Yedekleme şifreleme

Şunlar için geçerlidir: SQL Server

Bu makalede, SQL Server yedeklemeleri için şifreleme seçeneklerine genel bir bakış sağlanır. Yedekleme sırasında şifreleme için kullanımın, avantajların ve önerilen uygulamaların ayrıntılarını içerir.

Genel Bakış

SQL Server 2014'te (12.x) başlayarak, SQL Server yedekleme oluştururken verileri şifreleme özelliğine sahiptir. Yedekleme oluştururken şifreleme algoritmasını ve şifrelayıcıyı (Sertifika veya Asimetrik Anahtar) belirterek şifrelenmiş bir yedekleme dosyası oluşturabilirsiniz. Tüm depolama hedefleri: şirket içi ve Azure depolama desteklenir. Buna ek olarak, SQL Server tarafından yönetilen Microsoft Azure işlemlerine yedekleme için şifreleme seçenekleri yapılandırılabilir. Bu, SQL Server 2014'te (12.x) kullanıma sunulan yeni bir özelliktir.

Yedekleme sırasında şifrelemek için bir şifreleme algoritması ve şifreleme anahtarının güvenliğini sağlamak için bir şifrelayıcı belirtmeniz gerekir. Desteklenen şifreleme seçenekleri şunlardır:

• Şifreleme Algoritması: Desteklenen şifreleme algoritmaları şunlardır: AES 128, AES 192, AES 256 ve Üçlü DES

• Şifreleyici: Sertifika veya asimetrik anahtar

Dikkat

Sertifikayı veya asimetrik anahtarı yedeklemek ve tercihen şifrelemek için kullanılan yedekleme dosyasından farklı bir konuma yedeklemek çok önemlidir. Sertifika veya asimetrik anahtar olmadan yedekleme dosyasını kullanılamaz hale getirerek yedeklemeyi geri yükleyemezsiniz. Kapsanan sistem veritabanında depolanan sertifikalar da yedeklenmelidir.

Şifrelenmiş yedekleme geri yükleniyor: SQL Server geri yükleme işlemi, geri yükleme sırasında herhangi bir şifreleme parametresinin belirtilmesine gerek duymaz. Yedekleme dosyasını şifrelemek için kullanılan sertifikanın veya asimetrik anahtarın geri yüklemekte olduğunuz örnekte kullanılabilir olmasını gerektirir. Geri yüklemeyi gerçekleştiren kullanıcı hesabının sertifika veya anahtar üzerinde izinleri olmalıdır VIEW DEFINITION . Şifrelenmiş yedeklemeyi farklı bir örneğe geri yüklüyorsanız, sertifikanın bu örnekte kullanılabilir olduğundan emin olmanız gerekir.
Şifrelenmiş veritabanını yeni bir konuma geri yükleme sırası:

1. Eski veritabanında BACKUP CERTIFICATE (Transact-SQL) komutu
2. Yeni konum veritabanında CREATE MASTER KEY (Transact-SQL)master
3. CREATE CERTIFICATE (Transact-SQL) yeni sunucudaki bir konuma içeri aktarılan eski veritabanının yedek sertifikasından oluşturulur.
4. Veritabanını yeni bir konuma geri yükleme (SQL Server)

TDE şifreli veritabanından bir yedeklemeyi geri yüklüyorsanız, TDE sertifikası geri yüklemekte olduğunuz örnekte kullanılabilir olmalıdır. Daha fazla bilgi için bkz. TDE korumalı veritabanını başka bir SQL Server'a taşıma.

Fayda -ları

1. Veritabanı yedeklemelerinin şifrelenmesi verilerin güvenliğini sağlamaya yardımcı olur: SQL Server, yedekleme oluştururken yedekleme verilerini şifreleme seçeneği sunar.

2. Şifreleme, TDE kullanılarak şifrelenen veritabanları için de kullanılabilir.

3. Şifreleme, SQL Server yönetilen yedekleme tarafından Microsoft Azure'a yapılan yedeklemelere, uzak yedeklemeler için ek güvenlik sağlayan bir özellik olarak desteklenir.

4. Bu özellik, AES 256 bit'e kadar birden çok şifreleme algoritmasını destekler. Bu, gereksinimlerinize uygun bir algoritma seçme seçeneği sunar.

5. Şifreleme anahtarlarını Genişletilebilir Anahtar Yönetimi (EKM) sağlayıcılarıyla tümleştirebilirsiniz.

Önkoşullar

Yedeklemeyi şifrelemek için önkoşullar şunlardır:

1. Veritabanı için master veritabanı ana anahtarı oluşturma: Veritabanı ana anahtarı (DMK), veritabanında bulunan sertifikaların ve asimetrik anahtarların özel anahtarlarını korumak için kullanılan bir simetrik anahtardır. Daha fazla bilgi için bkz. SQL Server ve Veritabanı Şifreleme Anahtarları (Veritabanı Altyapısı).

2. Yedekleme şifrelemesi için kullanılacak bir sertifika veya asimetrik anahtar oluşturun. Sertifika oluşturma hakkında daha fazla bilgi için bkz. CREATE CERTIFICATE (Transact-SQL). Asimetrik anahtar oluşturma hakkında daha fazla bilgi için bkz. CREATE ASIMETRIK ANAHTAR (Transact-SQL).

   Önemli

   Yalnızca Genişletilebilir Anahtar Yönetimi'nde (EKM) bulunan asimetrik anahtarlar desteklenir.

Sınırlamalar

Şifreleme seçenekleri için geçerli olan kısıtlamalar şunlardır:

• Yedekleme verilerini şifrelemek için asimetrik anahtar kullanıyorsanız, yalnızca EKM sağlayıcısında bulunan asimetrik anahtarlar desteklenir.

• SQL Server Express ve SQL Server Web, yedekleme sırasında şifrelemeyi desteklemez. Ancak şifrelenmiş bir yedeklemeden SQL Server Express veya SQL Server Web örneğine geri yükleme desteklenir.

• SQL Server'ın önceki sürümleri şifrelenmiş yedeklemeleri okuyamıyor.

• Mevcut bir yedekleme kümesi seçeneğine ekleme, şifrelenmiş yedeklemeler için desteklenmez.

Permissions

Şifrelenmiş bir veritabanında yedekleme işlemlerinde bulunan hesap için belirli izinler gerekir.

• Db_backupoperator veritabanı seviyesi rolü, yedeklenen veritabanında bulunur. Bu, şifrelemeden bağımsız olarak gereklidir.

• VIEW DEFINITION veritabanında yer alan sertifika için izin master.

  Aşağıdaki örnek, sertifika için uygun izinleri verir.

  USE [master]
  GO
  GRANT VIEW DEFINITION ON CERTIFICATE::[<SERVER_CERT>] TO [<db_account>]
  GO
  

Uyarı

TDE korumalı veritabanını yedeklemek veya geri yüklemek için TDE sertifikasına erişim gerekmez.

Yedekleme şifreleme yöntemleri

Aşağıdaki bölümlerde, yedekleme sırasında verileri şifreleme adımlarına kısa bir giriş sağlanır. Transact-SQL kullanarak yedeklemenizi şifrelemeye yönelik farklı adımların tam kılavuzu için bkz. Şifrelenmiş Yedekleme Oluşturma.

SQL Server Management Studio'yu kullanma

Aşağıdaki iletişim kutularından herhangi birinde veritabanının yedeğini oluştururken yedeklemeyi şifreleyebilirsiniz:

1. Veritabanını Yedekle (Yedekleme Seçenekleri Sayfası)Yedekleme Seçenekleri sayfasında Şifreleme'yi seçip şifreleme algoritmasını ve şifreleme için kullanılacak sertifikayı veya asimetrik anahtarı belirtebilirsiniz.

2. Bakım Planı Sihirbazı'nı kullanma Bir yedekleme görevi seçtiğinizde, Yedeklemeyi Tanımla () Görev sayfasının Seçenekler sekmesinde Yedekleme Şifrelemesi'ni seçebilir ve şifreleme algoritmasını ve şifreleme için kullanılacak sertifikayı veya anahtarı belirtebilirsiniz.

Transact-SQL kullanma

Yedekleme dosyasını şifrelemek için örnek bir Transact-SQL deyimi aşağıda verilmiştir:

BACKUP DATABASE [MYTestDB]
TO DISK = N'C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Backup\MyTestDB.bak'
WITH
  COMPRESSION,
  ENCRYPTION
   (
   ALGORITHM = AES_256,
   SERVER CERTIFICATE = BackupEncryptCert
   ),
  STATS = 10
GO

Transact-SQL deyimi tam söz dizimi için bkz BACKUP (Transact-SQL).

PowerShell kullanma

Bu örnek şifreleme seçeneklerini oluşturur ve şifrelenmiş yedekleme oluşturmak için cmdlet'inde Backup-SqlDatabase parametre değeri olarak kullanır.

$encryptionOption = New-SqlBackupEncryptionOption -Algorithm Aes256 -EncryptorType ServerCertificate -EncryptorName "BackupCert"

Backup-SqlDatabase -ServerInstance . -Database "<myDatabase>" -BackupFile "<myDatabase>.bak" -CompressionOption On -EncryptionOption $encryptionOption

Önerilen yöntemler

Şifreleme sertifikasının ve anahtarların yedeğini, örneğin yüklü olduğu yerel makinenizden başka bir konuma oluşturun. Olağanüstü durum kurtarma senaryolarını hesaba eklemek için sertifikanın veya anahtarın yedeğini site dışında bir konuma depolamayı göz önünde bulundurun. Yedeklemeyi şifrelemek için kullanılan sertifika olmadan şifrelenmiş yedeklemeyi geri yükleyemezsiniz.

Şifrelenmiş bir yedeklemeyi geri yüklemek için, yedekleme eşleşen parmak iziyle alındığında kullanılan özgün sertifika, geri yüklemekte olduğunuz örnekte kullanılabilir olmalıdır. Bu nedenle sertifikanın süresi dolsa da yenilenmemesi veya herhangi bir şekilde değiştirilmesi gerekmez. Yenileme, sertifikanın güncelleştirilmesiyle parmak izi değişikliğinin tetiklenmesine ve bu nedenle sertifikanın yedekleme dosyası için geçersiz hale getirilmesine neden olabilir. Geri yüklemeyi gerçekleştiren hesabın sertifikada VIEW DEFINITION izinlerine veya yedekleme sırasında şifrelemek için kullanılan asimetrik anahtara sahip olması gerekir.

Kullanılabilirlik Grubu veritabanı yedeklemeleri genellikle tercih edilen yedekleme çoğaltması üzerinde gerçekleştirilir. Yedeklemenin alındığı yer dışında bir çoğaltmada yedeklemeyi geri yüklerseniz, yedekleme için kullanılan özgün sertifikanın geri yüklediğiniz çoğaltmada kullanılabilir olduğundan emin olun.

Veritabanı TDE etkinse, güvenliği artırmak için veritabanını ve yedeklemeyi şifrelemek için farklı sertifikalar veya asimetrik anahtarlar seçin.

İlgili içerik

• Şifrelenmiş Yedekleme Oluşturma
• Azure Key Vault Kullanarak Genişletilebilir Anahtar Yönetimi (SQL Server)
• Yedeklemeye genel bakış (SQL Server)