Поділитися через

Керувати ключем шифрування

  • Стаття

Усі середовища Microsoft Dataverse використовують Прозоре шифрування даних (TDE) SQL Server для шифрування в режимі реального часу даних під час запису на диск, що також відоме як шифрування в стані спокою.

За замовчуванням Microsoft зберігає ключ шифрування бази даних для ваших середовищ і керує ним, тому вам не доведеться робити це самим. Функція керування ключами в Центрі адміністрування Microsoft Power Platform дає адміністраторам можливість самостійно керувати ключем шифрування бази даних, який пов’язано з клієнтом Dataverse.

Важливо

  • З 2 червня 2023 року цю послугу оновлено до керованого клієнтом ключа шифрування. Нові клієнти, яким потрібно керувати власним ключем шифрування, користуватимуться оновленою послугою, оскільки ця послуга більше не пропонується.
  • Самостійне керування ключами шифрування бази даних доступне тільки для клієнтів, які мають в одному клієнті більше 1000 ліцензій Power Apps для користувача, більше 1000 ліцензій Dynamics 365 Enterprise або більше 1000 ліцензій сукупно з цих двох категорій. Для участі у цій програмі створіть запит на підтримку.

Керування ключами шифрування застосовується лише до баз даних середовища SQL Azure. Перелічені нижче функції та служби продовжують використовувати керований корпорацією Майкрософт ключ шифрування для шифрування своїх даних, і їх не можна зашифрувати за допомогою самокерованого ключа шифрування.

  • Другі пілоти та генеративні функції штучного інтелекту в Microsoft Power Platform та Microsoft Dynamics 365
  • Пошук у Dataverse
  • Еластичні столи
  • Mobile Offline
  • Журнал справ (портал Microsoft 365)
  • Exchange (синхронізація на сервері)

Нотатка

  • Перш ніж ви зможете використовувати цю функцію, необхідно, щоб корпорація Microsoft увімкнула для вашого клієнта ключ шифрування бази даних для самообслуговування.
  • Щоб скористатися функціями керування шифруванням даних для середовища, необхідно створити середовище після ввімкнення корпорацією Майкрософт функції самостійного керування ключем шифрування бази даних.
  • Після ввімкнення цієї функції в клієнті всі нові середовища створюються лише в сховищі Azure SQL. Ці середовища, незалежно від того, чи зашифровано вони за допомогою ключа «Принесіть свій власний ключ» (BYOK) або ключа, керованого Microsoft, мають обмеження щодо розміру файлів, не можуть використовувати служби Cosmos і Datalake, а Dataverse індекси пошуку шифруються ключем, керованим Microsoft. Щоб скористатися цими службами, потрібно перейти на ключ, керований клієнтом.
  • Файли та зображення розміром менше 128 МБ можна використовувати, якщо ваше середовище має версію 9.2.21052.00103 або вище.
  • Більшість наявних середовищ містять файл і журнал, збережені в сторонніх базах даних (не в Azure SQL). Ці середовища не можна ввімкнути для використання ключа шифрування для самостійного керування. Лише нові середовища (після реєстрації в цій програмі) можна ввімкнути за допомогою ключа шифрування для самостійного керування.

Вступ до керування ключами

За допомогою керування ключами адміністратори можуть надавати свої власні ключі шифрування або використовувати згенеровані для них ключі шифрування, які використовуються для захисту бази даних для середовища.

Функція керування ключами підтримує файли ключа шифрування PFX і BYOK, наприклад ті, що зберігаються в модулі безпеки устаткування (HSM). Для використання опції завантаження ключа шифрування потрібні обидва ключі шифрування: загальний і приватний.

Функція керування ключами спрощує керування ключами шифрування за допомогою сховища ключів ,Azure щоб надійно зберігати їх. Сховище ключів Azure допомагає захистити криптографічні ключі і таємниці, що використовуються хмарними програмами та послугами. Функція керування ключами не вимагає передплати Сховища ключів Azure і для більшості випадків немає необхідності відкривати ключі шифрування, що використовуються для Dataverse в межах сховища.

Функція керування ключами дає змогу виконувати вказані нижче завдання.

  • Увімкніть можливість самостійно керувати ключами шифрування бази даних, пов'язаними з середовищами.

  • Генеруйте нові ключі шифрування або завантажте існуючих файли ключа шифрування .PFX або .BYOK.

  • Блокування та розблокування середовищ клієнта.

    Попередження

    Коли клієнт заблоковано, не всі середовища в клієнті доступні для всіх користувачів. Додаткові відомості: Блокування клієнта.

Ви повинні розуміти потенційні ризики, коли ви керуєте ключами

Як і в будь-яких ключових для бізнесу додатках, той персонал у вашій організації, який має доступ на рівні адміністраторів, має користуватися довірою. Перед використанням функції керування ключами, ви повинні розуміти ризик такого керування ключами шифрування бази даних. Зрозуміло, що зловмисний адміністратор (людина, якій надається або яка отримала доступ адміністратора з наміром завдати шкоди безпеці організації або бізнес-процесів), який працює у вашій організації, може використовувати функцію керування ключами, щоб створити ключ і використовувати його для блокування всіх середовищ у клієнті.

Розглянемо подану нижче послідовність подій.

Зловмисний адміністратор здійснює вхід у центр адміністрування Power Platform, переходить на вкладку Середовища та вибирає Керувати ключами шифрування. Після цього зловмисний адміністратор створює новий ключ із паролем, завантажує цей ключ шифрування на локальний диск і активує новий ключ. Тепер усі бази даних середовища зашифровані за допомогою нового ключа. Далі зловмисний адміністратор блокує клієнт за допомогою нещодавно завантаженого ключа, а потім забирає або видаляє завантажений ключ шифрування.

Ці дії призведуть до вимкнення доступу в Інтернет для всіх середовищ у межах клієнта. Усі резервні копії баз даних втратять можливість відновлення.

Важливо

Щоб зловмисний адміністратор не перервав роботу бізнес-операцій шляхом блокування бази даних, функція керованих ключів не дає змогу заблокувати середовища клієнта упродовж 72 годин після зміни або активації ключа шифрування в базі даних. Це дає змогу іншим адміністраторам впродовж 72 годин скинути будь-які несанкціоновані зміни ключів.

Вимоги до ключів шифрування

Якщо ви надаєте власний ключ шифрування, ваш ключ має відповідати цим вимогам, які приймаються Сховищем ключів Azure.

  • Формат файлу ключа шифрування має бути PFX або BYOK.
  • 2048-бітний RSA.
  • Тип ключа RSA-HSM (потрібен запит до служби підтримки Microsoft).
  • Файли ключів шифрування PFX повинні бути захищені паролем.

Для отримання додаткової інформації про генерування і передачу захищеного HSM ключа через Інтернет див. Як генерувати і передавати захищені HSM ключі до сховища ключів Azure. Підтримується лише ключ nCipher постачальника HSM. Перед створенням ключа HSM перейдіть до центру адміністрування Power Platform і відкрийте там вікно Керування ключами шифрування/Створення нового ключа, щоб отримати ідентифікатор передплати для регіону вашого середовища. Цей ідентифікатор передплати потрібно скопіювати та вставити в HSM, щоб створити ключ. Це гарантуватиме, що ваш файл може відкрити лише сховище ключів Azure.

Завдання керування ключами

Щоб спростити завдання керування ключами, завдання розбиваються на три області.

  1. Створення або передавання ключа шифрування для клієнта
  2. Активація ключа шифрування для клієнта
  3. Керування шифруванням для середовища

Адміністратори можуть використовувати центр адміністрування Power Platform або командлети модуля адміністрування Power Platform для виконання завдань керування для захисту ключа клієнта, описаних тут.

Створення або передавання ключа шифрування для клієнта

Усі ключі шифрування зберігаються у сховищі ключів Azure, і в будь-який момент активним може бути лише один ключ. Оскільки активний ключ використовується для шифрування всіх середовищ в клієнті, керування шифруванням використовується на рівні клієнта. Після активації ключа кожне окреме середовище можна вибрати для використання ключа для шифрування.

За допомогою поданої нижче процедури вперше встановіть функцію керування для середовища або змініть (або згорніть) ключ шифрування для клієнта, що вже є самокерованим.

Попередження

Якщо ви виконаєте описані тут кроки в перший раз, ви активуєте самостійне керування ключами шифрування. Додаткові відомості: Ви повинні розуміти потенційні ризики, коли ви керуєте ключами.

  1. Виконайте вхід до центру адміністрування Power Platform як адміністратор (адміністратор Dynamics 365, глобальний адміністратор або адміністратор Microsoft Power Platform).

  2. Виберіть вкладку Середовища, а потім на панелі інструментів виберіть пункт Керувати ключами шифрування.

  3. Натисніть кнопку Підтвердити, щоб погодитися з ризиком у разі керування ключами.

  4. На панелі інструментів натисніть кнопку Створити ключ.

  5. В області зліва додайте відомості, щоб створити або завантажити ключ.

    • Виберіть Регіон. Цей параметр відображається лише в тому разі, якщо ваш клієнт має кілька регіонів.
    • Введіть Ім’я ключа.
    • Виберіть потрібні варіанти з наведених нижче.

  6. Виберіть Далі.

Створення нового ключа (.pfx)

  1. Введіть пароль, а потім повторно введіть пароль для підтвердження.
  2. Натисніть кнопку Створити, а потім виберіть сповіщення про створений файл у браузері.
  3. Файл ключа шифрування .PFX завантажується в папку завантажень веб-браузера за замовчуванням. Збережіть файл у безпечному розташуванні (рекомендовано зробити резервну копію ключа та його пароля).

Передавання ключа (.pfx або .byok)

  1. Виберіть елемент Передати ключ, виберіть файл .pfx або .byok1, а потім натисніть кнопку Відкрити.
  2. Введіть пароль для ключа, а потім натисніть кнопку Створити.

1 Для файлів BYOK ключа шифрування упевніться, що ви використовуєте ідентифікатор передплати (як показано на екрані) під час експортування ключа шифрування з локального HSM. Додаткові відомості: Як створити та передати захищені HSM ключі для сховища ключів Azure.

Нотатка

Щоб зменшити кількість кроків адміністратора для керування обробки ключів, ключ активується автоматично під час завантаження в перший раз. Усі подальші завантаження ключів потребують додаткового кроку для активації ключа.

Активація ключа шифрування для клієнта

Після створення або передавання ключа шифрування для клієнта його можна активувати.

  1. Виконайте вхід до центру адміністрування Power Platform як адміністратор (адміністратор Dynamics 365, глобальний адміністратор або адміністратор Microsoft Power Platform).
  2. Виберіть вкладку Середовища, а потім на панелі інструментів виберіть пункт Керувати ключами шифрування.
  3. Натисніть кнопку Підтвердити, щоб погодитися з ризиком у разі керування ключами.
  4. Виберіть ключ із станом Доступно, а потім натисніть кнопку Активувати ключ на панелі інструментів.
  5. Виберіть Підтвердити , щоб підтвердити зміну ключа.

Для активації ключа для клієнта службі керування ключами потрібен деякий час. Коли новий або переданий ключ активується, статус Стан ключа відображає його як Інсталюється. Після активації ключа відбувається наступне.

  • Усі зашифровані середовища автоматично стають зашифрованими за допомогою активного ключа (під час виконання цієї дії немає простоїв).
  • Після активації ключ шифрування буде застосовано до всіх середовищ, ключ яких змінено з того, що надається Microsoft, на самостійний ключ шифрування.

Важливо

Щоб упорядкувати процес керування ключами таким чином, щоб усіма середовищами керував той самий ключ, активний ключ не можна оновити за наявності заблокованих середовищ. Усі заблоковані середовища мають бути розблоковані, перш ніж можна буде активувати новий ключ. Якщо наявні заблоковані середовища, які не потрібно розблоковувати, їх потрібно видалити.

Нотатка

Після активації ключа шифрування не можна активувати інший ключ протягом 24 годин.

Керування шифруванням для середовища

За замовчуванням кожне середовище зашифровано за допомогою ключа шифрування, наданого корпорацією Майкрософт. Після активації ключа шифрування для клієнта адміністратори можуть змінити шифрування за замовчуванням для використання активованого ключа шифрування. Щоб використовувати активований ключ, виконайте описані нижче дії.

Застосування ключа шифрування до середовища

  1. Увійдіть у Центр адміністрування Power Platform з використанням облікових даних ролі адміністратора середовища або системного адміністратора.
  2. Перейдіть на вкладку Середовища.
  3. Відкрийте зашифроване середовище, надане корпорацією Майкрософт.
  4. Виберіть Переглянути все.
  5. У розділі Шифрування середовища виберіть елемент Керування.
  6. Натисніть кнопку Підтвердити, щоб погодитися з ризиком у разі керування ключами.
  7. Натисніть кнопку Застосувати цей ключ, щоб прийняти зміну шифрування для використання активованого ключа.
  8. Натисніть кнопку Підтвердити, щоб погодитися з тим, що ви керуєте ключем безпосередньо, а також, що для цієї дії існує час простою.

Повернення керованого ключа шифрування до ключа шифрування, який надається Microsoft

Повернення до ключа шифрування, який надається корпорацією Microsoft, знов налаштовує середовище на поведінку за замовчуванням, при якій Microsoft керує ключем шифрування для вас.

  1. Увійдіть у Центр адміністрування Power Platform з використанням облікових даних ролі адміністратора середовища або системного адміністратора.
  2. Перейдіть на вкладку Середовища, а потім виберіть середовище, зашифроване за допомогою самостійного ключа шифрування.
  3. Виберіть Переглянути все.
  4. У розділі Шифрування середовища виберіть елемент Керування, а потім натисніть кнопку Підтвердити.
  5. У розділі Повернутися до стандартного керування ключами шифрування натисніть кнопку Повернутися.
  6. Для виробничих середовищ підтвердьте середовище шляхом введення імені середовища.
  7. Натисніть кнопку Підтвердити, щоб повернутися до стандартного керування ключами шифрування.

Блокування клієнта

Оскільки існує лише один активний ключ для кожного клієнта, блокування шифрування для клієнта вимикає всі середовища, наявні в клієнті. Усі заблоковані середовища залишаються недоступними для всіх, у тому числі Microsoft, доки адміністратор служби Power Platform у вашій організації не розблокує їх за допомогою ключа, який був використаний для блокування.

Увага!

Ніколи не слід блокувати середовища клієнта в рамках нормального бізнес-процесу. Якщо ви блокуєте клієнт Dataverse, усі середовища повністю будуть переведені в автономний режим, і доступ до них не зможе отримати ніхто, навіть Microsoft. Крім того, такі послуги як синхронізація та обслуговування припиняються. Якщо ви вирішите вийти зі служби, блокування клієнта може забезпечити те, що доступ до ваших онлайн-даних ніколи більше не зможе отримати жодний користувач.
Зверніть увагу на інформацію щодо блокування середовищ клієнта.

  • Заблоковані середовища не можна відновити з резервної копії.
  • Заблоковані середовища видаляються, якщо їх не розблокувати через 28 днів.
  • Не можна заблокувати середовище протягом 72 годин після змінення ключа шифрування.
  • Блокування клієнта блокує всі активні середовища в межах клієнта.

Важливо

  • Перш ніж розблокувати активні середовища, слід зачекати щонайменше одну годину після блокування.
  • Після того, як почнеться процес блокування, буде видалено всі ключі шифрування зі станом «Активний» або «Доступний». Процес блокування може тривати до години, і протягом цього часу розблокування заблокованих середовищ заборонено.
  1. Виконайте вхід до центру адміністрування Power Platform як адміністратор (адміністратор Dynamics 365, глобальний адміністратор або адміністратор Microsoft Power Platform).
  2. Виберіть вкладку Середовища, а потім на панелі команд виберіть Керувати ключами шифрування.
  3. Виберіть ключ Активний, а потім виберіть Заблокувати активні середовища.
  4. В області праворуч виберіть Передати активний ключ, знайдіть і виберіть ключ, введіть пароль, а потім натисніть кнопку Заблокувати.
  5. Коли відобразиться запит, введіть текст, який відображається на екрані, щоб підтвердити, що потрібно блокувати всі середовища в регіоні, а потім натисніть кнопку Підтвердити.

Розблокування заблокованих середовищ

Щоб розблокувати середовища, необхідно спочатку завантажити, а потім активувати ключ шифрування для клієнта за допомогою того самого ключа, який використовувався для блокування клієнта. Зверніть увагу, що заблоковані середовища не розблоковуються автоматично після того, як ключ було активовано. Кожне заблоковане середовище має бути розблоковано окремо.

Важливо

  • Перш ніж розблокувати активні середовища, слід зачекати щонайменше одну годину після блокування.
  • Процес розблокування може тривати до години. Після розблокування ключа можна використовувати його для керування шифруванням для середовища.
  • Не можна створити новий або передати наявний ключ, доки не буде розблоковано всі заблоковані середовища.
Розблокування ключа шифрування
  1. Виконайте вхід до центру адміністрування Power Platform як адміністратор (адміністратор Dynamics 365, глобальний адміністратор або адміністратор Microsoft Power Platform).
  2. Виберіть вкладку Середовища, а потім виберіть Керувати ключами шифрування.
  3. Виберіть ключ із станом Заблоковано, а потім на панелі команд виберіть Розблокувати ключ.
  4. Виберіть елемент Передати заблокований ключ, знайдіть і виберіть ключ, використаний для блокування клієнта, введіть пароль, а потім натисніть кнопку Розблокувати. Ключ перейде в стан Інсталяція. Потрібно зачекати, доки ключ перейде в стан Активний, перш ніж розблокувати заблоковані середовища.
  5. Щоб розблокувати середовище, див. наступний розділ.
Розблокування середовищ

  1. Виберіть вкладку Середовища та виберіть ім’я заблокованого середовища.

    Порада

    Не виділяйте рядок. Виберіть ім’я середовища. Відкрийте середовище для перегляду налаштувань.

  2. У розділі Відомості виберіть елемент Переглянути все, щоб відобразити область Відомості.

  3. У розділі Шифрування середовища на панелі Відомості виберіть елемент Керувати.

    Навколишнє середовище-подробиці-панель.

  4. На сторінці Шифрування середовища виберіть елемент Розблокувати.

    Розблокуйте навколишнє середовище.

  5. Натисніть кнопку Підтвердити, щоб підтвердити, що ви хочете розблокувати середовище.

  6. Повторіть попередні кроки, щоб розблокувати інші середовища.

Операції шифрування бази даних

У користувацькому клієнті можуть бути середовища, зашифровані за допомогою ключа, яким керує Microsoft, і середовища, зашифровані за допомогою ключа, яким керує клієнт. Для підтримки цілісності даних і їх захисту доступні наведені нижче елементи керування доступні під час керування операціями з базами даних у середовищі.

  1. Відновити Середовище для перезапису (середовище, в яке необхідно відновити) обмежено тим самим середовищем, з якого було зроблено резервну копію, або в інше середовище, зашифроване за допомогою того самого ключа, яким керує клієнт.

    Відновіть резервну копію.

  2. Копіювати Середовище для перезаписування (середовище, в яке потрібно скопіювати) обмежено іншим середовищем, зашифрованим за допомогою того самого ключа, яким керує клієнт.

    Середовище копіювання.

    Нотатка

    Якщо середовище «Дослідження підтримки» було створено для вирішення проблеми з підтримкою в середовищі, яким керує клієнт, ключ шифрування для середовища «Дослідження підтримки» необхідно змінити на ключ, яким керує клієнт, перш ніж можна буде виконати операцію копіювання середовища.

  3. Скинути Зашифровані дані в середовищі буде видалено включно з резервними копіями. Після скидання середовища шифрування середовища повернеться до використання ключа, яким керує Microsoft.

Див. також

SQL Server: Прозоре шифрування даних (TDE)