Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwaltete Azure SQL-Instanz
Azure Key Vault
Lösungsmöglichkeiten
In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.
Diese Lösung beschreibt ein sicheres und robustes Bereitstellungsmuster für azure SQL Managed Instance. Es hebt hervor, wie Azure Key Vault Managed HSM verwendet wird, um die kundengesteuerten transparenten Datenverschlüsselungsschlüssel (TDE) zu speichern.
Architektur
Laden Sie eine Visio-Datei dieser Architektur herunter.
Arbeitsablauf
Der folgende Workflow entspricht dem vorherigen Diagramm:
Die SQL Managed Instance ist mit Verfügbarkeitsgruppen in der sekundären Region konfiguriert, um die Daten zur Notfallwiederherstellung zu replizieren.
Verwaltetes HSM ist mit einem regionsübergreifenden Pool konfiguriert. Dieser Pool repliziert automatisch das Schlüsselmaterial und die Berechtigungen in das Schlüsselarchiv in der sekundären nicht gepaarten Region.
Der Datenverkehr der Datenträgerschicht von SQL Managed Instance fließt über den privaten Endpunkt von Managed HSM.
Verwaltetes HSM verwendet Azure Traffic Manager, um den Datenverkehr an den nächstgelegenen Betriebstresor weiterzuleiten.
Wenn die verwaltete Instanz Berechtigungen für einen Schlüssel überprüfen muss, sendet sie eine Verwaltungsebenenanforderung über das Azure-Backbone-Netzwerk.
Komponenten
Sql Managed Instance ist ein PaaS-Angebot (Platform-as-a-Service), das fast vollständig mit dem neuesten SQL Server Enterprise Edition-Datenbankmodul kompatibel ist. Sie bietet eine systemeigene Implementierung eines virtuellen Netzwerks, die die Sicherheit verbessert und ein vorteilhaftes Geschäftsmodell für vorhandene SQL Server-Kunden bietet. Sie können sql Managed Instance verwenden, um Ihre lokalen Anwendungen mit minimalen Änderungen an Anwendungen und Datenbanken in die Cloud zu migrieren.
Sql Managed Instance bietet auch umfassende PaaS-Funktionen, einschließlich automatischer Patching- und Versionsupdates, automatisierter Sicherungen und hoher Verfügbarkeit. Diese Features reduzieren den Verwaltungsaufwand und die Gesamtbetriebskosten erheblich. In dieser Architektur ist sql Managed Instance die Datenbank, die die TDE-Schutzschlüssel verwendet.
Verwaltetes HSM ist ein vollständig verwalteter Clouddienst, der hohe Verfügbarkeit, Einzelmandantschaft und Compliance mit Branchenstandards bereitstellt. Verwaltetes HSM wurde entwickelt, um kryptografische Schlüssel für Cloudanwendungen zu schützen. Es verwendet HSMs, die den Federal Information Processing Standards (FIPS) 140-2 Level 3 entsprechen und validiert sind. Verwaltetes HSM ist eine der wichtigsten Verwaltungslösungen in Azure. In dieser Architektur speichert managed HSM die TDE-Schutzschlüssel sicher und bietet regionsübergreifende Resilienz.
Ein privater Azure-Endpunkt dient als Netzwerkschnittstelle, die PaaS-Dienste sicher verbindet, z. B. Azure Storage, Azure SQL-Datenbank und Azure Key Vault über eine private IP-Adresse mit einem virtuellen Netzwerk. Dieses Feature beseitigt die Notwendigkeit einer öffentlichen Internetexposition, wodurch die Sicherheit verbessert wird, indem der Datenverkehr im Azure-Backbone-Netzwerk beibehalten wird. Außerdem wird das virtuelle Kundennetzwerk für zusätzlichen Schutz verwendet. In dieser Architektur stellt ein privater Azure-Endpunkt sicher, dass der Datenverkehr zwischen Diensten über ein privates virtuelles Netzwerk fließt.
Azure Private DNS bietet eine nahtlose Namensauflösung für private Endpunkte, wodurch Ressourcen in einem virtuellen Netzwerk privat auf Azure-Dienste zugreifen können. Sie ermöglicht es ihnen, vollqualifizierte Domänennamen anstelle von öffentlichen IP-Adressen zu verwenden, wodurch Sicherheit und Barrierefreiheit verbessert werden. Wenn ein privater Endpunkt erstellt wird, wird automatisch ein entsprechender DNS-Eintrag (Domain Name System) in der verknüpften privaten DNS-Zone registriert. Eine private DNS-Zone stellt sicher, dass der Datenverkehr an den Dienst innerhalb des Azure-Backbone-Netzwerks verbleibt. Durch diesen Ansatz wird die Sicherheit, Leistung und Compliance verbessert, indem eine Gefährdung durch das öffentliche Internet vermieden wird. Wenn ein regionaler Dienstausfall auftritt, bietet Azure Private DNS systemeigene regionsübergreifende Namensauflösungsresilienz für verwaltetes HSM. In dieser Architektur verwenden Dienste Azure Private DNS, um über ihre privaten Netzwerkadressen miteinander zu kommunizieren.
Szenariodetails
In dieser Lösung zielt ein Kunde darauf ab, strenge SLO-Schwellenwerte (Service Level Objective) für sein unternehmenskritisches System zu erfüllen und gleichzeitig die volle Funktionalität der aufgeführten Dienste sicherzustellen. Um dieses Ziel zu erreichen, verwenden sie SQL Managed Instance mit einem vom Kunden verwalteten TDE-Schutzschlüssel. Der Schlüssel wird in einem Tresor gespeichert, der seine ausgewählten Regionen unterstützt und alle Compliance- und Sicherheitsanforderungen erfüllt. Der Zugriff auf private Endpunkte wird auch für den erweiterten Schutz erzwungen.
Potenzielle Anwendungsfälle
Ein Kunde verwendet zwei gekoppelte oder nicht gekoppelte Regionen. Die primäre verwaltete SQL-Instanz befindet sich in einer Region, und Failovergruppen werden so konfiguriert, dass sie mit der SQL Managed Instance in der sekundären Region verbunden werden.
Ein Kunde verwendet eine verwaltete HSM-Instanz in einer primären Region mit einem regionsübergreifenden Replikat in einer sekundären Region. Wenn ein regionsübergreifendes Replikat aktiviert ist, wird eine Traffic Manager-Instanz erstellt. Die Traffic Manager-Instanz verarbeitet das Routing des Datenverkehrs entweder an den lokalen Tresor, wenn beide Tresore betriebsbereit sind, oder an den betriebsbereiten Tresor, wenn einer der Tresore nicht verfügbar ist.
Ein Kunde verwendet zwei benutzerdefinierte DNS-Zonen, um einen privaten Endpunkt für eine verwaltete HSM-Instanz in jeder Region zu unterstützen.
Eine vom Kunden aktivierte TDE für Benutzerdatenbanken verwendet ein vom Kunden verwaltetes Schlüsselmodell und speichert einen Schutzschlüssel in verwaltetem HSM.
Ein Kunde verwendet dieses Design, um die maximale Resilienz zu gewährleisten.
Beitragende
Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.
Hauptautoren:
- Laura Grob | Principal Cloud Solution Architect
- Armen Kaleshian | Principal Cloud Solution Architect
- Michael Piskorski | Senior Cloud Solution Architect
Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Ein umfassender Leitfaden für managed HSM für regulierte Branchen
- Lokale rollenbasierte Zugriffssteuerung für verwaltete HSM-Rollen
- Aktivieren der Multiregion-Replikation auf verwaltetem HSM
- Konfigurieren von verwaltetem HSM mit privaten Endpunkten
- Übersicht über verwaltete HSM-Wiederherstellung
- Schlüsselhoheit, Verfügbarkeit, Leistung und Skalierbarkeit in managed HSM
- Bewährte Methoden zum Sichern von verwaltetem HSM
- Key Vault-Sicherheitsübersicht
- Informationen zu Key Vault-Schlüsseln
- Generieren und Übertragen von HSM-geschützten Schlüsseln
- Verfügbarkeit und Redundanz von Key Vault