適用於:
SQL Server
適用於 Azure 金鑰保存庫的 SQL Server 連接器可讓 SQL Server 加密使用 Azure 金鑰保存庫服務作為 可延伸金鑰管理 (EKM) 提供者來保護 SQL Server 加密金鑰。
本文說明 SQL Server 連接器。 更多信息可在以下網址獲得:
什麼是可擴展金鑰管理 (EKM) 以及為什麼要使用它?
SQL Server 提供數種類型的加密來協助保護敏感性資料,包括透明資料加密 (TDE)、加密資料行 (CLE) 和備份加密。 在上述所有情況的這個傳統金鑰階層中,資料會使用對稱資料加密金鑰 (DEK) 進行加密。 對稱資料加密金鑰會以儲存在 SQL Server 中的金鑰階層加密,受到更進一步的保護。
替代方案是 EKM 提供者模型,而不是此模型。 使用 EKM 提供者結構可讓 SQL Server 透過儲存在 SQL Server 之外部密碼編譯提供者中的非對稱金鑰,來保護資料加密金鑰。 此模型會多增加一層安全性,並分開管理金鑰和資料。
下圖比較使用 Azure 金鑰保存庫系統的傳統服務管理金鑰階層。
SQL Server 連接器可作為 SQL Server 與 Azure 金鑰保存庫之間的橋接器,因此 SQL Server 可以使用 Azure 金鑰保存庫服務的延展性、高效能和高可用性。 下圖代表金鑰階層結構在具有 Azure Key Vault 和 SQL Server 連接器的 EKM 提供者結構中的運作方式。
Azure Key Vault 可與在 Azure 虛擬機器上安裝的 SQL Server 和內部部署伺服器搭配使用。 金鑰保存庫服務也提供選項,以使用受到緊密控制和監視的硬體安全性模組 (HSM),對非對稱加密金鑰提供更高等級的保護。 如需金鑰保存庫的詳細資訊,請參閱 Azure 金鑰保存庫。
注意
僅支援 Azure 金鑰保存庫和 Azure 金鑰保存庫受控 HSM。 不支援 Azure 雲端 HSM。
下列影像摘要說明使用金鑰保存庫的 EKM 處理流程。 (影像中的程序步驟編號不符合影像後面的設定步驟編號。
注意
生產環境不再支援 1.0.0.440 版及更早版本。 若要升級至 1.0.1.0 版或更新版本,請造訪 Microsoft 下載中心 ,並使用 [升級 SQL Server 連接器] 底下的 [SQL Server 連接器維護與疑難排解 ] 頁面上的指示。
如需下一個步驟,請參閱 使用 Azure 金鑰保存庫設定 SQL Server TDE 可延伸金鑰管理。
如需使用案例,請參閱 搭配使用 SQL Server 連接器與 SQL 加密功能。