Saydam Veri Şifrelemesi keşfedin
Microsoft SQL Server'ın Saydam Veri Şifrelemesi (TDE), hedef veritabanındaki tüm verileri sayfa düzeyinde şifreler. Veriler diskteki veri sayfasına yazıldığında şifrelenir ve belleğe okunduğunda şifresi çözülür ve diskteki tüm veri sayfaları şifrelenir.
TDE verileri tablo veya sütun düzeyinde şifrelemez. Uygun izinlere sahip olan herkes verileri okuyabilir, kopyalayabilir ve paylaşabilir. Bekleyen şifreleme, bir yedeklemenin güvenli olmayan bir sunucuya geri yüklenmesine veya veritabanı ve işlem günlüğü dosyalarının güvenli olmayan başka bir sunucuya kopyalanmasına karşı koruma sağlar. Yedekleme işlemi sırasında şifre çözme işlemi gerçekleşmez.
TDE durgun verileri korur ve çeşitli endüstri yasalarına, düzenlemelere ve yönergelere uyar. Yazılım geliştiricilerin mevcut uygulamaları değiştirmeden AES ve 3DES şifreleme algoritmalarını kullanarak verileri şifrelemesine olanak tanır.
Mayıs 2017'nin ardından Azure SQL Veritabanı'nda oluşturulan veritabanlarında TDE otomatik olarak etkinleştirilmiştir. Mayıs 2017'de oluşturulan veritabanlarında TDE'nin el ile etkinleştirilmesi gerekir. Azure SQL Yönetilen Örneği için TDE, Şubat 2019'den sonra oluşturulan veritabanları için varsayılan olarak etkindir. Şubat 2019'den önce oluşturulan veritabanlarında TDE'nin el ile etkinleştirilmesi gerekir.
Azure SQL Veritabanı'nda TDE'yi etkinleştirmek için veritabanını Azure portalında düzenleyin. Saydam veri şifreleme bölmesinden veri şifrelemeyi etkinleştirmek için öğesini seçin.
Varsayılan olarak, Azure SQL Veritabanı'ndaki veritabanları Microsoft tarafından sağlanan bir sertifika (hizmet tarafından yönetilen anahtar) kullanılarak şifrelenir. Azure, şirketiniz tarafından oluşturulan ve Azure Key Vault'a yüklenen müşteri tarafından yönetilen bir anahtar kullanmanıza olanak sağlayan Kendi Anahtarını Getir (BYOK) seçeneğini de sunar. Müşteri tarafından yönetilen anahtar Azure'dan kaldırılırsa, veritabanı bağlantıları kapatılır ve veritabanına erişim reddedilir.
Yalnızca birkaç T-SQL komutu gerektiğinden, TDE'nin bir Microsoft SQL Server veritabanında etkinleştirilmesi kolay bir işlemdir. Bu işlem aşağıdaki adımları içerir:
- komutunu kullanarak
CREATE MASTER KEY ENCRYPTIONana veritabanında bir ana anahtar ayarlayın. - komutunu kullanarak
CREATE CERTIFICATEana veritabanında bir sertifika oluşturun. - komutunu kullanarak
CREATE DATABASE ENCRYPTION KEYveritabanında bir veritabanı şifreleme anahtarı oluşturun. - komutunu kullanarak
ALTER DATABASEşifreleme anahtarını etkinleştirin.
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<your-pwd>';
GO
CREATE CERTIFICATE MyServerCert
WITH SUBJECT = 'TDEDemo_Certificate';
GO
USE [TDE_Demo];
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO
ALTER DATABASE TDE_Demo SET ENCRYPTION ON;
GO
TDE etkinleştirildikten sonra, her sayfanın okunması, şifrelenmesi ve diske geri yazılması gerektiğinden veritabanını şifrelemek zaman alır. Veritabanı ne kadar büyük olursa, bu işlem o kadar uzun sürer. Bu arka plan işlemi, sistemin G/Ç veya CPU'sunun aşırı yüklenmesini önlemek için düşük öncelikli çalışır.
TDE tarafından kullanılan sertifika el ile yedeklenmeli ve güvenli bir şekilde depolanmalıdır. SQL Server, şifreleme anahtarlarını yönetmek için Azure Key Vault gibi Enterprise Key Managers (EKM) ile tümleşir. Sertifikanın yönetilmesi çok önemlidir çünkü sertifika kaybolursa ve veritabanının yedekten geri yüklenmesi gerekiyorsa, veritabanı okunamadığından geri yükleme başarısız olur.
Not
TDE'yi Always On Kullanılabilirlik Grubundaki veritabanlarıyla kullanmak için, veritabanını şifrelemek için kullanılan sertifikanın yedeklenmesi ve veritabanının kopyalarını barındıracak Kullanılabilirlik Grubu içindeki diğer sunuculara geri yüklenmesi gerekir.
Müşteri tarafından yönetilen anahtarlar
BYOK'yi alternatif olarak kullanabilir ve Azure anahtar kasasından yararlanabilirsiniz. Müşteri tarafından yönetilen anahtarları kullanmanın avantajları şunlardır:
- TDE koruyucusunun kullanımı ve yönetimi üzerinde tam ve ayrıntılı denetim
- TDE koruyucusu kullanımının saydamlığı
- Kuruluş içindeki anahtar ve verilerin yönetiminde görev ayrımını uygulama becerisi
- Anahtar kasası yöneticisi, şifrelenmiş veritabanına erişilemez hale getirmek için anahtar erişim izinlerini iptal edebilir
- AKV'de anahtarların merkezi yönetimi
- AKV, Microsoft'un şifreleme anahtarlarını göremeyecek veya ayıklayamaz şekilde tasarlandığı için son müşterilerinizden daha fazla güven
TDE için müşteri tarafından yönetilen anahtarlarla kullanıcı tarafından atanan yönetilen kimlik (UMI) kullanma avantajından da yararlanabilirsiniz. Bu anahtarlar:
- Kullanıcı tarafından atanan yönetilen bir kimlik oluşturarak ve sunucu veya veritabanı oluşturulmadan önce bile anahtar kasasına erişim vererek Azure SQL mantıksal sunucuları için anahtar kasası erişimini önceden yetkilendirme olanağı sağlar.
- TDE ve CMK etkin bir Azure SQL mantıksal sunucusu oluşturulmasına izin verir.
- Aynı kullanıcı tarafından atanan yönetilen kimliğin birden fazla sunucuya atanmasını sağlayarak, her Azure SQL mantıksal sunucusu için sistem tarafından atanan yönetilen kimliği ayrı ayrı etkinleştirme ve anahtar kasaya erişim sağlama gereğini ortadan kaldırır.
- Kullanılabilir bir yerleşik Azure ilkesiyle sunucu oluşturma zamanında CMK'yi zorunlu kılma özelliği sağlar.
Otomatik anahtar döndürme , TDE kullanılarak müşteri tarafından yönetilen anahtarlar için sunulur. Etkinleştirildiğinde sunucu, TDE koruyucusu olarak kullanılan anahtarın yeni sürümleri için anahtar kasasını sürekli olarak denetler. Anahtarın yeni bir sürümü algılanırsa, sunucudaki TDE koruyucusu 60 dakika içinde otomatik olarak en son anahtar sürümüne döndürülür.
Azure disk şifrelemesi
Bu SQL Server güvenlik özelliklerine ek olarak Azure VM'leri, verilerin korunmasına ve korunmasına ve kuruluş ve uyumluluk taahhütlerini karşılamaya yardımcı olan ek bir güvenlik katmanı Azure Disk Şifrelemesi içerir. TDE kullanıyorsanız verileriniz Azure Disk Şifrelemesi ile birden çok şifreleme katmanıyla korunur.