Genişletilebilir anahtar yönetimi (ekm)
SQL Serververi şifreleme yetenekleri ile birlikte sağlar Genişletilebilir Key Management (ekm) kullanarak Microsoft şifreleme API (MSCAPI) sağlayıcısı için şifreleme ve anahtar üretimi. Geçici anahtar kapsayıcılarını veri ve anahtar şifrelemede şifreleme anahtarları oluşturulur ve önce veritabanında depolanan bir sağlayıcıdan verilmelidir. Bu yaklaşım, bir şifreleme anahtar hiyerarşisi ve anahtar yedekleme tarafından işlenecek içeren anahtar yönetimi sağlar SQL Server.
Yasal uyumluluk için artan talep ve veri gizliliği için endişe, kuruluşların şifreleme derinlemesine bir "savunma" sağlamak için bir yol olarak yararlanarak çözüm. Bu yaklaşım, yalnızca veritabanı şifreleme yönetim araçlarını kullanarak genellikle zordur. Donanım satıcıları sağlayan ürünler bu adresi kurumsal anahtar yönetimi kullanarak Donanım güvenlik modüllerini (hsm). hsm cihazları, donanım veya yazılım modülleri için şifreleme anahtarlarını saklamak. Şifreleme anahtarları şifreleme veri bulunması değil çünkü daha güvenli bir çözümdür.
Satıcı sayısını, hem anahtar yönetimi hem de şifreleme hızlandırması için hsm sunuyoruz. hsm cihazları donanım arabirimi, hsm ve bir uygulama arasında bir aracı gibi bir sunucu işlemi ile kullanın. Satıcılar da MSCAPI sağlayıcıları kendi modülleri üzerinde donanım veya yazılım olabilir uygular. MSCAPI genellikle yalnızca bir alt kümesini hsm tarafından sağlanan işlevselliği sunar. Satıcılar da yönetim yazılımı hsm, anahtar yapılandırma ve anahtar erişim sağlar.
hsm uygulamaları farklılık satıcıdan satıcı ve onları kullanmak için SQL Serverbir ortak arabirim gerektirir. MSCAPI bu arabirim sağlasa da, yalnızca bir alt kümesini hsm özelliklerini destekler. Ayrıca yerli simetrik anahtarlar ve oturum yönelik destek eksikliği kalıcı yetersizlik gibi başka sınırlamalar vardır.
SQL ServerKendi modülleri kaydetmek üçüncü taraf ekm/hsm satıcıları Genişletilebilir anahtar yönetimi sağlayan SQL Server. Kayıt olduktan sonra SQL Serverkullanıcılara ekm modülleri depolanan şifreleme anahtarlarını kullanabilirsiniz. Bu SQL ServerGelişmiş Şifreleme erişmek için anahtar bu modüller toplu şifreleme ve şifre çözme gibi destek ve yönetim fonksiyonları gibi anahtar şekil eskime ve anahtar dönüş.
ekm yapılandırma
Genişletilebilir Key Management her sürümünde kullanılabilir değil Microsoft SQL Server. Sürümü tarafından desteklenen özellikleri listesi için SQL Serverbakın SQL Server 2012 Sürümleri Tarafından Desteklenen Özellikler.
Varsayılan olarak Genişletilebilir Key Management kapalıdır. Bu özelliği etkinleştirmek için sp_configureaşağıdaki seçenek ve değeri, aşağıdaki örnekte olduğu gibi olan komutu:
sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
[!NOT]
Eğer sen kullanma sp_configuresürümleri üzerinde bu seçenek komut SQL Server, ekm desteklemez, bir hata alırsınız.
Özelliği devre dışı bırakmak için değerini ayarlamak 0. Sunucu seçeneklerini ayarlama hakkında daha fazla bilgi için bkz: sp_configure (Transact-sql).
ekm kullanma
SQL ServerGenişletilebilir anahtar yönetimi, akıllı kart, usb aygıtı veya ekm/hsm modülü gibi bir kapalı kutu aygıtında depolanan veritabanı dosyaları koruyan şifreleme anahtarları sağlar. Bu da veri koruma veritabanı yöneticileri sağlar (dışındaki üyeleri sysadmingrubu). Veri şifreleme anahtarları yalnızca veritabanı kullanıcı erişimi dış ekm/hsm modülü olduğundan kullanılarak şifrelenebilir.
Genişletilebilir Key Management Ayrıca aşağıdaki yararları sağlar:
Ek kimlik denetimi (harçları ayrımını etkinleştirmek).
Donanım tabanlı şifreleme/şifre çözme için daha yüksek performans.
Dış şifreleme anahtar oluşturma.
Dış şifreleme anahtar saklama (fiziksel veri ve ayrılması anahtarlar).
Şifreleme anahtarı alma.
Dış şifreleme anahtar saklama (şifreleme anahtar döndürme etkinleştirir).
Kolay şifreleme anahtar kurtarma.
Yönetilebilir şifreleme anahtar dağıtımı.
Güvenli şifreleme anahtar elden.
Genişletilebilir Key Management, bir kullanıcı adı ve parola birleşimi veya ekm sürücü tarafından tanımlanan diğer yöntemleri kullanabilirsiniz.
Dikkat |
---|
Sorun giderme, Microsoftteknik destek gerekli şifreleme anahtarı ekm sağlayıcı. Satıcı araçları ya da bir sorunu gidermek için işlemleri gerekebilir. |
ekm aygıt ile kimlik doğrulama
ekm modülü birden fazla kimlik doğrulama türünü destekler. Her sağlayıcı için kimlik doğrulama için yalnızca bir tür sunar SQL Server, yani modülü Basic veya diğer kimlik doğrulama türleri destekliyorsa, bir açar veya diğer, ancak ikisini birden.
ekm aygıt özgü temel kimlik doğrulamasını kullanarak kullanıcı adı/şifre
İçin bu ekm modülü temel kimlik doğrulaması kullanarak destekleyen bir username/passwordçifti, SQL Serverşeffaf kimlik doğrulama kimlik bilgilerini kullanarak sağlar. Kimlik bilgileri hakkında daha fazla bilgi için bkz: Kimlik bilgileri (veritabanı altyapısı).
ekm sağlayıcı için oluşturulabilir ve bir oturum açma eşlenen kimlik bilgisi (hem Windows ve SQL Serverhesapları) bir ekm modülü giriş başına temelinde erişmek için. IdentifyKimlik bilgisi alanında: kullanıcı adı; secretalan içeren bir ekm modülü bağlanmak için parola.
Hiçbir eşlenen oturum açma kimlik bilgisi ekm sağlayıcısı ise, kimlik bilgisi eşlenen SQL Serverhizmet hesabı kullanılır.
Belirgin ekm sağlayıcılarını kullanıldıkları sürece bir giriş birden çok kimlik bilgisi, eşleştirilmiş olabilir. ekm sağlayıcı giriş başına başına tek bir eşleştirilmiş kimlik bilgisi olması gerekir. Diğer oturumları için aynı kimlik bilgisi eşlenebilir.
Diğer ekm aygıt özel kimlik doğrulama türleri
Dışındaki Windows kimlik doğrulamasına sahip ekm modülleri veya user/passwordbağımsız olarak gelen kimlik doğrulaması gerçekleştirilmelidir kombinasyonları, SQL Server.
Şifreleme ve şifre çözme ekm aygıt tarafından
Şifrelemek ve simetrik ve asimetrik anahtarları kullanarak verilerin şifresini çözmek için aşağıdaki işlevleri ve özellikleri kullanabilirsiniz:
Fonksiyon veya özellik |
Başvuru |
---|---|
Simetrik anahtar şifreleme |
|
Asimetrik anahtar şifreleme |
|
EncryptByKey (key_guid, 'nda', …) |
|
UseDecryptByKeyçoğaltılmış (ciphertext, …) |
|
EncryptByAsmKey (key_guid, 'nda') |
|
DecryptByAsmKey(ciphertext) |
Veritabanı anahtar şifrelemesi tarafından ekm tuşları
SQL Serverbir veritabanındaki diğer anahtarları şifrelemek için ekm tuşları kullanabilirsiniz. Oluşturabilir ve ekm aygıt üzerinde simetrik ve asimetrik anahtarları kullanabilirsiniz. Yerli (ekm olmayan) simetrik anahtarlar ekm asimetrik anahtarları ile şifreleyebilirsiniz.
Aşağıdaki örnek, bir veritabanı simetrik anahtar oluşturur ve bir ekm modülü bir anahtar kullanarak şifreler.
CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1
Veritabanı ve sunucu anahtarları hakkında daha fazla bilgi için SQL Serverbakın SQL Server ve Veritabanı Şifreleme Anahtarları (Veritabanı Altyapısı).
[!NOT]
Bir ekm anahtarı ile başka bir ekm anahtar şifreleyemezsiniz.
ilişkili Görevler
ekm sağlayıcı sunucu yapılandırma seçeneği etkinleştirildi
Ayrıca bkz.
Başvuru
ŞİFRELEME sağlayıcısı (Transact-sql) oluştur
ŞİFRELEME sağlayıcısı (Transact-sql) bırak
alter şifreleme sağlayıcısı (Transact-sql)
sys.cryptographic_providers (Transact-sql)
sys.dm_cryptographic_provider_sessions (Transact-sql)
Thesys.dm_cryptographic_provider_propertiesortak (Transact-sql)
sys.dm_cryptographic_provider_algorithms (Transact-sql)
sys.dm_cryptographic_provider_keys (Transact-sql)
sys.Credentials (Transact-sql)
Kimlik BILGISI (Transact-sql) oluştur
ASİMETRİK anahtar (Transact-sql) oluştur
alter ASIMETRIK anahtar (Transact-sql)
ASİMETRİK anahtar (Transact-sql) bırak
SIMETRIK anahtar (Transact-sql) oluştur
SIMETRIK anahtar (Transact-sql) değiştirme
SIMETRIK anahtar (Transact-sql) bırak
SIMETRIK anahtar (Transact-sql) bırak
Kavramlar
Yedekleme ve geri yükleme Raporlama Hizmetleri şifreleme anahtarları (ssrs yerel mod)
Şifreleme anahtarlarını silmeli ve
Ekleme ve ölçek-giden dağıtımı için şifreleme anahtarlarını kaldırma
Hizmet ana anahtarı yedeklemek
Hizmet ana anahtar geri yüklemek
Bir veritabanı ana anahtar oluşturma
Bir veritabanı ana anahtarı yedeklemek