Genişletilmiş Anahtar Yönetimi (EKM) anlama
SQL Server veri şifreleme özellikleriyle birlikte sağlar. Genişletilebilir bir anahtar yönetimi (EKM) kullanmaMicrosoft şifreleme API Şifreleme ve anahtarı oluşturmak için (MSCAPI) sağlayıcı.Veri ve anahtar şifrelemesi için şifreleme anahtarlarının anahtar geçici kapsayıcılarında oluşturulur ve veritabanında depolanmış olan önce bunlar bir sağlayıcıdan aktarılması gerekir.Bu yaklaşım, bir şifreleme anahtarı sıradüzeni ve anahtar yedek tarafından işlenecek içeren anahtar yönetimi sağlar. SQL Server.
Yasal uyumluluk artan talebi ve önemli veriler gizlilik için kuruluşlar şifreleme "kapsamlı savunma" bir çözüm sağlamak için bir yol yararlanarak.Bu genellikle yalnızca veritabanı şifreleme yönetim araçlarını kullanarak pratik yaklaşımdır.Bu adres kuruluş anahtar yönetimi kullanarak, ürünler donanım satıcıları sağlar Donanım güvenlik modülü (hsm).HSM aygıtları, donanım veya yazılım modülleri şifreleme anahtarları depolar.Şifreleme anahtarları ile şifreleme veri bulunması için daha güvenli bir çözümdür.
Bir satıcı numarası, anahtar yönetimi ve şifreleme hızlandırmasını HSM sunar.HSM aygıtları, uygulama ve bir HSM arasında bir aracı gibi bir sunucu işlemi ile donanım arabirimleri kullanır.Satıcıların, donanım veya yazılım olabilir, modüller üzerinde MSCAPI sağlayıcıları da uygular.MSCAPI genellikle yalnızca alt küme küme küme kümesini bir HSM tarafından sunulan işlevselliği sağlar.HSM anahtar yapılandırma ve anahtar erişimi için Satıcılar yönetim yazılımı da sağlayabilirsiniz.
HSM uygulamaları ile kullanılacak ve satıcı için satıcıdan değişir. SQL Server ortak bir arabirim gerektirir. MSCAPI bu arabirimin sağlasa da, bu yalnızca alt küme küme küme HSM özelliklerini destekler.Ayrıca, özgün olarak bir simetrik anahtar ve oturum yönelik destek yetersizliği ısrar yüklenememesi gibi başka sınırlamalar vardır.
The SQL Server 2008 Extensible anahtar Management enables third-party EKM/HSM vendors to register their modules in SQL Server. Kaydolurken, SQL Server Kullanıcılar EKM modüller üzerinde depolanan şifreleme anahtarları kullanabilir. Bu olanak verir. SQL Server Gelişmiş Şifreleme erişmek için bu modülleri gibi desteği özellikleri, şifreleme ve şifre çözme anahtarı eskime ve anahtar döndürme gibi anahtar yönetim işlevleri toplu.
EKM yapılandırma
Yalnızca kuruluş, Developer ve deneme sürümlerini üzerinde kullanılabilir Genişletilebilir anahtar yönetimi SQL Server.
Varsayılan olarak, genişletilmiş anahtar yönetimi kapalıdır.Bu özelliği etkinleştirmek için , aşağıdaki seçenek ve aşağıdaki örnekte olduğu gibi değeri olan sp_configure komutu kullanın:
sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
Not
Bu seçeneğin Enterprise Developer ve değerlendirme sürümleri dışındaki sürümlerinde sp_configure saklı yordamı kullanırsanız, hata iletisi görüntülenir.
Bu özelliği devre dışı bırakmak için , değerini ayarlamak 0.Sunucu seçeneklerini küme hakkında daha fazla bilgi için bkz: sp_configure (Transact-SQL).
EKM nasıl kullanılır?
SQL Server 2008 Genişletilebilir bir anahtar yönetimi gibi bir akıllı kart, USB aygıtı veya EKM/HSM modülünün bir kutusunu devre dışı aygıt depolanması için veritabanı dosyaları koruyan şifreleme anahtarları sağlar.Bu veritabanı Yöneticiler grubunun üyeleri, sysadmin) dışında (veri koruma sağlar.Veri, dış EKM/HSM modülde yalnızca veritabanı kullanıcı erişimi olduğunu şifreleme anahtarları kullanılarak şifrelenebilir.
Genişletilebilir bir anahtar yönetimi ayrıca, aşağıdaki yararları sağlar:
Ek kimlik denetimi (harçları ayrımı etkinleştirme).
Donanım tabanlı şifreleme/şifre çözme için daha yüksek performans.
Dış bir şifreleme anahtar oluşturma.
Dış şifreleme anahtar saklama (veri ve anahtarların fiziksel ayırma).
Şifreleme anahtar alma.
Dış şifreleme anahtar koruma (şifreleme anahtar döndürme etkinleştirir).
Daha kolay şifreleme anahtar kurtarma.
Yönetilebilir şifreleme anahtar dağıtımı.
Güvenli bir şifreleme anahtar elden çıkarma.
Bir kullanıcı adı ve parola birleşimi veya EKM sürücü tarafından tanımlanan diğer yöntemleri, Genişletilebilir Anahtar Yönetimi'ni kullanabilirsiniz.
Uyarı
Sorun giderme, Microsoft Teknik Destek EKM şifreleme anahtarından gerektirebilir sağlayıcı. Satıcı araçları veya bir sorunu gidermek için işlem gerekebilir.
Kimlik doğrulamasıyla bir EKM aygıt
Bir EKM modülü birden çok kimlik doğrulaması türünü destekler.Her sağlayıcı kimlik doğrulaması için yalnızca bir tür gösterir. SQL Server, modül, temel veya diğer kimlik doğrulaması türleri destekliyorsa, biri gösterir olan veya diğer, ancak her ikisini birden değil.
Kullanıcı adı/parola EKM aygıt özgü temel kimlik doğrulaması kullanma
Temel kimlik bilgileri doğrulaması kullanarak desteği bu EKM modüllerde için bir Kullanıcı adı/parola pair, SQL Server Saydam kimlik bilgileri doğrulaması kimlik bilgileri bilgilerini kullanarak sağlar. Kimlik bilgileri hakkında daha fazla bilgi için bkz: kimlik bilgileri (Veritabanı Altyapısı).
Bir kimlik bilgisi EKM sağlayıcı için oluşturulan ve olması için bir oturum açma eşlenen (her iki Windows ve SQL Server hesapları) her oturum için ayrı ayrı bir EKM modülde erişmek için. The Identify alan of the credential contains the username; the secret alan contains a password to connect to an EKM module.
EKM sağlayıcısının yok eşleştirilmiş bir oturum açma kimlik bilgisi varsa, kimlik bilgilerinin eşlenmiş SQL Server Hizmet hesabı kullanılır.
Ayırıcı EKM sağlayıcıları için kullandıkları sürece, BIR oturum açma, eşlenen birden çok kimlik bilgileri olabilir.Oturum başına EKM Sağlayıcı başına yalnızca bir eşleşen kimlik bilgileri olması gerekir.Aynı kimlik bilgileri, başka bir oturuma eşlenebilir.
Diğer aygıt EKM özel kimlik doğrulaması türleri
kimlik doğrulaması dışındaki sahip EKM modülleri için veya kullanıcı/parola birleşimleri, kimlik doğrulaması bağımsız olarak gerçekleştirilmelidir SQL Server.
Şifreleme ve bir EKM aygıt tarafından Decryption
Aşağıdaki işlevler ve Özellikler'i şifrelemek ve simetrik ve asimetrik anahtarları kullanarak verilerin şifresini çözmek için kullanabilirsiniz:
Işlev veya özelliği |
Başvurular |
|---|---|
Simetrik anahtar şifreleme |
|
Asimetrik anahtar şifreleme |
|
EncryptByKey (key_guid, şifresiz ' metin', …) |
|
DecryptByKey (ciphertext, …) |
|
EncryptByAsmKey (key_guid, 'düz metin') |
|
DecryptByAsmKey(ciphertext) |
Veritabanı anahtar şifrelemesi EKM anahtarları tarafından
SQL Server veritabanındaki diğer anahtarları şifrelemek için EKM tuşlarını kullanabilirsiniz.Oluşturabilir ve bu anahtarlar, simetrik ve asimetrik bir EKM aygıtta kullanın.Yerel (EKM olmayan) simetrik anahtarlar EKM asimetrik anahtarları ile şifreleyebilirsiniz.
Aşağıdaki örnek, bir veritabanı simetrik anahtar oluşturur ve bir EKM modülde bir anahtar kullanarak şifreler.
CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1
Daha fazla bilgi için veritabanı ve sunucu anahtarlarını SQL Server, bkz: SQL Server ve veritabanı şifreleme anahtarları (Veritabanı Altyapısı).
Not
Bir başka EKM anahtarının EKM anahtar şifreleyemezsiniz.
See Also