Aracılığıyla paylaş

Öğretici: Azure Data Studio'da TDE özellikli veritabanlarını (önizleme) Azure SQL'e geçirme

  • Makale

SQL Server veritabanının güvenliğini sağlamak için güvenli bir sistem tasarlama, gizli varlıkları şifreleme ve güvenlik duvarı oluşturma gibi önlemler alabilirsiniz. Ancak, sürücüler veya bantlar gibi medyaların fiziksel olarak çalınması verilerin güvenliğini yine de tehlikeye atabilir.

TDE, bir sertifikayla güvenliği sağlanan simetrik veritabanı şifreleme anahtarı (DEK) kullanarak bekleyen verilerin (veri ve günlük dosyaları) gerçek zamanlı G/Ç şifrelemesi/şifre çözmesi ile bu soruna bir çözüm sağlar. TDE sertifikalarını el ile geçirme hakkında daha fazla bilgi için bkz . TDE Korumalı Veritabanını Başka bir SQL Server'a Taşıma.

TDE korumalı bir veritabanını geçirirken, veritabanı şifreleme anahtarını (DEK) açmak için kullanılan sertifika (asimetrik anahtar) kaynak veritabanıyla birlikte taşınmalıdır. Bu nedenle, veritabanı dosyalarına erişmek için hedef SQL Server veritabanında sunucu sertifikasını master yeniden oluşturmanız gerekir.

TDE özellikli veritabanlarını (önizleme) SQL Server'ın şirket içi örneğinden Azure SQL'e geçirmenize yardımcı olması için Azure Data Studio için Azure SQL Geçişi uzantısını kullanabilirsiniz.

TDE özellikli veritabanı geçiş işlemi, veritabanı sertifika anahtarlarını (DEK) yedekleme, sertifika dosyalarını şirket içi SQL Server'dan Azure SQL hedefine kopyalama ve ardından hedef veritabanı için TDE'yi yeniden yapılandırma gibi el ile görevleri otomatikleştirir.

Önemli

  1. Şu anda yalnızca Azure SQL Yönetilen Örneği hedefler desteklenmektedir.
  2. Şifrelenmiş Yedeklemeler desteklenmez.

Bu öğreticide, örnek AdventureWorksTDE şifrelenmiş veritabanını SQL Server'ın şirket içi örneğinden Azure SQL yönetilen örneğine geçirmeyi öğreneceksiniz.

  • Azure Data Studio'da Azure SQL'e Geçiş sihirbazını açma
  • Kaynak SQL Server veritabanlarınızın değerlendirmesini çalıştırma
  • TDE sertifikalarınızın geçişini yapılandırma
  • Azure SQL hedefinize bağlanma
  • TDE sertifika geçişinizi başlatın ve tamamlanma ilerleme durumunu izleyin

Önkoşullar

Öğreticiye başlamadan önce:

  • Azure Data Studio'yu indirip yükleyin.

  • Azure Data Studio Market'ten Azure SQL Geçişi uzantısını yükleyin.

  • Azure Data Studio'yu Yönetici olarak çalıştırın.

  • Aşağıdaki yerleşik rollerden birine atanmış bir Azure hesabına sahip olmanız gerekir:

    • Hedef yönetilen örnek için katkıda bulunan (ve SMB ağ paylaşımından TDE sertifika dosyalarının yedeklerini karşıya yüklemek için Depolama Hesabı).
    • Hedef yönetilen örneği veya Azure depolama hesabını içeren Azure Kaynak Grupları için okuyucu rolü.
    • Azure aboneliği için sahip veya Katkıda Bulunan rolü (yeni bir DMS hizmeti oluşturulurken gereklidir).
    • Yukarıdaki yerleşik rolleri kullanmaya alternatif olarak, özel bir rol atayabilirsiniz. Daha fazla bilgi için bkz. Özel roller: ADS kullanarak geçişleri SQL Yönetilen Örneği için Çevrimiçi SQL Server.

  • Azure SQL Yönetilen Örneği hedef örneğini oluşturun.

  • SQL Server kaynağına bağlanmak için kullandığınız oturum açma bilgilerinin sysadmin sunucu rolünün bir üyesi olduğundan emin olun.

  • Azure Data Studio'nun TDE özellikli veritabanı geçişini çalıştırdığı makinenin hem kaynaklara hem de hedef SQL sunucularına bağlantısı olmalıdır.

Azure Data Studio'da Azure SQL'e Geçiş sihirbazını açma

Azure SQL'e Geçiş sihirbazını açmak için:

  1. Azure Data Studio'da Bağlantılar'a gidin. Şirket içi SQL Server örneğine bağlanın. Azure sanal makinesinde SQL Server'a da bağlanabilirsiniz.

  2. Sunucu bağlantısına sağ tıklayın ve Yönet'i seçin.

    Azure Data Studio'da sunucu bağlantısını ve Yönet seçeneğini gösteren ekran görüntüsü.

  3. Genel altındaki sunucu menüsünde Azure SQL Geçişi'ni seçin.

    Azure Data Studio sunucu menüsünü gösteren ekran görüntüsü.

  4. Azure SQL Geçişi panosunda Azure SQL'e geçir'i seçerek geçiş sihirbazını açın.

    Azure SQL'e Geçiş sihirbazını gösteren ekran görüntüsü.

  5. Sihirbazın ilk sayfasında yeni bir oturum başlatın veya daha önce kaydedilmiş bir oturumu sürdürun.

Veritabanı değerlendirmeyi çalıştırma

  1. 1. Adım: Azure SQL'e Geçiş sihirbazındaki değerlendirme için veritabanları bölümünde değerlendirmek istediğiniz veritabanlarını seçin. Ardından İleri'yi seçin.

    Değerlendirme için veritabanı seçmeyi gösteren ekran görüntüsü.

  2. 2. Adım: Değerlendirme sonuçları bölümünde aşağıdaki adımları tamamlayın:

    1. Azure SQL hedefinizi seçin bölümünde Azure SQL Yönetilen Örneği'i seçin.

      Azure SQL Yönetilen Örneği hedefi seçmeyi gösteren ekran görüntüsü.

    2. Değerlendirme sonuçlarını görüntülemek için Görüntüle/Seç'i seçin.

      Değerlendirme sonuçlarını görüntüleme/seçmeyi gösteren ekran görüntüsü.

    3. Değerlendirme sonuçlarında veritabanını seçin ve değerlendirme bulgularını gözden geçirin. Bu örnekte, veritabanının AdventureWorksTDE saydam veri şifrelemesi (TDE) ile korunduğunu görebilirsiniz. Değerlendirme, kaynak veritabanını yönetilen örnek hedefine geçirmeden önce TDE sertifikasının geçirilmesini önerir.

      Değerlendirme bulguları raporunu gösteren ekran görüntüsü.

    4. TDE geçiş yapılandırma panelini açmak için Seç'i seçin.

TDE geçiş ayarlarını yapılandırma

  1. Şifrelenmiş veritabanı seçili bölümünde Sertifikalarımı ve özel anahtarımı hedefe aktar'ı seçin.

    TDE geçiş yapılandırmasını gösteren ekran görüntüsü.

    Önemli

    Bilgi kutusu bölümünde DEK sertifikalarını dışarı aktarmak için gerekli izinler açıklanır.

    SQL Server hizmet hesabının DEK sertifikalarını yedeklemek için kullanacağınız ağ paylaşımı yoluna yazma erişimi olduğundan emin olmanız gerekir. Ayrıca, geçerli kullanıcının bu ağ yolunun bulunduğu bilgisayarda yönetici ayrıcalıkları olmalıdır.

  2. Ağ yolunu girin.

    Ağ paylaşımı için TDE geçiş yapılandırmasını gösteren ekran görüntüsü.

    Ardından, sertifikalara erişmek için kimlik bilgilerimi kullanma izni verip vermediğime bakın . Bu eylemle, veritabanı geçiş sihirbazının DEK sertifikanızı ağ paylaşımına yedeklemesine izin verirsiniz.

  3. Geçiş sihirbazını istemiyorsanız, TDE özellikli veritabanlarını geçirmenize yardımcı olun. Azure Data Studio'nun sertifikaları dışarı aktarmasını istemiyorum'ı seçin . Bu adımı atlayın.

    TDE geçişinin nasıl reddedildiğini gösteren ekran görüntüsü.

    Önemli

    Geçişe devam etmeden önce sertifikaları geçirmeniz gerekir, aksi takdirde geçiş başarısız olur. TDE sertifikalarını el ile geçirme hakkında daha fazla bilgi için bkz . TDE Korumalı Veritabanını Başka bir SQL Server'a Taşıma.

  4. TDE sertifika geçişiyle devam etmek istiyorsanız Uygula'yı seçin.

    TDE geçiş yapılandırmasının nasıl uygulanacağını gösteren ekran görüntüsü.

    TDE geçiş yapılandırma paneli kapanır, ancak ağ paylaşımı yapılandırmanızı istediğiniz zaman değiştirmek için Düzenle'yi seçebilirsiniz. Geçiş işlemine devam etmek için İleri'yi seçin.

    TDE geçiş yapılandırmasını düzenlemeyi gösteren ekran görüntüsü.

Geçiş ayarlarını yapılandırma

3. Adım: Azure SQL'e Geçiş sihirbazındaki Azure SQL hedefi bölümünde, hedef yönetilen örneğiniz için şu adımları tamamlayın:

  1. Azure hesabınızı, Azure aboneliğinizi, Azure bölgesini veya konumunu ve yönetilen örneği içeren kaynak grubunu seçin.

    Azure hesabı ayrıntılarını gösteren ekran görüntüsü.

  2. Hazır olduğunuzda, TDE sertifikaları geçişini başlatmak için Sertifikaları geçir'i seçin.

TDE sertifika geçişini başlatma ve izleme

  1. 3. Adım: Geçiş Durumu'nda Sertifika geçişi paneli açılır. Ekranda TDE sertifikaları geçiş ilerleme durumu ayrıntıları gösterilir.

    TDE geçiş işleminin nasıl başladığını gösteren ekran görüntüsü.

  2. TDE geçişi tamamlandıktan sonra (veya hata varsa), sayfada ilgili güncelleştirmeler görüntülenir.

    TDE geçiş işleminin nasıl devam ettiğini gösteren ekran görüntüsü.

  3. Geçişi yeniden denemeniz gerekiyorsa Geçişi yeniden dene'yi seçin.

    TDE geçişini yeniden denemeyi gösteren ekran görüntüsü.

  4. Hazır olduğunuzda, geçiş sihirbazına devam etmek için Bitti'yi seçin.

    TDE geçişinin nasıl tamamlandığını gösteren ekran görüntüsü.

  5. Sertifikaları geçir'i seçerek her TDE sertifikası için işlemi izleyebilirsiniz.

  6. Veritabanı geçişini tamamlayana kadar geçiş sihirbazına devam etmek için İleri'yi seçin.

    Veritabanı geçişinin nasıl devam ettiğini gösteren ekran görüntüsü.

    Veritabanlarını çevrimiçi veya çevrimdışı olarak Azure SQL Yönetilen Örneği hedeflerine geçirme hakkında daha fazla bilgi için aşağıdaki adım adım öğreticileri gözden geçirin:

Geçiş sonrası adımları

Hedef yönetilen örneğinizde artık veritabanları ve ilgili sertifikaları geçirilmelidir. Son geçirilen veritabanının geçerli durumunu doğrulamak için aşağıdaki örneği kopyalayıp yönetilen örnek hedefinize bağlıyken Azure Data Studio'da yeni bir sorgu penceresine yapıştırın. Ardından Çalıştır'ı seçin.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

Sorgu veritabanı, şifreleme durumu ve bekleyen tamamlanma yüzdesi hakkındaki bilgileri döndürür. Bu durumda, TDE sertifikası zaten tamamlanmış olduğundan sıfırdır.

Bu bölümde sağlanan TDE sorgusu tarafından döndürülen sonuçları gösteren ekran görüntüsü.

SQL Server ile şifreleme hakkında daha fazla bilgi için bkz . Saydam veri şifrelemesi (TDE).

Sınırlamalar

Aşağıdaki tabloda, Azure SQL hedefi tarafından desteklenen TDE özellikli veritabanı geçişlerinin geçerli durumu açıklanmaktadır:

Hedef Destek Durum
Azure SQL Veritabanı Hayır
Azure SQL Yönetilen Örnek Yes Önizle
Azure Sanal Makinesi üzerinde SQL Server Hayır

İlgili içerik