SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Saydam veri şifrelemesi (TDE), bekleyen verileri şifreleyerek Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'i kötü amaçlı çevrimdışı etkinlik tehdidine karşı korumaya yardımcı olur. Bu özellik bütün bir veritabanı, yedekleri ve işlem günlüğü dosyaları için gerçek zamanlı şifreleme ve şifre çözme işlemlerini gerçekleştirir ve uygulamada değişiklik yapmayı gerektirmez. Varsayılan olarak, TDE yeni dağıtılan tüm Azure SQL Veritabanları için etkinleştirilir ve Azure SQL Veritabanı'nın eski veritabanları için el ile etkinleştirilmesi gerekir. Azure SQL Yönetilen Örneği için, örnek düzeyinde ve yeni oluşturulan veritabanlarında TDE etkinleştirilir. Azure Synapse Analytics için TDE'nin el ile etkinleştirilmesi gerekir.

Not

Bu makale Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics (ayrılmış SQL havuzları (eski adı SQL DW) için geçerlidir. Synapse çalışma alanlarındaki ayrılmış SQL havuzları için Saydam Veri Şifrelemesi belgeleri için bkz. Azure Synapse Analytics şifrelemesi.

Not

Tablo adları, nesne adları ve dizin adları gibi müşteri içeriği olarak kabul edilen bazı öğeler Microsoft tarafından destek ve sorun giderme amacıyla günlük dosyalarına iletilebilir.

TDE, verilerin sayfa düzeyinde gerçek zamanlı G/Ç şifrelemesini ve şifresini çözmeyi gerçekleştirir. Okunarak belleğe alınan her sayfanın şifresi çözülür ve sayfalar diske yazılmadan önce şifrelenir. TDE, Veritabanı Şifreleme Anahtarı (DEK) adlı bir simetrik anahtar kullanarak veritabanının tamamının depolanmasını şifreler. Veritabanı başlatıldığında şifrelenmiş DEK'nin şifresi çözülür ve ardından SQL Server veritabanı altyapısı işlemindeki veritabanı dosyalarının şifresi çözülür ve yeniden şifrelenir. DEK, TDE koruyucusu tarafından korunur. TDE koruyucusu, hizmet tarafından yönetilen bir sertifikadır (hizmet tarafından yönetilen saydam veri şifrelemesi) veya Azure Key Vault(müşteri tarafından yönetilen saydam veri şifrelemesi) içinde depolanan asimetrik bir anahtardır.

Azure SQL Veritabanı ve Azure Synapse için TDE koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili tüm veritabanları tarafından devralınır. Azure SQL Yönetilen Örneği için TDE koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifrelenmiş veritabanları tarafından devralınır. Sunucu terimi, farklı belirtilmediği sürece bu belgenin tamamında hem sunucuya hem de örneğe başvurur.

Önemli

SQL Veritabanı'nda yeni oluşturulan tüm veritabanları, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılarak şifrelenir. Mayıs 2017 öncesinde oluşturulan mevcut SQL veritabanları ve geri yükleme, coğrafi çoğaltma ve veritabanı kopyalama işlevleriyle oluşturulan SQL veritabanları varsayılan olarak şifrelenmez. Şubat 2019'den önce oluşturulan mevcut SQL Yönetilen Örneği veritabanları varsayılan olarak şifrelenmez. geri yükleme aracılığıyla oluşturulan SQL Yönetilen Örneği veritabanları, kaynaktan şifreleme durumunu devralır. TDE ile şifrelenmiş veritabanını geri yüklemek için öncelikle gerekli TDE sertifikasının SQL Yönetilen Örneği’ne içeri aktarılması gerekir.

Not

TDE, Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği ana veritabanı gibi sistem veritabanlarını şifrelemek için kullanılamaz. Ana veritabanı, kullanıcı veritabanlarında TDE işlemlerini gerçekleştirmek için gereken nesneleri içerir. Sistem veritabanlarında hassas veri depolamamanız önerilir. Altyapı şifrelemesi artık dağıtılıyor ve bu şifreleme ana da dahil olmak üzere sistem veritabanlarını şifreler.

Hizmet tarafından yönetilen saydam veri şifrelemesi

Azure’da TDE varsayılan ayarı, DEK’nin yerleşik sunucu sertifikasıyla korunmasıdır. Yerleşik sunucu sertifikası her sunucu için benzersizdir ve AES 256 şifreleme algoritması kullanılır. Coğrafi çoğaltma ilişkisine sahip olan veritabanlarında hem birincil hem de coğrafi olarak ikincil veritabanları, birincil veritabanının üst sunucu anahtarıyla korunur. Aynı sunucuya bağlı olan veritabanları aynı yerleşik sertifikayı da paylaşır. Microsoft bu sertifikaları iç güvenlik ilkesiyle uyumlu olarak otomatik olarak döndürür ve kök anahtar Microsoft iç gizli dizi deposu tarafından korunur. Müşteriler, Microsoft Güven Merkezi'nde bulunan bağımsız üçüncü taraf denetim raporlarında SQL Veritabanı ve SQL Yönetilen Örneği iç güvenlik ilkeleriyle uyumluluğu doğrulayabilir.

Microsoft ayrıca coğrafi çoğaltma ve geri yükleme işlemleri için gereken anahtarları sorunsuz bir şekilde taşır ve yönetir.

Müşteri tarafından yönetilen saydam veri şifrelemesi - Kendi Anahtarını Getir

Müşteri tarafından yönetilen TDE, TDE için Kendi Anahtarını Getir (KAG) desteği olarak da adlandırılır. Bu senaryoda DEK'yi şifreleyen TDE Koruyucusu, müşteriye ait ve yönetilen bir Azure Key Vault (Azure'ın bulut tabanlı dış anahtar yönetim sistemi) içinde depolanan ve anahtar kasasından hiçbir zaman ayrılmayan müşteri tarafından yönetilen asimetrik anahtardır. TDE Koruyucusu , anahtar kasası tarafından oluşturulabilir veya şirket içi donanım güvenlik modülü (HSM) cihazından anahtar kasasına aktarılabilir. SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse DEK'nin şifresini çözmek ve şifrelemek için müşteriye ait anahtar kasasına izin verilmesi gerekir. Sunucunun anahtar kasası izinleri iptal edilirse, veritabanına erişilemez ve tüm veriler şifrelenir.

Azure Key Vault tümleştirmesi ile TDE ile kullanıcılar anahtar döndürmeleri, anahtar kasası izinleri, anahtar yedeklemeleri gibi anahtar yönetim görevlerini denetleyebiliyor ve Azure Key Vault işlevselliğini kullanarak tüm TDE koruyucularında denetimi/raporlamayı etkinleştirebiliyor. Key Vault merkezi anahtar yönetimi sağlar, sıkı bir şekilde izlenen HSM'lerden yararlanılır ve güvenlik ilkeleriyle uyumluluğun sağlanmasına yardımcı olmak için anahtarların ve verilerin yönetimi arasında görev ayrımını sağlar. Azure SQL Veritabanı ve Azure Synapse için KAG hakkında daha fazla bilgi edinmek için bkz. Azure Key Vault tümleştirmesi ile saydam veri şifrelemesi.

Azure Key Vault tümleştirmesi ile TDE kullanmaya başlamak için bkz. Key Vault kendi anahtarınızı kullanarak saydam veri şifrelemesini açma kılavuzu.

Saydam veri şifreleme korumalı veritabanını taşıma

Azure içindeki işlemler için veritabanlarının şifresini çözmeniz gerekmez. Kaynak veritabanında veya birincil veritabanındaki TDE ayarları hedefte saydam olarak devralınır. Dahil edilen işlemler şunları içerir:

  • Coğrafi geri yükleme
  • Self servis belirli bir noktaya geri yükleme
  • Silinen veritabanını geri yükleme
  • Etkin coğrafi çoğaltma
  • Veritabanı kopyası oluşturma
  • Yedekleme dosyasının Azure SQL Yönetilen Örneği geri yüklenmesi

Önemli

Şifreleme için kullanılan sertifikaya erişilemediğinden, hizmet tarafından yönetilen TDE tarafından şifrelenen bir veritabanının el ile SALT KOPYAYLA yedeklenmesi Azure SQL Yönetilen Örneği desteklenmez. Bu tür bir veritabanını başka bir SQL Yönetilen Örneği taşımak veya müşteri tarafından yönetilen anahtara geçmek için belirli bir noktaya geri yükleme özelliğini kullanın.

TDE korumalı bir veritabanını dışarı aktardığınızda, veritabanının dışarı aktarılan içeriği şifrelenmez. Dışarı aktarılan bu içerik şifrelenmemiş BACPAC dosyalarında depolanır. Yeni veritabanının içeri aktarılması tamamlandıktan sonra BACPAC dosyalarını uygun şekilde koruduğundan ve TDE'yi etkinleştirdiğinizden emin olun.

Örneğin, BACPAC dosyası bir SQL Server örneğinden dışarı aktarılırsa, yeni veritabanının içeri aktarılan içeriği otomatik olarak şifrelenmez. Benzer şekilde, BACPAC dosyası SQL Server bir örneğe aktarılırsa, yeni veritabanı da otomatik olarak şifrelenmez.

Bunun tek istisnası, veritabanını SQL Veritabanı'a ve oradan dışarı aktarmanızdır. TDE yeni veritabanında etkinleştirilir, ancak BACPAC dosyasının kendisi yine de şifrelenmez.

Saydam veri şifrelemeyi yönetme

Azure portal TDE'yi yönetin.

TDE'yi Azure portal aracılığıyla yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlanmanız gerekir.

Veritabanı düzeyinde TDE'yi etkinleştirin ve devre dışı bırakın. Azure SQL Yönetilen Örneği için transact-SQL (T-SQL) kullanarak bir veritabanında TDE'yi açın ve kapatın. Azure SQL Veritabanı ve Azure Synapse için, Azure Yöneticisi veya Katkıda Bulunan hesabıyla oturum açtıktan sonra Azure portal veritabanı için TDE'yi yönetebilirsiniz. Kullanıcı veritabanınızın altında TDE ayarlarını bulun. Varsayılan olarak, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılır. Veritabanını içeren sunucu için otomatik olarak bir TDE sertifikası oluşturulur.

Hizmet tarafından yönetilen saydam veri şifrelemesi

TDE koruyucusu olarak bilinen TDE ana anahtarını sunucu veya örnek düzeyinde ayarlarsınız. TDE'yi BYOK desteğiyle kullanmak ve veritabanlarınızı Key Vault bir anahtarla korumak için sunucunuzun altındaki TDE ayarlarını açın.

Kendi Anahtarını Getir desteğiyle saydam veri şifrelemesi