Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:✅SQL-Datenbank in Microsoft Fabric
Microsoft Fabric verschlüsselt alle ruhenden Daten mit von Microsoft verwalteten Schlüsseln. In der SQL-Datenbank werden alle Daten in Azure Storage-Remotekonten gespeichert. Um den Anforderungen an die Verschlüsselung im Ruhezustand mit von Microsoft verwalteten Schlüsseln gerecht zu werden, ist bei jedem Azure Storage-Konto, das von der SQL-Datenbank verwendet wird, die dienstseitige Verschlüsselung aktiviert.
Mit vom Kunden verwalteten Schlüsseln für Fabric-Arbeitsbereiche können Sie Ihre Azure Key Vault-Schlüssel verwenden, um den Daten in Ihren Microsoft Fabric-Arbeitsbereichen, einschließlich aller Daten in der SQL-Datenbank in Microsoft Fabric, eine weitere Schutzebene hinzuzufügen. Ein vom Kunden verwalteter Schlüssel bietet eine größere Flexibilität, sodass Sie dessen Rotation verwalten, den Zugriff kontrollieren und die Nutzung prüfen können. Vom Kunden verwaltete Schlüssel helfen Organisationen auch bei der Erfüllung der Anforderungen an die Datengovernance und die Einhaltung von Datenschutz- und Verschlüsselungsstandards.
- Wenn Sie einen vom Kunden verwalteten Schlüssel für einen Arbeitsbereich in Microsoft Fabric konfigurieren, wird die transparente Datenverschlüsselung automatisch für alle SQL-Datenbanken (und
tempdb) innerhalb dieses Arbeitsbereichs mithilfe des angegebenen vom Kunden verwalteten Schlüssels aktiviert. Dieser Prozess ist nahtlos und erfordert keinen manuellen Eingriff.- Während der Verschlüsselungsprozess automatisch für alle vorhandenen SQL-Datenbanken beginnt, ist er nicht sofort vorhanden. Die Dauer hängt von der Größe jeder SQL-Datenbank ab, wobei größere SQL-Datenbanken mehr Zeit benötigen, um die Verschlüsselung abzuschließen.
- Nachdem Sie den vom Kunden verwalteten Schlüssel konfiguriert haben, werden alle SQL-Datenbanken, die Sie im Arbeitsbereich erstellen, auch mit dem vom Kunden verwalteten Schlüssel verschlüsselt.
- Wenn Sie den vom Kunden verwalteten Schlüssel entfernen, beginnt die Entschlüsselung für alle SQL-Datenbanken im Arbeitsbereich. Wie die Verschlüsselung hängt die Entschlüsselung auch von der Größe der SQL-Datenbank ab und kann zeitaufwendbar sein. Nach der Entschlüsselung wechseln die SQL-Datenbanken zur Verschlüsselung mit von Microsoft verwalteten Schlüsseln zurück.
Funktionsweise der transparenten Datenverschlüsselung in der SQL-Datenbank in Microsoft Fabric
Transparente Datenverschlüsselung führt echtzeitbasierte Verschlüsselung und Entschlüsselung der Datenbank, der zugehörigen Sicherungen und der ruhenden Transaktionsprotokolldateien durch.
- Dieser Vorgang erfolgt auf Seitenebene, d. h. jede Seite wird entschlüsselt, wenn sie in den Arbeitsspeicher gelesen und erneut verschlüsselt wird, bevor sie wieder auf den Datenträger geschrieben werden.
- Transparente Datenverschlüsselung sichert die gesamte Datenbank mithilfe eines symmetrischen Schlüssels, der als Datenbankverschlüsselungsschlüssel (DEK) bezeichnet wird.
- Wenn die Datenbank gestartet wird, entschlüsselt das SQL Server-Datenbankmodul die DEK und verwendet es zum Verwalten von Verschlüsselungs- und Entschlüsselungsvorgängen.
- Der transparente Datenverschlüsselungsschutz – insbesondere der vom Kunden verwaltete Schlüssel, der auf Arbeitsbereichsebene konfiguriert ist – schützt die DEK.
Sichern und Wiederherstellen
Sobald eine SQL-Datenbank mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, werden alle neu generierten Sicherungen auch mit demselben Schlüssel verschlüsselt.
Wenn Sie den Schlüssel ändern, werden alte Sicherungen der SQL-Datenbank nicht aktualisiert, um den neuesten Schlüssel zu verwenden. Um eine mit einem kundenverwalteten Schlüssel verschlüsselte Sicherung wiederherzustellen, stellen Sie sicher, dass das Schlüsselmaterial in Azure Key Vault verfügbar ist. Bewahren Sie alle alten Versionen der vom Kunden verwalteten Schlüssel in Azure Key Vault auf, damit SQL-Datenbanksicherungen wiederhergestellt werden können.
Der SQL-Datenbankwiederherstellungsprozess berücksichtigt immer die Vom Kunden verwaltete Arbeitsbereichseinstellung. In der folgenden Tabelle werden verschiedene Wiederherstellungsszenarien basierend auf den vom Kunden verwalteten Schlüsseleinstellungen und der Verschlüsselung der Sicherung beschrieben.
| Die Sicherung ist... | Einstellung des vom Kunden verwalteten Schlüsselarbeitsbereichs | Verschlüsselungsstatus nach der Wiederherstellung |
|---|---|---|
| Nicht verschlüsselt | Disabled | SQL-Datenbank ist nicht verschlüsselt |
| Nicht verschlüsselt | Enabled | SQL-Datenbank wird mit vom Kunden verwaltetem Schlüssel verschlüsselt |
| Verschlüsselt mit vom Kunden verwaltetem Schlüssel | Disabled | SQL-Datenbank ist nicht verschlüsselt |
| Verschlüsselt mit vom Kunden verwaltetem Schlüssel | Enabled | SQL-Datenbank wird mit vom Kunden verwaltetem Schlüssel verschlüsselt |
| Verschlüsselt mit vom Kunden verwaltetem Schlüssel | Aktiviert, aber unterschiedlicher vom Kunden verwalteter Schlüssel | SQL-Datenbank wird mit dem neuen vom Kunden verwalteten Schlüssel verschlüsselt |
Überprüfen des erfolgreichen vom Kunden verwalteten Schlüssels
Sobald Sie die vom Kunden verwaltete Schlüsselverschlüsselung im Arbeitsbereich aktivieren, wird die vorhandene Datenbank verschlüsselt. Eine neue Datenbank im Arbeitsbereich wird auch verschlüsselt, wenn der vom Kunden verwaltete Schlüssel aktiviert ist. Führen Sie die folgende T-SQL-Abfrage aus, um zu überprüfen, ob die Datenbank erfolgreich verschlüsselt ist:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Eine Datenbank ist verschlüsselt, wenn das
encryption_state_desc-FeldENCRYPTEDanzeigt, wobeiASYMMETRIC_KEYalsencryptor_typefungiert. - Wenn der Status lautet
ENCRYPTION_IN_PROGRESS, gibt diepercent_completeSpalte den Fortschritt der Änderung des Verschlüsselungszustands an. Dieser Wert ist0, wenn keine Zustandsänderung ausgeführt wird. - Wenn sie nicht verschlüsselt ist, wird eine Datenbank nicht in den Abfrageergebnissen von
sys.dm_database_encryption_keysangezeigt.
Problembehandlung für nicht zugänglichen vom Kunden verwalteten Schlüssel
Wenn Sie einen vom Kunden verwalteten Schlüssel für einen Arbeitsbereich in Microsoft Fabric konfigurieren, erfordert die SQL-Datenbank kontinuierlichen Zugriff auf den Schlüssel, um online zu bleiben. Wenn die SQL-Datenbank den Zugriff auf den Schlüssel im Azure Key Vault verliert, beginnt die SQL-Datenbank in bis zu 10 Minuten, alle Verbindungen zu verweigern und den Status in "Nicht zugänglich" zu ändern. Benutzer erhalten eine entsprechende Fehlermeldung wie "Datenbank <database ID>.database.fabric.microsoft.com ist aufgrund eines kritischen Azure Key Vault-Fehlers nicht zugänglich".
- Wenn der Schlüsselzugriff innerhalb von 30 Minuten wiederhergestellt wird, erholt sich die SQL-Datenbank innerhalb der nächsten Stunde automatisch.
- Wenn der Schlüsselzugriff nach mehr als 30 Minuten wiederhergestellt wird, ist die automatische Wiederherstellung der SQL-Datenbank nicht möglich. Das Wiederherstellen der SQL-Datenbank erfordert zusätzliche Schritte und kann je nach Größe der SQL-Datenbank eine erhebliche Zeit in Anspruch nehmen.
Führen Sie die folgenden Schritte aus, um den vom Kunden verwalteten Schlüssel erneut zu überprüfen:
- Klicken Sie in Ihrem Arbeitsbereich mit der rechten Maustaste auf die SQL-Datenbank, oder wählen Sie das
...Kontextmenü aus. Wählen Sie "Einstellungen" aus. - Wählen Sie "Verschlüsselung" aus.
- Um den vom Kunden verwalteten Schlüssel erneut zu validieren, wählen Sie Vom Kunden verwalteten Schlüssel erneut validieren aus. Wenn die Erneute Überprüfung erfolgreich ist, kann das Wiederherstellen des Zugriffs auf Ihre SQL-Datenbank einige Zeit in Anspruch nehmen.
Hinweis
Wenn Sie den Schlüssel für eine SQL-Datenbank erneut überprüfen, wird der Schlüssel automatisch für alle SQL-Datenbanken innerhalb Ihres Arbeitsbereichs neu überprüft.
Einschränkungen
Aktuelle Einschränkungen bei der Verwendung von vom Kunden verwaltetem Schlüssel für eine SQL-Datenbank in Microsoft Fabric:
- 4.096-Bit-Schlüssel werden für die SQL-Datenbank in Microsoft Fabric nicht unterstützt. Unterstützte Schlüssellängen sind 2.048 Bit und 3.072 Bit.
- Der vom Kunden verwaltete Schlüssel muss ein RSA- oder RSA-HSM asymmetrischer Schlüssel sein.