddet olarak ayarlanırsa, mantıksal sunucu veya yönetilen örnek oluşturma Azure SQL başarısız olur. Bu hatanın ayrıntıları kaynak grubunun Etkinlik günlüğüne kaydedilir.

Önemli

Etkiyi içeren müşteri tarafından yönetilen TDE için yerleşik ilkelerin AuditIfNotExist önceki sürümleri kullanım dışı bırakılmıştır. Kullanım dışı bırakılan ilkeleri kullanan mevcut ilke atamaları etkilenmez ve daha önce olduğu gibi çalışmaya devam eder.

Sonraki adımlar

Müşteri tarafından yönetilen TDE ile ortak işlemler için aşağıdaki PowerShell örnek betiklerini de denetlemek isteyebilirsiniz:

Ayrıca, olası veritabanı güvenlik açıklarını bulma ve azaltma ve veritabanlarınız için tehdit oluşturabilecek anormal etkinlikleri algılama işlevleriyle sql için Microsoft Defender etkinleştirin.