Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
SQL Server, bir sunucu veritabanında depolanan verilerin, kimlik bilgilerinin ve bağlantı bilgilerinin güvenliğini sağlamaya yardımcı olmak için şifreleme anahtarlarını kullanır. SQL Server'ın iki tür anahtarı vardır: simetrik ve asimetrik. Simetrik anahtarlar verileri şifrelemek ve şifresini çözmek için aynı parolayı kullanır. Asimetrik anahtarlar verileri şifrelemek için bir parola ( ortak anahtar olarak adlandırılır) ve verilerin şifresini çözmek için ( özel anahtar olarak adlandırılır) başka bir parola kullanır.
SQL Server'da şifreleme anahtarları, hassas verileri korumak için kullanılan genel, özel ve simetrik anahtarların bir bileşimini içerir. Simetrik anahtar, SQL Server örneğini ilk kez başlattığınızda SQL Server başlatması sırasında oluşturulur. Anahtar, SQL Server tarafından SQL Server'da depolanan hassas verileri şifrelemek için kullanılır. Ortak ve özel anahtarlar işletim sistemi tarafından oluşturulur ve simetrik anahtarı korumak için kullanılır. Bir veritabanında hassas verileri depolayan her SQL Server örneği için bir ortak ve özel anahtar çifti oluşturulur.
SQL Server ve Veritabanı Anahtarları için uygulamalar
SQL Server'da anahtarlar için iki birincil uygulama vardır: SQL Server örneğinde ve üzerinde oluşturulan bir hizmet ana anahtarı (SMK) ve veritabanı için kullanılan veritabanı ana anahtarı (DMK).
Hizmet ana anahtarı
Hizmet Ana Anahtarı, SQL Server şifreleme hiyerarşisinin köküdür. SMK, SQL Server örneği ilk başlatıldığında otomatik olarak oluşturulur ve her veritabanında bağlı sunucu parolasını, kimlik bilgilerini ve veritabanı ana anahtarını şifrelemek için kullanılır. SMK, Windows Veri Koruma API'si (DPAPI) kullanılarak yerel makine anahtarı kullanılarak şifrelenir. DPAPI, SQL Server hizmet hesabının Windows kimlik bilgilerinden ve bilgisayarın kimlik bilgilerinden türetilen bir anahtar kullanır. Hizmet ana anahtarının şifresi yalnızca oluşturulduğu hizmet hesabı veya makinenin kimlik bilgilerine erişimi olan bir sorumlu tarafından çözülebilir.
Hizmet Ana Anahtarı yalnızca oluşturulduğu Windows hizmet hesabı veya hizmet hesabı adına ve parolasına erişimi olan bir sorumlu tarafından açılabilir.
SQL Server, hizmet ana anahtarını (SMK) ve veritabanı ana anahtarını (DMK) korumak için AES şifreleme algoritmasını kullanır. AES, önceki sürümlerde kullanılan 3DES'ten daha yeni bir şifreleme algoritmasıdır. Veritabanı Altyapısı örneğini SQL Server'a yükselttikten sonra, ana anahtarları AES'ye yükseltmek için SMK ve DMK yeniden oluşturulmalıdır. SMK'yi yeniden oluşturma hakkında daha fazla bilgi için bkz. ALTER SERVICE MASTER KEY (Transact-SQL) ve ALTER MASTER KEY (Transact-SQL).
Veritabanı ana anahtarı
Veritabanı ana anahtarı, veritabanında bulunan sertifikaların ve asimetrik anahtarların özel anahtarlarını korumak için kullanılan bir simetrik anahtardır. Verileri şifrelemek için de kullanılabilir, ancak veriler için asimetrik anahtar kullanmaktan daha az pratik hale getiren uzunluk sınırlamaları vardır. Veritabanı ana anahtarının otomatik şifre çözmesini etkinleştirmek için anahtarın bir kopyası SMK kullanılarak şifrelenir. Hem kullanıldığı veritabanında hem de ana sistem veritabanında depolanır.
Ana sistem veritabanında depolanan DMK kopyası, DMK her değiştirildiğinde sessizce güncelleştirilir. Ancak bu varsayılan değer, ALTER MASTER KEY deyiminin DROP ENCRYPTION BY SERVICE MASTER KEY seçeneği kullanılarak değiştirilebilir. Hizmet ana anahtarı tarafından şifrelenmemiş bir DMK , OPEN MASTER KEY deyimi ve parola kullanılarak açılmalıdır.
SQL Server ve Veritabanı Anahtarlarını Yönetme
Şifreleme anahtarlarını yönetmek, yeni veritabanı anahtarları oluşturmak, sunucu ve veritabanı anahtarlarının yedeğini oluşturmak ve anahtarların ne zaman ve nasıl geri yükleneceği, silineceği veya değiştireceğini bilmektir.
Simetrik anahtarları yönetmek için SQL Server'da bulunan araçları kullanarak aşağıdakileri yapabilirsiniz:
Sunucu yüklemesini kurtarmak için veya planlı geçişin bir parçası olarak kullanabilmek için sunucu ve veritabanı anahtarlarının bir kopyasını yedekleyin.
Daha önce kaydedilmiş bir anahtarı veritabanına geri yükleyin. Bu, yeni bir sunucu örneğinin başlangıçta şifrelemediği mevcut verilere erişmesini sağlar.
Şifrelenmiş verilere artık erişememe olasılığınız düşük bir durumda veritabanındaki şifrelenmiş verileri silin.
Anahtarları yeniden oluşturun ve anahtarın gizliliğinin ihlal edilmiş olma olasılığı düşük olduğunda verileri yeniden şifreleyin. En iyi güvenlik uygulaması olarak, sunucuyu anahtarları çözmeye çalışan saldırılara karşı korumak için anahtarları düzenli aralıklarla (örneğin, birkaç ayda bir) yeniden oluşturmanız gerekir.
Birden çok sunucunun hem tek bir veritabanını hem de bu veritabanı için geri döndürülebilir şifreleme sağlayan anahtarı paylaştığı bir sunucu ölçeği genişletme dağıtımına sunucu örneği ekleyin veya kaldırın.
Önemli Güvenlik Bilgileri
Hizmet ana anahtarı tarafından güvenliği sağlanan nesnelere erişmek için anahtarı oluşturmak için kullanılan SQL Server Hizmeti hesabı veya bilgisayar (makine) hesabı gerekir. Başka bir ifadeyle, anahtarın oluşturulduğu sisteme bağlı olan bilgisayar hesabıdır. Anahtara erişimi kaybetmeden SQL Server Hizmet hesabını veya bilgisayar hesabını değiştirebilirsiniz. Ancak her ikisini de değiştirirseniz hizmet ana anahtarına erişimi kaybedersiniz. Bu iki öğeden biri olmadan hizmet ana anahtarına erişimi kaybederseniz, özgün anahtarı kullanarak şifrelenen verilerin ve nesnelerin şifresini çözemezsiniz.
Hizmet ana anahtarıyla güvenliği sağlanan bağlantılar hizmet ana anahtarı olmadan geri yüklenemez.
Veritabanı ana anahtarıyla güvenliği sağlanan nesnelere ve verilere erişim, yalnızca anahtarın güvenliğini sağlamaya yardımcı olmak için kullanılan parolayı gerektirir.
Dikkat
Daha önce açıklanan anahtarlara tüm erişimi kaybederseniz, bu anahtarlar tarafından güvenliği sağlanan nesnelere, bağlantılara ve verilere erişimi kaybedersiniz. Burada gösterilen bağlantılarda açıklandığı gibi hizmet ana anahtarını geri yükleyebilir veya erişimi kurtarmak için özgün şifreleme sistemine geri dönebilirsiniz. Erişimi kurtarmak için "arka kapı" yoktur.
Bu Bölümde
Genişletilebilir Anahtar Yönetimi (EKM)
SQL Server ile üçüncü taraf anahtar yönetim sistemlerinin nasıl kullanılacağını açıklar.
İlgili Görevler
Hizmet Ana Anahtarını Yedekleme
Hizmet Ana Anahtarını Geri Yükleme
Veritabanı Ana Anahtarı Oluşturma
Veritabanı Ana Anahtarını Yedekleme
Veritabanı Ana Anahtarını Geri Yükleme
İki Sunucuda Aynı Simetrik Anahtarlar Oluşturma
EKM Kullanarak SQL Server'da TDE'yi Etkinleştirme
Azure Key Vault Kullanarak Genişletilebilir Anahtar Yönetimi (SQL Server)
İlgili İçerik
CREATE MASTER KEY (Transact-SQL)
ALTER SERVICE MASTER KEY (Transact-SQL)
Veritabanı Ana Anahtarını Geri Yükleme
Ayrıca Bkz.
Reporting Services Şifreleme Anahtarlarını Yedekleme ve Geri Yükleme
Şifreleme Anahtarlarını Silme ve Yeniden Oluşturma (SSRS Configuration Manager)
Scale-Out Dağıtımı için Şifreleme Anahtarları Ekleme ve Kaldırma (SSRS Configuration Manager)
Saydam Veri Şifrelemesi (TDE)