SQL TDE 與 Azure Key Vault 受控 HSM 的跨區域復原

Azure SQL 受控執行個體

Azure Key Vault

解決方案構想

本文說明解決方案概念。 您的雲端架構師可以使用本指南，協助視覺化此架構的一般實作的主要元件。 以本文為起點，設計符合您工作負載具體要求的完善解決方案。

此解決方案描述 Azure SQL 受控實例的安全且復原的部署模式。 它強調如何使用 Azure Key Vault 受控 HSM 來儲存客戶管理的透明數據加密 （TDE） 保護裝置密鑰。

建築

此圖包含兩個主要區段：主要區域和次要區域。 主要區域有一個子區段，其中包含 SQL 受控實例、可用性區域，以及具有網路安全組 （NSG） 的子網。 主要區域有另一個子區段，其中包含具有 NSG 的子網、受控 HSM 主要區域私人端點、另一個私人端點、負載平衡器和受控 HSM 集區。 每個子區段都有一個虛擬網路和資源群組。 mHSM 的私人 DNS 區域也位於主要區域中。 次要區域會復寫主要區域的資源。 標示為管理平面的箭號，從 SQL 受控實例到外部全域資源區段中的流量管理員。 標示跨區域數據復寫點的箭號，從主要區域中的SQL受控實例子區段到次要區域中的相同子區段。 標示跨區域複寫點的箭號，從主要區域中的Managed HSM集區子區段到次要區域中的相同子區段。 在每個區域中，標示為數據平面的箭號會從 SQL 受控實例指向私人端點，然後指向流量管理員。 在每個區域中，標示為管理平面的箭號會從 SQL 受控實例指向流量管理員。 在每個區域中，從流量管理員指向受控 HSM 集區的箭號，表示流量管理員會重新導向至最接近的 mHSM。

下載此架構的 Visio 檔案。

工作流程

下列工作流程對應至上圖：

1. SQL 受控實例已設定次要非已處理區域中的可用性群組，以復寫數據以進行災害復原。

2. 受控 HSM 已設定跨區域集區。 此集區會自動將金鑰數據與許可權複寫至次要非已處理區域中的保存庫。

3. 來自 SQL 受控實例的數據平面流量會流經受控 HSM 的私人端點。

4. 受控 HSM 會使用 Azure 流量管理員，將流量路由傳送至最接近的作保存庫。

5. 如果受控實例需要檢查密鑰的許可權，它會透過 Azure 骨幹網路傳送管理平面要求。

元件

• SQL 受控實例 是平臺即服務 （PaaS） 供應專案，幾乎與最新的 SQL Server Enterprise Edition 資料庫引擎完全相容。 它提供原生虛擬網路實作，可改善安全性，併為現有的SQL Server 客戶提供有益的商務模型。 您可以使用 SQL 受控實例，將內部部署應用程式移轉至雲端，對應用程式和資料庫進行最少的修改。

  SQL 受控實例也提供完整的 PaaS 功能，包括自動修補和版本更新、自動備份和高可用性。 這些功能可大幅降低管理額外負荷和總擁有成本。 在此架構中，SQL 受控實例是使用 TDE 保護裝置密鑰的資料庫。

• 受控 HSM 是完全受控的雲端服務，可提供高可用性、單一租用，以及符合業界標準的規範。 受控 HSM 的設計目的是保護雲端應用程式的密碼編譯密鑰。 它使用聯邦資訊處理標準 140-2 層級 3 驗證的 HSM。 受控 HSM 是 Azure 中數個主要管理解決方案之一。 在此架構中，受控 HSM 會安全地儲存 TDE 保護裝置密鑰，並提供跨區域復原功能。

• Azure 私人端點可作為網路介面，可透過私人IP位址安全地將 PaaS 服務，例如 Azure 記憶體、Azure SQL Database 和 Azure Key Vault 連線至虛擬網路。 這項功能不需要公開因特網，藉由在 Azure 骨幹網路內保留流量來增強安全性。 它也會使用客戶虛擬網路來新增保護。 在此架構中，Azure 私人端點可確保服務之間的流量會流經私人虛擬網路。

• Azure 私人 DNS 提供私人端點的無縫名稱解析，可讓虛擬網路內的資源私下存取 Azure 服務。 它可讓它們使用完整功能變數名稱，而不是公用IP位址，以增強安全性和輔助功能。 建立私人端點時，會自動在連結的私人 DNS 區域中註冊對應的功能變數名稱系統 （DNS） 記錄。 私人 DNS 區域可確保服務流量會保留在 Azure 骨幹網路內。 這種方法可避免公開公用因特網，藉此改善安全性、效能和合規性。 如果發生區域服務中斷，Azure 私人 DNS 會為受控 HSM 提供原生跨區域名稱解析復原功能。 在此架構中，服務會使用 Azure 私人 DNS 透過其專用網位址彼此通訊。

案例詳細資料

在此解決方案中，客戶的目標是符合其任務關鍵系統的嚴格服務等級協定閾值，同時確保列出的服務的完整功能。 為了達成此目標，他們會使用 SQL 受控實例搭配客戶管理的 TDE 保護裝置密鑰。 密鑰會儲存在支援其所選區域的保存庫中，並符合所有合規性和安全性需求。 也會強制執行私人端點存取，以增強保護。

潛在應用情境

• 客戶使用兩個配對或未修復的區域。 主要 SQL 受控實例位於一個區域中，故障轉移群組會設定為將它與次要區域中的 SQL 受控實例連線。

• 客戶會在主要區域中使用受控 HSM 實例，並在次要區域中使用跨區域複本。 啟用跨區域複本時，會建立流量管理員實例。 如果兩個保存庫都在運作中，流量管理員實例會處理流量到本機保存庫的路由，或當一個保存庫無法使用時，該保存庫可運作的保存庫。

• 客戶會使用兩個自定義 DNS 區域來支援每個區域中受控 HSM 實例的私人端點。

• 在使用者資料庫上啟用客戶的 TDE 會使用客戶管理的金鑰模型，並將保護裝置密鑰儲存在受控 HSM 中。

• 客戶會使用此設計來提供可能的最大復原能力。

貢獻者們

本文由 Microsoft 維護。 下列參與者撰寫本文。

主要作者：

• 蘿拉格羅布 |主要雲端解決方案架構師
• Armen Kaleshian |主要雲端解決方案架構師
• Michael Piskorski |資深雲端解決方案架構師

若要查看非公開的 LinkedIn 個人檔案，請登入 LinkedIn。

後續步驟

• 受控產業的受控 HSM 完整指南
• 受控 HSM 的本機角色型訪問控制內建角色
• 在受控 HSM 上啟用多重區域複寫
• 使用私人端點設定受控 HSM
• 受控 HSM 復原概觀
• 受控 HSM 中的主要主權、可用性、效能和延展性
• 保護受控 HSM 的最佳做法
• Key Vault 安全性概觀
• 關於 Key Vault 金鑰
• 產生並傳輸受 HSM 保護的金鑰
• Key Vault 可用性和備援

解決方案構想

本文說明解決方案概念。 您的雲端架構師可以使用本指南，協助視覺化此架構的一般實作的主要元件。 以本文為起點，設計符合您工作負載具體要求的完善解決方案。

此解決方案描述 Azure SQL 受控實例的安全且復原的部署模式。 它強調如何使用 Azure Key Vault 受控 HSM 來儲存客戶管理的透明數據加密 （TDE） 保護裝置密鑰。

建築

此圖包含兩個主要區段：主要區域和次要區域。 主要區域有一個子區段，其中包含 SQL 受控實例、可用性區域，以及具有網路安全組 （NSG） 的子網。 主要區域有另一個子區段，其中包含具有 NSG 的子網、受控 HSM 主要區域私人端點、另一個私人端點、負載平衡器和受控 HSM 集區。 每個子區段都有一個虛擬網路和資源群組。 mHSM 的私人 DNS 區域也位於主要區域中。 次要區域會復寫主要區域的資源。 標示為管理平面的箭號，從 SQL 受控實例到外部全域資源區段中的流量管理員。 標示跨區域數據復寫點的箭號，從主要區域中的SQL受控實例子區段到次要區域中的相同子區段。 標示跨區域複寫點的箭號，從主要區域中的Managed HSM集區子區段到次要區域中的相同子區段。 在每個區域中，標示為數據平面的箭號會從 SQL 受控實例指向私人端點，然後指向流量管理員。 在每個區域中，標示為管理平面的箭號會從 SQL 受控實例指向流量管理員。 在每個區域中，從流量管理員指向受控 HSM 集區的箭號，表示流量管理員會重新導向至最接近的 mHSM。

下載此架構的 Visio 檔案。

工作流程

下列工作流程對應至上圖：

1. SQL 受控實例已設定次要非已處理區域中的可用性群組，以復寫數據以進行災害復原。

2. 受控 HSM 已設定跨區域集區。 此集區會自動將金鑰數據與許可權複寫至次要非已處理區域中的保存庫。

3. 來自 SQL 受控實例的數據平面流量會流經受控 HSM 的私人端點。

4. 受控 HSM 會使用 Azure 流量管理員，將流量路由傳送至最接近的作保存庫。

5. 如果受控實例需要檢查密鑰的許可權，它會透過 Azure 骨幹網路傳送管理平面要求。

元件

• SQL 受控實例 是平臺即服務 （PaaS） 供應專案，幾乎與最新的 SQL Server Enterprise Edition 資料庫引擎完全相容。 它提供原生虛擬網路實作，可改善安全性，併為現有的SQL Server 客戶提供有益的商務模型。 您可以使用 SQL 受控實例，將內部部署應用程式移轉至雲端，對應用程式和資料庫進行最少的修改。

  SQL 受控實例也提供完整的 PaaS 功能，包括自動修補和版本更新、自動備份和高可用性。 這些功能可大幅降低管理額外負荷和總擁有成本。 在此架構中，SQL 受控實例是使用 TDE 保護裝置密鑰的資料庫。

• 受控 HSM 是完全受控的雲端服務，可提供高可用性、單一租用，以及符合業界標準的規範。 受控 HSM 的設計目的是保護雲端應用程式的密碼編譯密鑰。 它使用聯邦資訊處理標準 140-2 層級 3 驗證的 HSM。 受控 HSM 是 Azure 中數個主要管理解決方案之一。 在此架構中，受控 HSM 會安全地儲存 TDE 保護裝置密鑰，並提供跨區域復原功能。

• Azure 私人端點可作為網路介面，可透過私人IP位址安全地將 PaaS 服務，例如 Azure 記憶體、Azure SQL Database 和 Azure Key Vault 連線至虛擬網路。 這項功能不需要公開因特網，藉由在 Azure 骨幹網路內保留流量來增強安全性。 它也會使用客戶虛擬網路來新增保護。 在此架構中，Azure 私人端點可確保服務之間的流量會流經私人虛擬網路。

• Azure 私人 DNS 提供私人端點的無縫名稱解析，可讓虛擬網路內的資源私下存取 Azure 服務。 它可讓它們使用完整功能變數名稱，而不是公用IP位址，以增強安全性和輔助功能。 建立私人端點時，會自動在連結的私人 DNS 區域中註冊對應的功能變數名稱系統 （DNS） 記錄。 私人 DNS 區域可確保服務流量會保留在 Azure 骨幹網路內。 這種方法可避免公開公用因特網，藉此改善安全性、效能和合規性。 如果發生區域服務中斷，Azure 私人 DNS 會為受控 HSM 提供原生跨區域名稱解析復原功能。 在此架構中，服務會使用 Azure 私人 DNS 透過其專用網位址彼此通訊。

案例詳細資料

在此解決方案中，客戶的目標是符合其任務關鍵系統的嚴格服務等級協定閾值，同時確保列出的服務的完整功能。 為了達成此目標，他們會使用 SQL 受控實例搭配客戶管理的 TDE 保護裝置密鑰。 密鑰會儲存在支援其所選區域的保存庫中，並符合所有合規性和安全性需求。 也會強制執行私人端點存取，以增強保護。

潛在應用情境

• 客戶使用兩個配對或未修復的區域。 主要 SQL 受控實例位於一個區域中，故障轉移群組會設定為將它與次要區域中的 SQL 受控實例連線。

• 客戶會在主要區域中使用受控 HSM 實例，並在次要區域中使用跨區域複本。 啟用跨區域複本時，會建立流量管理員實例。 如果兩個保存庫都在運作中，流量管理員實例會處理流量到本機保存庫的路由，或當一個保存庫無法使用時，該保存庫可運作的保存庫。

• 客戶會使用兩個自定義 DNS 區域來支援每個區域中受控 HSM 實例的私人端點。

• 在使用者資料庫上啟用客戶的 TDE 會使用客戶管理的金鑰模型，並將保護裝置密鑰儲存在受控 HSM 中。

• 客戶會使用此設計來提供可能的最大復原能力。

貢獻者們

本文由 Microsoft 維護。 下列參與者撰寫本文。

主要作者：

• 蘿拉格羅布 |主要雲端解決方案架構師
• Armen Kaleshian |主要雲端解決方案架構師
• Michael Piskorski |資深雲端解決方案架構師

若要查看非公開的 LinkedIn 個人檔案，請登入 LinkedIn。

後續步驟

• 受控產業的受控 HSM 完整指南
• 受控 HSM 的本機角色型訪問控制內建角色
• 在受控 HSM 上啟用多重區域複寫
• 使用私人端點設定受控 HSM
• 受控 HSM 復原概觀
• 受控 HSM 中的主要主權、可用性、效能和延展性
• 保護受控 HSM 的最佳做法
• Key Vault 安全性概觀
• 關於 Key Vault 金鑰
• 產生並傳輸受 HSM 保護的金鑰
• Key Vault 可用性和備援