Quản lý các khóa mật mã hóa

Tất cả môi trường của Microsoft Dataverse đều sử dụng chế độ Mã hóa dữ liệu minh bạch (TDE) của SQL Server để thực hiện mã hóa dữ liệu trong thời gian thực khi ghi vào đĩa, còn được gọi là mã hóa cuối cùng.

Theo mặc định, Microsoft lưu trữ và quản lý khóa mã hóa cơ sở dữ liệu cho môi trường của bạn để bạn không phải làm việc này. Tính năng quản lý khóa trong Trung tâm quản trị Microsoft Power Platform cấp cho quản trị viên khả năng tự quản lý khóa mã hóa cơ sở dữ liệu được liên kết với đối tượng thuê Dataverse.

Quan trọng

  • Tính đến ngày 2 tháng 6 năm 2023, dịch vụ này được nâng cấp lên Khóa mã hóa do khách hàng quản lý. Những khách hàng mới cần quản lý khóa mã hóa của riêng mình sẽ sử dụng dịch vụ nâng cấp vì dịch vụ này không còn được cung cấp nữa.
  • Khóa mật mã hóa cơ sở dữ liệu tự quản lý chỉ khả dụng cho những khách hàng có hơn 1000 giấy phép Power Apps trên mỗi người dùng hoặc hơn 1.000 giấy phép Dynamics 365 Enterprise, hoặc hơn 1.000 giấy phép kết hợp cả hai trong một đối tượng thuê. Để chọn tham gia chương trình này, hãy gửi yêu cầu hỗ trợ.

Quản lý khóa mật mã hóa chỉ áp dụng cho cơ sở dữ liệu môi trường Azure SQL. Các tính năng và dịch vụ sau đây tiếp tục sử dụng khóa mã hóa do Microsoft quản lý để mã hóa dữ liệu của họ và không thể được mã hóa bằng khóa mã hóa tự quản lý:

  • Các tính năng đồng lái và AI tạo ra trong Microsoft Power Platform và Microsoft Dynamics 365
  • Tìm kiếm Dataverse
  • Bàn đàn hồi
  • Mobile Offline
  • Nhật ký hoạt động (cổng thông tin Microsoft 365)
  • Exchange (đồng bộ phía máy chủ)

Lưu ý

  • Tính năng khóa mã hóa cơ sở dữ liệu tự quản lý phải được Microsoft bên thuê của bạn bật trước khi bạn có thể sử dụng tính năng này.
  • Để sử dụng các tính năng quản lý mã hóa dữ liệu cho một môi trường, môi trường đó phải được tạo sau khi tính năng tự quản lý khóa mã hóa cơ sở dữ liệu được bật bởi Microsoft.
  • Sau khi tính năng này được bật trong đối tượng thuê của bạn, tất cả các môi trường mới chỉ được tạo bằng bộ lưu trữ Azure SQL. Các môi trường này, bất kể được mã hóa bằng khóa tự mang theo (BYOK) hay khóa do Microsoftquản lý, đều có những hạn chế về kích thước tệp tải lên, không thể sử dụng các dịch vụ Cosmos và Datalake và Dataverse chỉ mục tìm kiếm được mã hóa bằng khóa do Microsoftquản lý. Để sử dụng các dịch vụ này, bạn phải di chuyển sang khóa do khách hàng quản lý.
  • Có thể sử dụng các tệpHình ảnh có kích thước nhỏ hơn 128 MB nếu môi trường của bạn là phiên bản 9.2.21052.00103 trở lên.
  • Phần lớn các môi trường hiện có có tệp và nhật ký được lưu trữ trong cơ sở dữ liệu SQL không phải Azure. Các môi trường này không thể được chọn để có tính năng khóa mật mã hóa tự quản lý. Chỉ các môi trường mới (sau khi bạn đã đăng ký chương trình này) mới có thể được bật bằng khóa mật mã hóa tự quản lý.

Giới thiệu về quản lý khóa

Với tính năng quản lý khóa, quản trị viên có thể cung cấp khóa mật mã hóa của riêng họ hoặc tạo khóa mật mã hóa cho họ được dùng để bảo vệ cơ sở dữ liệu cho một môi trường.

Tính năng quản lý khóa hỗ trợ cả tệp khóa mật mã hóa PFX và BYOK, chẳng hạn như các tệp được lưu trữ trong mô đun bảo mật phần cứng (HSM). Để sử dụng tùy chọn tải lên khóa mật mã hóa, bạn cần cả khóa mật mã hóa riêng tư và công cộng.

Tính năng quản lý khóa giúp việc quản lý khóa mật mã hóa trở nên đơn giản bằng cách sử dụng Azure Key Vault để lưu trữ an toàn các khóa mật mã hóa. Azure Key Vault giúp bảo vệ các khóa mật mã hóa và thông tin bí mật mà các ứng dụng và dịch vụ đám mây sử dụng. Tính năng quản lý khóa không yêu cầu bạn phải có gói đăng ký Azure Key Vault và trong hầu hết các trường hợp, bạn không cần phải truy nhập khóa mã hóa dùng cho Dataverse trong vault.

Tính năng quản lý khóa cho phép bạn thực hiện các nhiệm vụ sau.

  • Cho phép khả năng tự quản lý khóa mật mã hóa cơ sở dữ liệu được liên kết với các môi trường.

  • Tạo khóa mật mã hóa mới hoặc tải lên tệp khóa mật mã hóa .PFX hoặc .BYOK hiện có.

  • Khóa và mở khóa môi trường của đối tượng thuê.

    Cảnh báo

    Trong khi đối tượng thuê bị khóa, bất kỳ ai cũng không thể truy cập vào tất cả các môi trường trong đối tượng thuê. Thông tin thêm: Khóa đối tượng thuê.

Hiểu được rủi ro tiềm tàng khi bạn quản lý khóa của mình

Như với bất kỳ ứng dụng quan trọng nào khác trong công việc, những nhân viên trong tổ chức bạn có quyền truy cập cấp độ quản trị viên phải là người đáng tin cậy. Trước khi bạn sử dụng tính năng quản lý khóa, bạn phải hiểu được rủi ro khi quản lý khóa mật mã hóa cơ sở dữ liệu của mình. Mọi người đều hiểu rằng một quản trị viên không đáng tin (người được cấp quyền hoặc có quyền truy cập cấp độ quản trị viên với ý định gây hại cho tính bảo mật hoặc quy trình kinh doanh của tổ chức) làm việc trong tổ chức bạn có thể sử dụng tính năng quản lý khóa để tạo một khóa và sử dụng khóa đó để khóa tất cả các môi trường trong đối tượng thuê.

Cân nhắc trình tự các sự kiện sau.

Quản trị viên vấn đề độc hại đăng nhập vào Trung tâm quản trị Power Platform, chuyển đến tab Môi trường và chọn Quản lý khóa mã hóa. Sau đó, quản trị viên độc hại tạo một khóa mới bằng mật khẩu và tải xuống khóa mật mã hóa vào ổ đĩa cục bộ của họ và kích hoạt khóa mới. Hiện tại, tất cả các cơ sở dữ liệu môi trường đều được mã hóa bằng khóa mới. Tiếp theo, quản trị viên độc hại sẽ khóa đối tượng thuê bằng khóa mới tải xuống, sau đó lấy hoặc xóa khóa mật mã hóa đã tải xuống.

Những hành động này sẽ dẫn đến việc vô hiệu hóa tất cả các môi trường trong đối tượng thuê khỏi truy cập trực tuyến và làm cho tất cả các bản sao lưu cơ sở dữ liệu không thể phục hồi.

Quan trọng

Để ngăn quản trị viên độc hại làm gián đoạn hoạt động kinh doanh bằng cách khóa cơ sở dữ liệu, tính năng khóa được quản lý không cho phép khóa môi trường của đối tượng thuê trong vòng 72 giờ sau khi khóa mật mã hóa đã thay đổi hoặc kích hoạt. Điều này cung cấp cho các quản trị viên khác tối đa 72 giờ để mở lại bất kỳ thay đổi khóa nào trái phép.

Yêu cầu về khóa mật mã hóa

Nếu bạn cung cấp khóa mật mã hóa của riêng mình, khóa của bạn phải đáp ứng các điều kiện sau được Azure Key Vault chấp nhận.

  • Định dạng tệp khóa mật mã hóa phải là PFX hoặc BYOK.
  • RSA 2048 bit.
  • Loại khóa RSA-HSM (yêu cầu hỗ trợ). Microsoft
  • Tệp khóa mật mã hóa PFX phải được bảo vệ bằng mật khẩu.

Để biết thêm thông tin về cách tạo và truyền khóa được bảo vệ HSM qua Internet, hãy xem Cách tạo và truyền khóa được bảo vệ HSM cho Azure Key Vault. Chỉ hỗ trợ khóa nCipher Vendor HSM. Trước khi tạo khóa HSM của bạn, hãy chuyển đến cửa sổ trung tâm quản trị Power Platform Quản lý khóa mã hóa/Tạo khóa mới để lấy ID đăng ký cho khu vực môi trường của bạn. Bạn cần sao chép và dán ID đăng ký này vào HSM của mình để tạo khóa. Điều này sẽ đảm bảo rằng chỉ Azure Key Vault của chúng tôi mới có thể mở tệp của bạn.

Nhiệm vụ quản lý khóa

Để đơn giản hóa các tác vụ quản lý chính, các tác vụ được chia thành ba khu vực:

  1. Tạo hoặc tải lên khóa mã hóa cho người thuê
  2. Kích hoạt khóa mã hóa cho người thuê
  3. Quản lý mã hóa cho một môi trường

Quản trị viên có thể sử dụng trung tâm quản trị Power Platform hoặc lệnh ghép ngắn mô-đun quản trị Power Platform để thực hiện các nhiệm vụ quản lý khóa được mô tả dưới đây.

Tạo hoặc tải lên khóa mật mã hóa cho đối tượng thuê

Tất cả các khóa mật mã hóa được lưu trữ trong Azure Key Vault và chỉ có thể có một khóa hoạt động bất cứ lúc nào. Vì khóa hoạt động được sử dụng để mã hóa tất cả các môi trường trong đối tượng thuê, nên việc quản lý quá trình mã hóa được vận hành ở cấp độ đối tượng thuê. Khi khóa được kích hoạt, mỗi môi trường riêng lẻ có thể được chọn để sử dụng khóa cho quá trình mã hóa.

Sử dụng quy trình sau để đặt tính năng quản lý khóa phiên bản lần đầu tiên cho một môi trường hoặc thay đổi (hoặc chuyển sang) khóa mật mã hóa cho đối tượng thuê đã tự quản lý.

Cảnh báo

Khi thực hiện các bước được mô tả ở đây lần đầu tiên, bạn sẽ chọn tự quản lý các khóa mật mã hóa của mình. Thông tin thêm: Hiểu được rủi ro tiềm tàng khi bạn quản lý khóa của mình.

  1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (quản trị viên Dynamics 365 hoặc Microsoft Power Platform quản trị viên).

  2. Chọn tab Môi trường rồi trên thanh công cụ, hãy chọn Quản lý khóa mật mã hóa.

  3. Chọn Xác nhận để xác nhận rủi ro quản lý khóa.

  4. Trên thanh công cụ, chọn Khóa mới.

  5. Trên khung bên trái, hãy hoàn tất các chi tiết để tạo hoặc tải lên một khóa:

    • Chọn một Khu vực. Tùy chọn này chỉ hiển thị nếu đối tượng thuê của bạn có nhiều khu vực.
    • Nhập Tên khóa.
    • Chọn từ các tùy chọn sau:
  6. Chọn Tiếp theo.

Tạo khóa mới (.pfx)

  1. Nhập mật khẩu, sau đó nhập lại mật khẩu để xác nhận.
  2. Chọn Tạo và sau đó chọn thông báo tệp đã tạo trên trình duyệt của bạn.
  3. Tệp .PFX của khóa mật mã hóa được tải xuống thư mục tải xuống mặc định của trình duyệt web của bạn. Lưu tệp ở một vị trí an toàn (bạn nên sao lưu khóa này cùng với mật khẩu của nó).

Tải lên khóa (.pfx hoặc .byok)

  1. Chọn Tải lên khóa, chọn tệp .pfx hoặc .byok1 rồi chọn Mở.
  2. Nhập mật khẩu cho khóa rồi chọn Tạo.

1 Đối với các tệp khóa mật mã hóa .byok, hãy đảm bảo bạn sử dụng ID đăng ký hiển thị trên màn hình khi bạn xuất khóa mật mã hóa từ HSM cục bộ. Thông tin thêm: Cách tạo và truyền khóa được bảo vệ HSM cho Azure Key Vault.

Lưu ý

Để giảm số bước quản lý quy trình khóa cho quản trị viên, khóa được tự động kích hoạt khi được tải lên lần đầu tiên. Tất cả các lần tải khóa lên về sau chỉ yêu cầu một bước bổ sung để kích hoạt khóa.

Kích hoạt khóa mật mã hóa cho đối tượng thuê

Khi một khóa mật mã hóa được tạo hoặc tải lên cho đối tượng thuê, khóa đó có thể được kích hoạt.

  1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (quản trị viên Dynamics 365 hoặc Microsoft Power Platform quản trị viên).
  2. Chọn tab Môi trường rồi trên thanh công cụ, hãy chọn Quản lý khóa mật mã hóa.
  3. Chọn Xác nhận để xác nhận rủi ro quản lý khóa.
  4. Chọn một khóa có trạng thái Sẵn có rồi chọn Kích hoạt khóa trên thanh công cụ.
  5. Chọn Xác nhận để xác nhận thay đổi khóa.

Khi bạn kích hoạt khóa cho đối tượng thuê, phải mất một lúc để dịch vụ quản lý khóa kích hoạt khóa. Trạng thái của Trạng thái chính hiển thị khóa là Đang cài đặt khi khóa mới hoặc tải lên được kích hoạt. Khi khóa được kích hoạt, điều sau đây sẽ xảy ra:

  • Tất cả các môi trường được mã hóa sẽ tự động được mã hóa bằng khóa hoạt động (không có tình trạng ngừng hoạt động với hành động này).
  • Khi được kích hoạt, khóa mã hóa sẽ được áp dụng cho tất cả các môi trường được thay đổi từ Microsoft-do khóa mã hóa cung cấp sang khóa mã hóa tự quản lý.

Quan trọng

Để hợp lý hóa quy trình quản lý khóa sao cho tất cả các môi trường được quản lý bởi cùng một khóa, khóa hoạt động không thể được cập nhật khi có môi trường bị khóa. Tất cả các môi trường bị khóa phải được mở khóa trước khi khóa mới có thể được kích hoạt. Nếu có các môi trường bị khóa không cần phải mở khóa, chúng phải bị xóa.

Lưu ý

Sau khi khóa mã hóa được kích hoạt, bạn không thể kích hoạt khóa khác trong 24 giờ.

Quản lý quá trình mã hóa cho môi trường

Theo mặc định, mỗi môi trường được mã hóa bằng khóa mã hóa do Microsoft cung cấp. Khi khóa mật mã hóa được kích hoạt cho đối tượng thuê, quản trị viên có thể chọn thay đổi mã hóa mặc định để sử dụng khóa mật mã hóa được kích hoạt. Để sử dụng khóa đã kích hoạt, hãy làm theo các bước sau.

Áp dụng khóa mật mã hóa cho môi trường

  1. Đăng nhập vào trung tâm quản trị Power Platform, sử dụng thông tin xác thực vai trò Quản trị viên môi trường hoặc Quản trị viên hệ thống.
  2. Chọn tab Môi trường.
  3. Mở một môi trường được mã hóa do Microsoft cung cấp.
  4. Chọn Xem tất cả.
  5. Trong phần Mã hóa môi trường, hãy chọn Quản lý.
  6. Chọn Xác nhận để xác nhận rủi ro quản lý khóa.
  7. Chọn Áp dụng khóa này để chấp nhận thay đổi mã hóa nếu muốn sử dụng khóa kích hoạt.
  8. Chọn Xác nhận để xác nhận rằng bạn đang quản lý khóa trực tiếp và không có tình trạng ngừng hoạt động cho hành động này.

Trả lại khóa mã hóa được quản lý cho Microsoft-khóa mã hóa được cung cấp

Quay lại khóa mã hóa do Microsoft cung cấp sẽ cấu hình lại môi trường về hành vi mặc định trong đó Microsoft quản lý khóa mã hóa cho bạn.

  1. Đăng nhập vào trung tâm quản trị Power Platform, sử dụng thông tin xác thực vai trò Quản trị viên môi trường hoặc Quản trị viên hệ thống.
  2. Chọn tab Môi trường rồi chọn một môi trường được mã hóa bằng khóa tự quản lý.
  3. Chọn Xem tất cả.
  4. Trong phần Mã hóa môi trường, hãy chọn Quản lý rồi chọn Xác nhận.
  5. Trong phần Quay lại chế độ quản lý khóa mật mã hóa tiêu chuẩn, hãy chọn Quay lại .
  6. Đối với môi trường sản xuất, hãy xác nhận môi trường bằng cách nhập tên của môi trường.
  7. Chọn Xác nhận để quay lại chế độ quản lý khóa mật mã hóa tiêu chuẩn.

Khóa đối tượng thuê

Do chỉ có một khóa hoạt động cho mỗi đối tượng thuê, nên việc mã hóa cho đối tượng thuê sẽ vô hiệu hóa tất cả các môi trường trong đối tượng thuê. Tất cả các môi trường bị khóa đều không thể truy cập được đối với tất cả mọi người, bao gồm Microsoft, cho đến khi Power Platform người quản trị trong tổ chức của bạn mở khóa bằng khóa đã dùng để khóa.

Thận trọng

Bạn không bao giờ nên khóa môi trường đối tượng thuê trong quy trình làm việc bình thường. Khi bạn khóa Dataverse người thuê, tất cả các môi trường sẽ hoàn toàn ngoại tuyến và không ai có thể truy cập vào chúng, bao gồm Microsoft. Ngoài ra, tất cả các dịch vụ như đồng bộ hóa và bảo trì đều dừng. Nếu bạn quyết định rời khỏi dịch vụ, việc khóa đối tượng thuê có thể đảm bảo rằng dữ liệu trực tuyến của bạn sẽ không bao giờ được bất kỳ ai truy cập lại.
Lưu ý những điều sau đây về việc khóa môi trường của đối tượng thuê:

  • Không thể khôi phục môi trường bị khóa từ bản sao lưu.
  • Môi trường bị khóa sẽ bị xóa nếu không được mở khóa sau 28 ngày.
  • Bạn không thể khóa môi trường trong 72 giờ sau khi thay đổi khóa mã hóa.
  • Việc khóa đối tượng thuê sẽ khóa tất cả các môi trường hoạt động trong đối tượng thuê.

Quan trọng

  • Bạn phải đợi ít nhất một giờ sau khi khóa môi trường hoạt động trước khi có thể mở khóa chúng.
  • Khi quá trình khóa bắt đầu, tất cả các khóa mật mã hóa ở trạng thái Hoạt động hoặc Sẵn có sẽ bị xóa. Quá trình khóa có thể mất tới một giờ và trong thời gian này, việc mở khóa môi trường bị khóa không được phép.
  1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (quản trị viên Dynamics 365 hoặc Microsoft Power Platform quản trị viên).
  2. Chọn tab Môi trường rồi trên thanh lệnh, hãy chọn Quản lý khóa mật mã hóa.
  3. Chọn khóa Hoạt động rồi chọn Khóa môi trường hoạt động.
  4. Trên khung bên phải, hãy chọn Tải lên khóa hoạt động, duyệt đến và chọn khóa, nhập mật khẩu, sau đó chọn Khóa.
  5. Khi được nhắc, hãy nhập văn bản được hiển thị trên màn hình của bạn để xác nhận rằng bạn muốn khóa tất cả các môi trường trong khu vực, sau đó chọn Xác nhận.

Mở khóa môi trường bị khóa

Để mở khóa môi trường, trước tiên bạn phải tải lên và sau đó kích hoạt khóa mật mã hóa đối tượng thuê có cùng khóa được sử dụng để khóa đối tượng thuê. Xin lưu ý rằng môi trường bị khóa không được mở khóa tự động sau khi khóa được kích hoạt. Mỗi môi trường bị khóa phải được mở khóa riêng.

Quan trọng

  • Bạn phải đợi ít nhất một giờ sau khi khóa môi trường hoạt động trước khi có thể mở khóa chúng.
  • Quá trình mở khóa có thể mất đến một giờ. Khi khóa được mở khóa, bạn có thể sử dụng khóa để Quản lý quá trình mã hóa cho môi trường.
  • Bạn không thể tạo mới hoặc tải lên khóa hiện tại cho đến khi tất cả các môi trường bị khóa được mở khóa.
Mở khóa khóa mật mã hóa
  1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (quản trị viên Dynamics 365 hoặc Microsoft Power Platform quản trị viên).
  2. Chọn tab Môi trường rồi chọn Quản lý khóa mật mã hóa.
  3. Chọn một khóa có trạng thái Đã khóa rồi chọn Mở khóa trên thanh lệnh.
  4. Chọn Tải lên khóa bị khóa, duyệt đến và chọn khóa được dùng để khóa đối tượng thuê, nhập mật khẩu, sau đó chọn Mở khóa. Khóa sẽ ở trạng thái Đang cài đặt. Bạn phải đợi cho đến khi khóa ở trạng thái Hoạt động trước khi bạn có thể mở khóa môi trường bị khóa.
  5. Để mở khóa một môi trường, hãy xem phần tiếp theo.
Mở khóa môi trường
  1. Chọn tab Môi trường và sau đó chọn tên môi trường bị khóa.

    Tiền bo

    Không chọn hàng. Chọn tên môi trường. Mở môi trường để xem cài đặt.

  2. Trong phần Chi tiết, hãy chọn Xem tất cả để hiển thị khung Chi tiết ở bên phải.

  3. Trong phần mã hóa Môi trường trên khung Chi tiết, hãy chọn Quản lý.

    Ngăn chi tiết môi trường.

  4. Trong trang Mã hóa môi trường, hãy chọn Mở khóa.

    Mở khóa môi trường.

  5. Chọn Xác nhận để xác nhận rằng bạn muốn mở khóa môi trường.

  6. Lặp lại các bước trước để mở khóa môi trường bổ sung.

Hoạt động cơ sở dữ liệu môi trường

Người thuê là khách hàng có thể có các môi trường được mã hóa bằng Microsoft khóa được quản lý và các môi trường được mã hóa bằng khóa được khách hàng quản lý. Để duy trì tính toàn vẹn dữ liệu và bảo vệ dữ liệu, các điều khiển sau có sẵn khi quản lý các hoạt động cơ sở dữ liệu môi trường.

  1. Khôi phục Môi trường cần ghi đè (môi trường được khôi phục) bị giới hạn trong cùng môi trường mà bản sao lưu được thực hiện hoặc trong một môi trường khác được mã hóa bằng cùng khóa do khách hàng quản lý.

    Khôi phục bản sao lưu.

  2. Sao chép Môi trường ghi đè (môi trường được sao chép vào) bị giới hạn ở một môi trường khác được mã hóa bằng cùng khóa do khách hàng quản lý.

    Sao chép môi trường.

    Lưu ý

    Nếu môi trường Hỗ trợ điều tra được tạo để giải quyết vấn đề hỗ trợ trong môi trường do khách hàng quản lý, khóa mã hóa cho môi trường Hỗ trợ điều tra phải được đổi thành khóa do khách hàng quản lý trước khi có thể thực hiện thao tác Sao chép môi trường.

  3. Đặt lại Dữ liệu được mã hóa của môi trường sẽ bị xóa bao gồm cả bản sao lưu. Sau khi môi trường được thiết lập lại, mã hóa môi trường sẽ hoàn nguyên trở lại khóa được quản lý. Microsoft

Xem thêm

SQL Server: Mã hóa dữ liệu trong suốt (TDE)