Şifreleme anahtarını yönetme

Tüm Microsoft Dataverse ortamları, SQL Veritabanı Saydam Veri Şifrelemesi (TDE) kullanarak veriler diske yazılırken gerçek zamanlı şifreleme yapar. Bu, dinlenmekte olan veri olarak da bilinir.

Varsayılan olarak, Microsoft sizin yapmanıza gerek kalmadan ortamlarınız için veritabanı şifreleme anahtarlarını depolar ve yönetir. Microsoft Power Platform yönetici merkezi içindeki anahtarları yönetme özelliği, yöneticilere Dataverse kiracısıyla ilişkili veritabanı şifreleme anahtarlarını kendi kendine yönetme yeteneği sağlar.

Önemli

• 2 Haziran 2023 itibariyle, bu hizmet Müşteri tarafından yönetilen şifreleme anahtarına yükseltilir. Kendi şifreleme anahtarını yönetmeleri gereken yeni müşteriler bu hizmet artık sunulmayacağından yükseltilen hizmeti kullanacaktır.
• Kendi kendine yönetilen veritabanı şifreleme anahtarları yalnızca kullanıcı başına 1000'den fazla Power Apps lisansı olan veya 1000'den fazla Dynamics 365 Enterprise lisansı olan ya da tek bir kiracıda birleşimin 1000'den fazla lisansına sahip olan müşteriler tarafından kullanılabilir. Bu programa katılmayı tercih etmek için bir destek isteği gönderin.

Şifreleme anahtarı yönetimi yalnızca Azure SQL ortam veritabanlarına uygulanabilir. Aşağıdaki özellikler ve hizmetler verilerini şifrelemek için Microsoft tarafından yönetilen şifreleme anahtarını kullanmaya devam eder ve kendinden yönetilen şifreleme anahtarıyla şifrelenemez:

• Microsoft Power Platform ve Microsoft Dynamics 365'te yardımcı pilotlar ve üretken AI özellikleri
• Dataverse araması
• Esnek tablolar
• Mobile Offline
• Etkinlik Günlüğü (Microsoft 365 portalı)
• Exchange (Sunucu tarafı eşitlemesi)

Not

• Kendi kendine yönetim veritabanı şifreleme anahtarı özelliğini kullanabilmek için özelliğin kiracınız için Microsoft tarafından açılması gerekir.
• Bir ortamın veri şifreleme yönetimi özelliklerini kullanmak için, veritabanı şifreleme anahtarı özelliği Microsoft tarafından açıldıktan sonra ortamın oluşturulması gerekir.
• Bu özellik kiracınızda etkinleştirildikten sonra tüm yeni ortamlar yalnızca Azure SQL depolama ile oluşturulur. Bu ortamlar, kendi sahibi olduğunuz anahtarı (BYOK) veya Microsoft tarafından yönetilen bir anahtarla şifrelenirse şifrelenmelerine bakılmaksızın, dosya yükleme boyutu ile ilgili sınırlamalara sahip olur, Parametreler ve Datalake servislerini kullanamaz; Dataverse Arama dizinleri Microsoft tarafından yönetilen bir anahtarla şifrelenir. Bu servisleri kullanmak için, müşteri tarafından yönetilen anahtara geçiş yapmanız gerekir.
• Ortamınız 9.2.21052.00103 veya üzeri bir sürüme sahipse, boyutları 128 MB'tan küçük Dosyalar ve Resimler kullanılabilir.
• Varolan ortamların çoğunda dosya ve günlük, Azure olmayan SQL veritabanlarında depolanır. Bu ortamlar kendinden yönetilen şifreleme anahtarına karar verilemez. Yalnızca yeni ortamlar (Bu programa kaydolduktan sonra) kendini yönetilen şifreleme anahtarıyla etkinleştirilebilir.

Anahtar yönetimine giriş

Anahtar yönetimi ile, yöneticiler kendi şifreleme anahtarlarını sağlayabilir veya bir ortam için veritabanını korumak amacıyla kullanılan kendileri için oluşturulmuş şifreleme anahtarına sahip olabilir.

Anahtar şifreleme özelliği, bir donanım güvenlik modülünde (HSM) depolananlar gibi PFX ve BYOK şifreleme anahtar dosyalarını destekler. Karşıya yükleme anahtar şifreleme seçeneğini kullanmak için hem ortak hem de özel şifreleme anahtarı gerekir.

Anahtar yönetimi özelliği, şifreleme anahtarlarını güvenli bir şekilde depolamak için Azure Key Vault kullanarak şifreleme anahtarı yönetimi karmaşıklığını ortadan kaldırır. Azure Key Vault, bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarının ve gizli dizilerin korunmasına yardımcı olur. Anahtar yönetimi özelliği için bir Azure Key Vault aboneliğine sahip olmanız gerekmez ve çoğu durumda kasa içinde Dataverse için kullanılan şifreleme anahtarlarına erişime gerek yoktur.

Anahtarları yönetme özelliği aşağıdaki görevleri gerçekleştirmenize olanak sağlar.

• Ortamlarla ilişkili veritabanı şifreleme anahtarlarını kendi kendine yönetme yeteneğini etkinleştirmek.

• Yeni şifreleme anahtarları oluşturma veya mevcut .PFX ya da .BYOK şifreleme anahtarı dosyalarını yüklemek.

• Kiracı ortamlarını kilitleme ve kilitlerini açma

  Uyarı

  Bir kiracı kilitliyken kiracının içindeki tüm ortamlara herhangi biri tarafından erişilemez. Daha fazla bilgi: Kiracıyı kilitleme.

Anahtarlarınızı yönetirken olası riski anlama

İşle ilgili önemli tüm uygulamalarda olduğu gibi, kuruluşunuzdaki yönetici düzeyinde erişimi olan personelin güvenilir olması gerekir. Anahtar yönetimi özelliğini kullanmadan önce, veritabanı şifreleme anahtarlarınızı yönetirken söz konusu olan riski anlamanız gerekir. Kuruluşunuzda çalışan kötü niyetli bir yöneticinin (kuruluşun güvenlik veya iş süreçlerine zarar vermek amacıyla yönetici düzeyinde erişim kazanan veya verilen bir kişi), anahtarları kilitleme özelliğini bir anahtar oluşturmak ve bunu kiracıdaki tüm ortamları kilitlemek üzere kullanabileceği düşünülebilir.

Aşağıdaki olaylar dizisini değerlendirin.

Kötü amaçlı yöneticiler Power Platform yönetici merkezinde oturum açar, Ortamlar sekmesine gider ve Şifreleme anahtarını yönet seçeneğini belirler. Kötü amaçlı yönetici, parolayla yeni bir anahtar oluşturur ve şifreleme anahtarını yerel sürücüsüne indirir ve yeni anahtarı etkinleştirir. Artık tüm ortam veritabanları yeni anahtarla şifrelenir. Sonra, kötü amaçlı yönetici yeni indirilen anahtarla kiracıyı kilitler ve ardından indirilen şifreleme anahtarını alır veya siler.

Bu eylemler, kiracı içindeki tüm ortamların çevrimiçi erişime karşı devre dışı bırakılmasına neden olur ve tüm veritabanı yedeklerini geri yüklenemez hale getirir.

Önemli

Kötü niyetli yöneticinin veritabanını kilitleyerek iş operasyonlarını kesintiye uğratmasını önlemek amacıyla yönetilen anahtarlar özelliği şifreleme anahtarı değiştirildikten sonra 72 saat boyunca kiracı ortamlarının kilitlenmesine izin vermez. Bu, yetkisiz anahtar değişikliklerini geri almak için diğer yöneticilere 72 saat sağlar.

Şifreleme anahtarı gereksinimleri

Kendi şifreleme anahtarınızı belirtirseniz, anahtarınızın Azure Key Vault tarafından kabul edilen aşağıdaki gereksinimleri karşılaması gerekir.

• Şifreleme anahtarı dosyası biçimi PFX veya BYOK olmalıdır.
• 2048 bit RSA.
• RSA-HSM anahtar türü (bir Microsoft Destek isteği gerektirir).
• PFX şifreleme anahtarı dosyaları parola korumalı olmalıdır.

İnternet üzerinden HSM korumalı anahtar oluşturma ve aktarma hakkında Daha fazla bilgi edinmek için bkz. Azure Key Vault için HSM korumalı anahtarlar oluşturma ve aktarma. Yalnızca nCipher Vendor HSM anahtarı desteklenmektedir. HSM anahtarınızı oluşturmadan önce, ortam bölgenizin abonelik kimliğini edinmek için Power Platform yönetim merkezi Şifreleme anahtarlarını yönet/Yeni anahtar oluştur penceresine gidin. Anahtarı oluşturmak için bu abonelik kimliğinizi kopyalayıp HSM'nize yapıştırmanız gerekir. Bu işlem sayesinde dosyanızı yalnızca Azure Key Vault açabilir.

Anahtar yönetimi görevleri

Anahtar yönetim görevlerini basitleştirmek için, görevler üç alana ayrılır:

1. Kiracı için şifreleme anahtarı oluşturma veya karşıya yükleme
2. Kiracı için şifreleme anahtarını etkinleştirme
3. Bir ortam için şifrelemeyi yönetme

Yöneticiler, burada açıklanan kiracı koruma anahtarı yönetimi görevlerini gerçekleştirmek için Power Platform yönetim merkezini veya Power Platform yönetim modülü cmdlet'lerini kullanabilir.

Kiracı için şifreleme anahtarı oluşturma veya karşıya yükleme

Tüm şifreleme anahtarları Azure Key Vault'ta depolanır ve bir kerede yalnızca bir etkin anahtar olabilir. Kiracıdaki tüm ortamları şifrelemek için etkin anahtar kullanıldığından, şifrelemenin yönetilmesi kiracı düzeyinde çalıştırılır. Anahtar etkinleştirildikten sonra, her bir ortam şifreleme için bu anahtarı kullanmak üzere seçilebilir.

Bu yordamı, bir ortam için anahtar yönetme özelliğini ilk kez ayarlamak veya zaten kendi kendine yönetilen bir kiracının şifreleme anahtarını değiştirmek (veya geçiş yapmak) için kullanın.

Uyarı

Açıklanan adımları ilk kez kullanırken, şifreleme anahtarlarınızı kendi kendine yönetmeyi tercih etmeniz gerekir. Daha fazla bilgi: Anahtarlarınızı yönetirken olası riski anlama

1. Power Platform yönetim merkezinde yönetici (Dynamics 365 yöneticisi, Genel yönetici veya Microsoft Power Platform yöneticisi) olarak oturum açın.

2. Ortamlar sekmesini seçin ve ardından araç çubuğunda Şifreleme anahtarlarını yönet seçeneğini belirleyin.

3. Anahtar riskini yönetmeyi kabul etmek için Onayla öğesini seçin.

4. Araç çubuğunda Yeni anahtar'ı seçin.

5. Sol bölmede, bir anahtar oluşturmak veya yüklemek için ayrıntıları izleyin:

   • Bölge seçin. Bu seçenek yalnızca kiracınızda birden çok bölge varsa gösterilir.
   • Anahtar adı girin.
   • Aşağıdaki seçeneklerden birini seçin:
     • Yeni bir anahtar oluşturmak için Yeni oluştur (.pfx) öğesini seçin. Daha fazla bilgi: Yeni bir anahtar oluşturma (. pfx).
     • Kendi oluşturduğunuz anahtarı kullanmak için Yükle (.pfx veya .byok) öğesini seçin. Daha fazla bilgi Anahtar yükleme (.pfx veya. byok).

6. İleri'yi seçin.

Yeni anahtar oluşturma (.pfx)

1. Bir parola girin ve onaylamak için parolayı yeniden girin.
2. Oluştur seçeneğini belirleyin ve ardından tarayıcınızda oluşturulan dosya bildirimini seçin.
3. Şifreleme anahtarı .PFX dosyası web tarayıcınızın varsayılan indirme klasörüne indirilir. Dosyayı güvenli bir konuma kaydedin (bu anahtarın parolasıyla birlikte yedeklenmesini öneririz).

Anahtar yükleme (.pfx veya .byok)

1. Anahtarı Yükle'yi seçin, .pfx veya .byok¹ dosyasını seçin ve Aç'ı seçin.
2. Anahtar için parolayı girin ve ardından Oluştur'u seçin.

¹ .byok şifreleme anahtar dosyaları için şifreleme anahtarını yerel HSM'den dışarı aktardığınızda, abonelik kimliğini ekranda gösterildiği şekilde kullandığınızdan emin olun. Daha fazla bilgi: Azure Key Vault'ta HSM korumalı anahtarlar oluşturma ve aktarma.

Not

Yöneticinin, anahtar işlemini yönetme adımlarını azaltmak için anahtar ilk kez yüklendiğinde otomatik olarak etkinleştirilir. Sonraki tüm anahtar yüklemeleri, anahtarı etkinleştirmek için ek bir adım gerektirir.

Kiracı için şifreleme anahtarını etkinleştirme

Bir şifreleme anahtarı oluşturulduğunda veya kiracı için karşıya yüklendikten sonra, etkinleştirilebilir.

1. Power Platform yönetim merkezinde yönetici (Dynamics 365 yöneticisi, Genel yönetici veya Microsoft Power Platform yöneticisi) olarak oturum açın.
2. Ortamlar sekmesini seçin ve ardından araç çubuğunda Şifreleme anahtarlarını yönet seçeneğini belirleyin.
3. Anahtar riskini yönetmeyi kabul etmek için Onayla öğesini seçin.
4. Kullanılabilir durumuna sahip bir anahtar seçin ve araç çubuğunda Anahtarı etkinleştir'i seçin.
5. Anahtar değişikliğini kabul etmek için Onayla öğesini seçin.

Kiracı için bir anahtarı etkinleştirdiğinizde, anahtar yönetim hizmetinin anahtarı etkinleştirmesi biraz zaman alır. Anahtar durumu'nun durumu, yeni veya yüklenen anahtar etkinleştirildiğinde anahtarı Yükleniyor olarak görüntüler. Anahtar etkinleştirildikten sonra aşağıdakiler oluşur:

• Tüm şifrelenmiş ortamlar otomatik olarak etkin anahtarla şifrelenir (bu eylemle ilgili bir kesinti yoktur).
• Etkinleştirildiğinde, şifreleme anahtarı, Microsoft' tarafından sağlanan yerine kendi kendine yönetilen şifreleme anahtarı olarak değiştirilen tüm ortamlara uygulanır.

Önemli

Tüm ortamların aynı anahtarla yönetilmesi için anahtar yönetim işlemini kolaylaştırmak amacıyla, kilitli ortamlar varken etkin anahtar güncelleştirilemez. Yeni bir anahtarın etkinleştirilebilmesi için öncelikle tüm kilitlenmiş ortamların kilidinin açık olması gerekir. Kilidinin açılmasına gerek olmayan kilitli ortamlar varsa, bunların silinmesi gerekir.

Not

Şifreleme anahtarı etkinleştirildikten sonra, 24 saat boyunca başka bir anahtarı etkinleştiremezsiniz.

Bir ortam için şifrelemeyi yönetme

Varsayılan olarak, her ortam Microsoft tarafından sağlanan şifreleme anahtarıyla şifrelenir. Kiracı için şifreleme anahtarı etkinleştirildikten sonra, yöneticiler etkinleştirilen şifreleme anahtarını kullanmak için varsayılan şifrelemeyi değiştirmeye karar verebilir. Etkinleştirilen anahtarı kullanmak için aşağıdaki adımları izleyin.

Şifreleme anahtarını bir ortama uygulama

1. Ortam Yöneticisi veya Sistem Yöneticisi rolünün kimlik bilgilerini kullanarak Power Platform yönetim merkezinde oturum açın.
2. Ortamlar sekmesini seçin.
3. Microsoft tarafından sağlanan şifrelenmiş bir ortam açın.
4. Tümünü gör'ü seçin.
5. Ortam Şifreleme bölümünde, Yönet'i seçin.
6. Anahtar riskini yönetmeyi kabul etmek için Onayla öğesini seçin.
7. Etkinleştirilen anahtarı kullanmak üzere şifrelemeyi değiştirmeyi kabul etmek için Bu anahtarı uygula'yı seçin.
8. Anahtarı doğrudan yönetiyor olduğunuzu ve bu eylem için kesinti olacağını kabul etmek için Onayla'yı seçin.

Yönetilen bir şifreleme anahtarını Microsoft tarafından sağlanan şifreleme anahtarına geri döndürme

Microsoft tarafından sağlanan şifreleme anahtarına dönmek, ortam şifreleme anahtarını Microsoft'un şifreleme anahtarını sizin için yönettiği varsayılan davranışa yeniden yapılandırır.

1. Ortam Yöneticisi veya Sistem Yöneticisi rolünün kimlik bilgilerini kullanarak Power Platform yönetim merkezinde oturum açın.
2. Ortamlar sekmesini seçin ve kendi kendine yönetilen bir anahtarla şifrelenen bir ortam seçin.
3. Tümünü gör'ü seçin.
4. Ortam Şifreleme bölümünde, Yönet'i ve ardından Onayla'yı seçin.
5. Standart şifreleme anahtarı yönetimine dönülsün mü? altından Geri dön'ü seçin.
6. Üretim ortamları için ortamın adını girerek ortamı onaylayın.
7. Standart şifreleme anahtarı yönetimine dönmek için Onayla'yı seçin.

Kiracıyı kilitleme

Her kiracı için yalnızca bir etkin anahtar olduğundan kiracı için şifrelemeyi kilitlemek kiracıdaki tüm ortamları devre dışı bırakır. Tüm kilitli ortamlara Microsoft dahil kuruluşunuzdaki Power Platform yöneticisi kurulumun kilidini kilitlemek için kullanılan anahtarla açana kadar hiç kimse erişemez.

Dikkat

Kiracı ortamlarını asla normal iş sürecinin parçası olarak kilitlememeniz gerekir. Bir Dataverse kiracısını kilitlediğinizde, tüm ortamlar tamamen çevrimdışına alınır ve Microsoft dahil hiç kimse tarafından erişilemez. Ayrıca, eşitleme ve bakım gibi hizmetlerin tümü durdurulur. Hizmeti bırakmaya karar verirseniz, kiracıyı kilitlemek çevrimiçi verilerinize hiç kimse tarafından hiçbir zaman erişilmemesini güvence altına alabilir.
Kiracı ortamlarını kilitlemek hakkında aşağıdakilere dikkat edin:

• Kilitli ortamlar yedeklemeden geri yüklenemez.
• Kilitlenmiş ortamlar kilidi açılmazsa 28 gün sonra silinir.
• Şifreleme anahtarı değiştirildikten sonra ortamları 72 saat boyunca kilitleyemezsiniz.
• Bir kiracıyı kilitlemek, kiracının içindeki tüm etkin ortamları kilitler.

Önemli

• Etkin ortamları kilitledikten sonra, bunların kilidini kaldırmadan en az bir saat beklemeniz gerekir.
• Kilitleme işlemi başladıktan sonra, Etkin veya Kullanılabilir durumundaki tüm şifreleme anahtarları silinir. Kilit işlemi bir saat sürebilir ve bu süre içinde kilitli ortamların kilidinin kaldırılmasına izin verilmez.

1. Power Platform yönetim merkezinde yönetici (Dynamics 365 yöneticisi, Genel yönetici veya Microsoft Power Platform yöneticisi) olarak oturum açın.
2. Ortamlar sekmesini seçin ve ardından komut çubuğunda Şifreleme anahtarlarını yönet seçeneğini belirleyin.
3. Etkin anahtarı ve ardından Etkin ortamları kilitle'yi seçin.
4. Sağ bölmede Etkin anahtarı yükle'yi seçin, anahtarı bulup seçin, parolayı girin ve ardından Kilitle'yi seçin.
5. Sorulduğunda, bölgedeki tüm ortamları kilitlemek istediğinizi onaylamak için ekranınızda görüntülenen metni girin ve Onayla'yı seçin.

Kilitli ortamların kilidini açma

Ortamların kilidini açmak için önce kiracı şifreleme anahtarını karşıya yüklemeniz ve ardından kiracıyı kilitlemek için kullanılan aynı anahtarla etkinleştirmeniz gerekir. Bu anahtar etkinleştirildikten sonra, kilitlenmiş ortamların kilidinin otomatik olarak açılmayacağını unutmayın. Her kilitli ortamın kilidinin tek başına kalıdırılması gerekir.

Önemli

• Etkin ortamları kilitledikten sonra, bunların kilidini kaldırmadan en az bir saat beklemeniz gerekir.
• Kilit açma işlemi bir saat sürebilir. Anahtarın kilidi açıldıktan sonra, Bir ortamın şifrelemesini yönetmek için anahtarı kullanabilirsiniz.
• Tüm kilitlenen ortamların kilidi açılıncaya kadar yeni bir anahtar oluşturamaz veya mevcut bir anahtarı karşıya yüklemezsiniz.

Şifreleme anahtarının kilidini açma

1. Power Platform yönetim merkezinde yönetici (Dynamics 365 yöneticisi, Genel yönetici veya Microsoft Power Platform yöneticisi) olarak oturum açın.
2. Ortamlar sekmesini seçin ve ardından Şifreleme anahtarlarını yönet seçeneğini belirleyin.
3. Kilitli durumuna sahip anahtarı seçin ve komut çubuğunda Anahtarın kilididni aç'ı seçin.
4. Kilitli anahtarı yükle'yi seçin, kiracıyı kilitlemek için kullanılan anahtarı bulup seçin, parolayı girin ve ardından Kilidi aç'ı seçin. Anahtar bir Yükleme durumuna girer. Kilitlenen ortamların kilidini açabilmeniz için anahtarın Etkin durumda olmasını beklemeniz gerekir.
5. Ortamın kilidini açmak için sonraki bölüme bakın.

Ortamların kilidini açma

1. Ortamlar sekmesini ve ardından kilitli ortamın adını seçin.

   Bahşiş

   Satırı seçmeyin. Ortam adını seçin.

2. Ayrıntılar bölümünde, sağdaki Ayrıntılar bölmesini görüntülemek için Tümünü gör'ü seçin.

3. Ayrıntılar bölmesindeki Ortam şifreleme bölümünde Yönet'i seçin.

   

4. Ortam şifreleme sayfasında Kilidi aç'ı seçin.

   

5. Ortamın kilidini açmak istediğinizi onaylamak için Onayla'yı seçin.

6. Ek ortamların kilidini açmak için önceki adımları yineleyin.

Ortam veritabanı işlemleri

Müşteri kiracısı, Microsoft tarafından yönetilen anahtar kullanılarak şifrelenmiş ortamlara ve müşteri tarafından yönetilen anahtarla şifrelenmiş ortamlara sahip olabilir. Veri bütünlüğü ve veri koruması sağlamak için ortam veritabanı işlemlerini yönetirken aşağıdaki denetimler kullanılabilir.

1. Geri yükleme Üzerine yazılacak ortam (ortama geri yüklenen), yedeklemenin alındığı aynı ortamla veya aynı müşteri tarafından yönetilen anahtarla şifrelenmiş başka bir ortamla kısıtlanır.

   

2. Kopyalama Üzerine yazılacak ortam (ortama kopyalanan), aynı müşteri tarafından yönetilen anahtarla şifrelenmiş başka bir ortamla kısıtlanır.

   

   Not

   Müşteri tarafından yönetilen bir ortamda destek sorununu çözmek için bir Destek Araştırması ortamı oluşturulmuşsa Kopya ortamı işlemi gerçekleştirilmeden önce Destek Araştırması ortamının şifreleme anahtarı, müşteri tarafından yönetilen anahtar olarak değiştirilmelidir.

3. Sıfırlama Yedeklemeler dahil olmak üzere ortamın şifrelenmiş verileri silinir. Ortam sıfırlandıktan sonra ortam şifrelemesi, Microsoft tarafından yönetilen anahtara geri döner.

Ayrıca bkz.

SQL Server: Saydam Veri Şifrelemesi (TDE)