Tietojen salaus SQL-tietokannassa Microsoft Fabricissa

Koskee Microsoft Fabricin SQL-tietokantaa✅

Microsoft Fabric salaa kaiken lepotilassa olevan datan Microsoftin hallinnoimien avainten avulla. SQL-tietokanta tallentaa kaiken datan etäisiin Azure Storage -tileihin. Microsoftin hallinnoimien avainten käyttämien salauksen lepotilassa -vaatimusten täyttämiseksi jokaisella SQL-tietokannan käyttämällä Azure Storage -tilillä on palvelupuolen salaus käytössä.

Asiakkaan hallinnoimien avainten avulla Fabric-työtiloille voit käyttää Azure Key Vault -avaimiasi lisätäksesi toisen suojakerroksen Microsoft Fabricin työtilojen dataan, mukaan lukien kaikki SQL Fabricin tietokannan tiedot. Asiakkaan hallinnoima avain tarjoaa enemmän joustavuutta, jolloin voit hallita sen kiertoa, ohjata pääsyä ja auditointien käyttöä. Asiakkaan hallinnoimat avaimet auttavat myös organisaatioita täyttämään tiedonhallinnan tarpeet ja noudattamaan tietosuoja- ja salausstandardeja.

• Kun konfiguroit asiakkaan hallinnoiman avaimen työtilalle Microsoft Fabricissa, läpinäkyvä datan salaus otetaan automaattisesti käyttöön kaikille SQL-tietokannoille (ja tempdb) kyseisessä työtilassa määritellyn asiakkaan hallinnoiman avaimen avulla. Tämä prosessi on saumaton eikä vaadi manuaalista puuttumista.
  • Vaikka salausprosessi käynnistyy automaattisesti kaikissa olemassa olevilla SQL-tietokannoilla, se ei ole välitön. Kesto riippuu kunkin SQL-tietokannan koosta, ja suuremmat SQL-tietokannat vaativat enemmän aikaa salauksen suorittamiseen.
  • Kun konfiguroit asiakkaan hallinnoiman avaimen, kaikki SQL-tietokannat, jotka luot työtilassa, salataan myös asiakkaan hallinnoimalla avaimella.
• Jos poistat asiakkaan hallinnoiman avaimen, salauksen purku alkaa kaikille SQL-tietokannoille työtilassa. Kuten salauksessa, myös purku riippuu SQL-tietokannan koosta ja voi viedä aikaa. Kun salaus on purettu, SQL-tietokannat palaavat käyttämään Microsoftin hallinnoimia avaimia salaukseen.

Miten läpinäkyvä datan salaus toimii SQL-tietokannassa Microsoft Fabricissa

Läpinäkyvä datan salaus suorittaa reaaliaikaisen salauksen ja purkamisen tietokannasta, siihen liittyvistä varmuuskopioista ja tapahtumalokitiedostoista lepotilassa.

• Tämä prosessi tapahtuu sivutasolla, eli jokainen sivu puretaan, kun se luetaan muistiin, ja salataan uudelleen ennen kuin se kirjoitetaan takaisin levylle.
• Läpinäkyvä datasalaus suojaa koko tietokannan symmetrisellä avaimella, joka tunnetaan nimellä Database Encryption Key (DEK).
• Kun tietokanta käynnistyy, SQL Server -tietokantamoottori purkaa DEK:n ja käyttää sitä salaus- ja purkutoimintojen hallintaan.
• Läpinäkyvä datan salaussuoja—erityisesti asiakkaan hallinnoima avain, joka on konfiguroitu työtilatasolla—suojaa DEK:tä.

Varmuuskopiointi ja palautus

Kun SQL-tietokanta on salattu asiakkaan hallinnoimalla avaimella, myös kaikki uudet varmuuskopiot salataan samalla avaimella.

Kun vaihdat avainta, vanhoja SQL-tietokannan varmuuskopioita ei päivitetä käyttämään uusinta avainta. Palauttaaksesi varmuuskopion, joka on salattu asiakkaan hallinnoimalla avaimella, varmista, että avainmateriaali on saatavilla Azure Key Vaultissa. Pidä kaikki vanhat asiakkaan hallinnoimat avaimet Azure Key Vaultissa, jotta SQL-tietokantavarmuuskopiot voidaan palauttaa.

SQL-tietokannan palautusprosessi kunnioittaa aina asiakkaan hallinnoimaa avaintyötilan asetusta. Seuraava taulukko esittelee erilaisia palautusskenaarioita asiakkaan hallinnoimien avainasetusten ja sen perusteella, onko varmuuskopio salattu.

Varmista onnistunut asiakashallinnoima avain

Kun otat käyttöön asiakkaan hallinnoiman avaimen salauksen työtilassa, olemassa oleva tietokanta on salattu. Uusi tietokanta työtilassa salataan myös, kun asiakkaan hallinnoima avain on käytössä. Varmistaaksesi tietokantasi onnistuneen salauksen, suorita seuraava T-SQL-kysely:

SELECT DB_NAME(database_id) as DatabaseName, * 
FROM sys.dm_database_encryption_keys 
WHERE database_id <> 2;

• Tietokanta on salattu, jos kenttä encryption_state_desc näkyy ENCRYPTED muodossa ASYMMETRIC_KEY .encryptor_type
• Jos tila on ENCRYPTION_IN_PROGRESS, sarake percent_complete osoittaa salaustilan muutoksen etenemisen. Tämä arvo on 0 , jos tilanmuutosta ei ole käynnissä.
• Jos tietokantaa ei ole salattu, se ei näy kyselytuloksissa .sys.dm_database_encryption_keys

Vianmääritys asiakashallinnoiman avaimen vianmääritys

Kun konfiguroit asiakkaan hallinnoiman avaimen työtilalle Microsoft Fabricissa, SQL-tietokanta vaatii jatkuvaa pääsyä avaimeen pysyäkseen verkossa. Jos SQL-tietokanta menettää pääsyn avaimeen Azure Key Vaultissa, jopa 10 minuutissa SQL-tietokanta alkaa kieltää kaikki yhteydet ja muuttaa tilansa Inaccessiksi. Käyttäjät saavat vastaavan virheilmoituksen, kuten "Tietokanta <database ID>.database.fabric.microsoft.com ei ole käytettävissä Azure Key Vaultin kriittisen virheen vuoksi."

• Jos avaimen käyttö palautetaan 30 minuutin kuluessa, SQL-tietokanta paranee automaattisesti seuraavan tunnin aikana.
• Jos avaimen käyttö palautetaan yli 30 minuutin kuluttua, SQL-tietokannan automaattinen parantaminen ei ole mahdollista. SQL-tietokannan palauttaminen vaatii lisävaiheita ja voi viedä huomattavasti aikaa riippuen SQL-tietokannan koosta.

Käytä seuraavia vaiheita asiakkaan hallinnoiman avaimen uudelleenvalidointiin:

1. Työtilassasi napsauta SQL-tietokantaa oikealla tai valitse ... kontekstivalikko. Valitse Asetukset.
2. Valitse Salaus.
3. Asiakkaan hallinnoiman avaimen uudelleenvalidointiin valitse Uudelleenvalidoi asiakashallinnoima avain. Jos uudelleenvalidointi onnistuu, SQL-tietokantaan pääsyn palauttaminen voi viedä aikaa.

Limitations

Nykyiset rajoitukset, kun käytetään asiakkaan hallinnoimaa avainta SQL-tietokannassa Microsoft Fabricissa:

• 4 096-bittisiä avaimia ei tueta SQL-tietokannassa Microsoft Fabricissa. Tuetut avaimen pituudet ovat 2 048 bittiä ja 3 072 bittiä.
• Asiakkaan hallinnoiman avaimen on oltava RSA tai RSA-HSM epäsymmetrinen avain.

Liittyvä sisältö

• Asiakkaan hallinnoimat avaimet Fabric-työtiloille
• Sql-tietokannan varmuuskopiosta palauttaminen Microsoft Fabricissa