SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Saydam veri şifrelemesi (TDE), bekleyen verileri şifreleyerek Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'i kötü amaçlı çevrimdışı etkinlik tehdidine karşı korumaya yardımcı olur. Bu özellik bütün bir veritabanı, yedekleri ve işlem günlüğü dosyaları için gerçek zamanlı şifreleme ve şifre çözme işlemlerini gerçekleştirir ve uygulamada değişiklik yapmayı gerektirmez. Varsayılan olarak, TDE yeni dağıtılan tüm Azure SQL Veritabanı için etkinleştirilir ve eski Azure SQL Veritabanı veritabanları için el ile etkinleştirilmelidir. Azure SQL Yönetilen Örneği için, TDE örnek düzeyinde ve yeni oluşturulan veritabanlarında etkinleştirilir. TDE, Azure Synapse Analytics için el ile etkinleştirilmelidir.

Not

Bu makale Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics (dedike SQL havuzları (önceki adıyla SQL DW)) için geçerlidir. Synapse çalışma alanlarındaki ayrılmış SQL havuzları için Saydam Veri Şifrelemesi belgeleri için bkz. Azure Synapse Analytics şifrelemesi.

Tablo adları, nesne adları ve dizin adları gibi müşteri içeriği olarak kabul edilen bazı öğeler Microsoft tarafından destek ve sorun giderme amacıyla günlük dosyalarına aktarılabilir.

TDE, verilerin gerçek zamanlı G/Ç şifrelemesini ve şifre çözmesini sayfa düzeyinde gerçekleştirir. Okunarak belleğe alınan her sayfanın şifresi çözülür ve sayfalar diske yazılmadan önce şifrelenir. TDE, Veritabanı Şifreleme Anahtarı (DEK) adlı bir simetrik anahtar kullanarak veritabanının tamamının depolanmasını şifreler. Veritabanı başlangıcında şifrelenmiş DEK şifresi çözülür ve ardından SQL Server veritabanı altyapısı işlemindeki veritabanı dosyalarının şifresi çözülür ve yeniden şifrelenir. DEK, TDE koruyucusu tarafından korunur. TDE koruyucusu, hizmet tarafından yönetilen bir sertifika (hizmet tarafından yönetilen saydam veri şifrelemesi) veya Azure Key Vault ya da Azure Key Vault Yönetilen HSM'de depolanan bir asimetrik anahtardır (müşteri tarafından yönetilen saydam veri şifrelemesi).

Azure SQL Veritabanı ve Azure Synapse için TDE koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili tüm veritabanları tarafından devralınır. Azure SQL Yönetilen Örneği için TDE koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifrelenmiş veritabanları tarafından devralınır. Sunucu terimi, farklı belirtilmediği sürece bu belgenin tamamında hem sunucuya hem de örneğe başvurur.

Önemli

Yeni oluşturulan tüm SQL veritabanları, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılarak varsayılan olarak şifrelenir. Veritabanı kaynağı şifrelendiğinde, geri yükleme, coğrafi çoğaltma ve veritabanı kopyası aracılığıyla oluşturulan hedef veritabanları varsayılan olarak şifrelenir. Ancak, veritabanı kaynağı şifrelenmediğinde , geri yükleme, coğrafi çoğaltma ve veritabanı kopyası aracılığıyla oluşturulan hedef veritabanları varsayılan olarak şifrelenmez. Mayıs 2017'den önce oluşturulan mevcut SQL veritabanları ve Şubat 2019'den önce oluşturulan mevcut SQL Yönetilen Örneği veritabanları varsayılan olarak şifrelenmez. geri yükleme aracılığıyla oluşturulan SQL Yönetilen Örneği veritabanları, şifreleme durumunu kaynaktan devralır. TDE ile şifrelenmiş veritabanını geri yüklemek için öncelikle gerekli TDE sertifikasının SQL Yönetilen Örneği’ne içeri aktarılması gerekir. Veritabanının şifreleme durumunu öğrenmek için sys.dm_database_encryption_keys DMV'den seçme sorgusu yürütün ve sütunun encryption_state_desc durumunu denetleyin.

Not

TDE, SQL Veritabanı ve SQL Yönetilen Örneği'nde master gibi sistem veritabanlarını şifrelemek için kullanılamaz. Veritabanı, master kullanıcı veritabanlarında TDE işlemleri gerçekleştirmek için gereken nesneleri içerir. Hassas verilerin sistem veritabanlarında depolanmaması önerilir. Özel durum, tempdbHer zaman Microsoft'un sahip olduğu özel bir asimetrik anahtar tarafından şifrelenir. Bu tasarım gereğidir ve geçici nesnelerin korunmasını sağlar.

Hizmet tarafından yönetilen saydam veri şifrelemesi

Azure’da TDE varsayılan ayarı, DEK’nin yerleşik sunucu sertifikasıyla korunmasıdır. Yerleşik sunucu sertifikası her sunucu için benzersizdir ve kullanılan şifreleme algoritması Şifreleme Blok Zinciri (CBC) modunda AES 256'dır. Coğrafi çoğaltma ilişkisine sahip olan veritabanlarında hem birincil hem de coğrafi olarak ikincil veritabanları, birincil veritabanının üst sunucu anahtarıyla korunur. Aynı sunucuya bağlı olan veritabanları aynı yerleşik sertifikayı da paylaşır. Microsoft, bu sertifikaları yılda bir kez iç güvenlik ilkesine uygun olarak otomatik olarak döndürür ve kök anahtar bir Microsoft iç gizli dizi deposu tarafından korunur. Müşteriler, Microsoft Güven Merkezi'nde bulunan bağımsız üçüncü taraf denetim raporlarında SQL Veritabanı ve SQL Yönetilen Örneği iç güvenlik ilkeleriyle uyumluluğu doğrulayabilir.

Microsoft ayrıca coğrafi çoğaltma ve geri yükleme işlemleri için gereken anahtarları sorunsuz bir şekilde taşır ve yönetir.

Müşteri tarafından yönetilen saydam veri şifrelemesi - Kendi Anahtarını Getir

Müşteri tarafından yönetilen TDE, TDE için Kendi Anahtarını Getir (BYOK) desteği olarak da adlandırılır. Bu senaryoda, DEK'yi şifreleyen TDE Koruyucusu müşteri tarafından yönetilen bir asimetrik anahtardır. Bu anahtar, müşteriye ait ve yönetilen bir Azure Key Vault'ta (Azure'ın bulut tabanlı dış anahtar yönetim sistemi) depolanır ve anahtar kasasından asla ayrılmaz. TDE Koruyucusu, anahtar kasası tarafından oluşturulabilir veya şirket içi donanım güvenlik modülü (HSM) cihazından anahtar kasasına aktarılabilir. Alternatif olarak, müşteriler TDE Koruyucusu'nı depolamak ve yönetmek için Azure Yönetilen HSM'yi kullanabilir. SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse'in, DEK'nin şifresini çözmek ve şifrelemek için müşteriye ait anahtar kasasına erişim izni olması gerekir. Sunucunun anahtar kasasına izinleri iptal edilirse veritabanına erişilemez ve tüm veriler şifrelenir.

Azure Key Vault veya Azure Yönetilen HSM tümleştirmesi ile kullanıcılar anahtar döndürmeleri, anahtar kasası izinleri, anahtar yedeklemeleri gibi anahtar yönetimi görevlerini denetleyebiliyor ve Azure Key Vault veya Azure Yönetilen HSM işlevselliğini kullanarak tüm TDE koruyucularında denetimi/raporlamayı etkinleştirebiliyor. Azure Key Vault ve Azure Yönetilen HSM merkezi anahtar yönetimi sağlar, sıkı bir şekilde izlenen HSM'lerden yararlanılır ve güvenlik ilkeleriyle uyumluluğu karşılamaya yardımcı olmak için anahtarlarla verilerin yönetimi arasında görev ayrımı sağlar. Azure SQL Veritabanı ve Azure Synapse için "BYOK" (Kendi Anahtarını Getir) hakkında daha fazla bilgi edinmek isterseniz Müşteri tarafından yönetilen anahtarla Azure SQL saydam veri şifrelemesi kısmına bakın.

Azure Key Vault tümleştirmesi ile TDE kullanmaya başlamak için bkz. PowerShell ve Azure CLI: Azure Key Vault'tan müşteri tarafından yönetilen anahtarla Saydam Veri Şifrelemesini etkinleştirme kılavuzu.

Saydam veri şifreleme korumalı veritabanını taşıma

Azure'da işlemler için veritabanlarının şifresini çözmeniz gerekmez. Kaynak veritabanındaki veya birincil veritabanındaki TDE ayarları hedefte saydam olarak devralınır. Dahil edilen işlemler şunları içerir:

• Coğrafi geri yükleme
• Kendi kendine belirli bir noktaya geri yükleme
• Silinen veritabanını geri yükleme
• Etkin coğrafi çoğaltma
• Veritabanı kopyası oluşturma
• Yedek dosyasının Azure SQL Yönetilen Örneğine geri yüklenmesi

Önemli

Hizmet tarafından yönetilen TDE tarafından şifrelenmiş bir veritabanının el ile COPY-ONLY yedeklenmesi, şifreleme için kullanılan sertifikaya erişilemediğinden Azure SQL Yönetilen Örneği'nde desteklenmez. Bu tür bir veritabanını başka bir SQL Yönetilen Örneği taşımak için nokta zamanı geri yükleme özelliğini kullanın veya müşteri yönetimli anahtara geçin.

TDE korumalı bir veritabanını bir BACPAC dosyasına aktardığınızda, veritabanının dışarı aktarılan içeriği şifrelenmez. Mevcut boş bir veritabanına içeri aktarırsanız şifreleme, TDE'nin bu veritabanında etkinleştirilip etkinleştirilmediğine bağlıdır. İçeri aktarma sırasında yeni bir veritabanı oluşturulursa, Azure SQL Veritabanı veya Azure SQL Yönetilen Örneği için mantıksal sunucunun varsayılan TDE ayarlarını kullanır.

Saydam veri şifrelemeyi yönetme

Azure portal

Azure portalında TDE'yi yönetin.

Azure portalı aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlı olmanız gerekir.

Veritabanı düzeyinde TDE'yi etkinleştirin ve devre dışı bırakın. Veritabanında TDE'yi açmak ve kapatmak için Azure SQL Yönetilen Örneği'nde Transact-SQL (T-SQL) kullanın. Azure SQL Veritabanı ve Azure Synapse için, Azure Yöneticisi veya Katkıda Bulunan hesabıyla oturum açtıktan sonra Azure portalında veritabanı için TDE'yi yönetebilirsiniz. Kullanıcı veritabanınızın altında TDE ayarlarını bulun. Varsayılan olarak, sunucu düzeyinde şifreleme anahtarı kullanılır. Veritabanını içeren sunucu için otomatik olarak bir TDE sertifikası oluşturulur.

TDE koruyucusu olarak bilinen TDE ana anahtarını sunucu veya örnek düzeyinde ayarlarsınız. TDE'yi BYOK desteğiyle kullanmak ve veritabanlarınızı Azure Key Vault veya Azure Yönetilen HSM'den bir anahtarla korumak için sunucunuz veya yönetilen örneğinizin altındaki TDE ayarlarını açın.

Ayrıca, Azure SQL Veritabanı için veritabanı düzeyinde TDE için müşteri tarafından yönetilen bir anahtar da kullanabilirsiniz. Daha fazla bilgi için bkz . Veritabanı düzeyinde müşteri tarafından yönetilen anahtarlarla saydam veri şifrelemesi (TDE).

PowerShell

PowerShell kullanarak TDE'i yönetin.

Not

Bu makalede, Azure ile etkileşim için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Önemli

Az modülü AzureRMdeğiştirir. Gelecekteki tüm geliştirmeler Az.Sql modülü içindir.

PowerShell aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlı olmanız gerekir.

Azure SQL Veritabanı ve Azure Synapse için cmdlet'ler

Azure SQL Veritabanı ve Azure Synapse için aşağıdaki cmdlet'leri kullanın:

Cmdlet	Açıklama
Set-AzSqlDatabaseTransparentDataEncryption	Veritabanı için saydam veri şifrelemesini etkinleştirir veya devre dışı bırakır.
Get-AzSqlDatabaseTransparentDataEncryption	Bir veritabanı için saydam veri şifreleme durumunu alır.
Add-AzSqlServerKeyVaultKey (AzSqlServer anahtarını KeyVault'a ekle)	Bir sunucuya Azure Key Vault anahtarı ekler.
Get-AzSqlServerKeyVaultKey	Bir sunucu için Azure Key Vault anahtarlarını alır
Set-AzSqlServerTransparentDataEncryptionProtector	Bir sunucu için saydam veri şifreleme koruyucusu ayarlar.
Get-AzSqlServerTransparentDataEncryptionProtector	Saydam veri şifreleme koruyucusunu alır
Remove-AzSqlServerKeyVaultKey	Azure Key Vault anahtarını bir sunucudan kaldırır.

Önemli

Azure SQL Yönetilen Örneği için, TDE'yi veritabanı düzeyinde açıp kapatmak amacıyla T-SQL ALTER DATABASE komutunu kullanın. Örnek düzeyinde TDE'yi yönetmek için örnek PowerShell betiğini inceleyin.

Transact-SQL

Transact-SQL kullanarak TDE'i yönetin.

Veritabanında "dbmanager" rolünün yöneticisi veya üyesi olan bir kullanıcı hesabıyla oturum açarak veritabanına bağlanınmaster.

Komut	Açıklama
ALTER DATABASE (Azure SQL Veritabanı)	SET ENCRYPTION ON/OFF bir veritabanını şifreler veya şifresini çözer
sys.dm_database_encryption_keys	Bir veritabanının şifreleme durumu ve ilişkili veritabanı şifreleme anahtarları hakkında bilgi döndürür
sys.dm_pdw_nodes_database_encryption_keys	Her Azure Synapse düğümünün şifreleme durumu ve ilişkili veritabanı şifreleme anahtarları hakkında bilgi döndürür

Transact-SQL kullanarak TDE koruyucusunu Azure Key Vault'tan veya Azure Yönetilen HSM'den bir anahtara geçiremezsiniz. PowerShell'i veya Azure portalını kullanın.

REST API

REST API'yi kullanarak TDE'yi yönetin.

REST API aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlı olmanız gerekir. Azure SQL Veritabanı ve Azure Synapse için aşağıdaki komut kümesini kullanın:

Komut	Açıklama
Sunucu Oluşturma veya Güncelleştirme	Bir sunucuya Microsoft Entra ID'den (eski adıyla Azure Active Directory) bir kimlik ekler. (Azure Key Vault'a erişim vermek için kullanılır)
Sunucu anahtarı oluşturma veya güncelleştirme	Bir sunucuya Azure Key Vault anahtarı ekler.
Sunucu Anahtarını Sil	Azure Key Vault anahtarını bir sunucudan kaldırır.
Sunucu Anahtarlarını Alma	Bir sunucudan belirli bir Azure Key Vault anahtarını alır.
Sunucu Anahtarlarını Sunucuya Göre Listeleme	Bir sunucu için Azure Key Vault anahtarlarını alır.
Şifreleme koruyucusu oluşturma veya güncelleştirme	Bir sunucu için TDE koruyucusu ayarlar.
Şifreleme Koruyucusu Alma	Bir sunucu için TDE koruyucusu alır.
Şifreleme Koruyucularını Sunucuya Göre Listeleme	Bir sunucu için TDE koruyucularını alır.
Saydam Veri Şifrelemesi Yapılandırmasını Oluşturma veya Güncelleştirme	Veritabanı için TDE'yi etkinleştirir veya devre dışı bırakır.
Şeffaf Veri Şifreleme Yapılandırmasını Alma	Bir veritabanı için TDE yapılandırmasını alır.
Saydam Veri Şifrelemesi Yapılandırma Sonuçlarını Listeleme	Veritabanı için şifreleme sonucunu alır.

İlgili içerik

• Azure Key Vault kullanarak Genişletilebilir Anahtar Yönetimi (SQL Server)
• Şeffaf veri şifreleme (TDE)
• Müşteri tarafından yönetilen anahtarla Azure SQL saydam veri şifrelemesi
• PowerShell ve Azure CLI: Azure Key Vault'tan müşteri tarafından yönetilen anahtarla Saydam Veri Şifrelemesini etkinleştirme
• Azure Key Vault'a güvenli erişim