Erweiterbare Schlüsselverwaltung mit Azure Key Vault (SQL Server)

Gilt für: SQL Server

Der SQL Server Connector für Microsoft Azure Key Vault ermöglicht es der SQL Server-Verschlüsselung, den Azure Key Vault-Dienst als EKM-Anbieter (Extensible Key Management) zu nutzen, um SQL Server-Verschlüsselungsschlüssel zu schützen.

In diesem Thema wird der SQL Server-Connector beschrieben. Weitere Informationen finden Sie unter Installationsschritte für die Erweiterbare Schlüsselverwaltung mit Azure Key Vault, Verwenden von SQL Server-Connector mit SQL-Verschlüsselungsfunktionenund SQL Server-Connector Wartung & Problembehandlung(SQL Server Connector Wartung & Problembehandlung).

Was ist die erweiterbare Schlüsselverwaltung (EKM, Extensible Key Management) und warum sollte sie verwendet werden?

SQL Server stellt verschiedene Arten von Verschlüsselung bereit, die beim Verschlüsseln von sensiblen Daten nützlich sind, einschließlich Transparente Datenverschlüsselung (TDE), Verschlüsselung auf Spaltenebene (CLE) und Sicherungsverschlüsselung. In all diesen Fällen werden die Daten in dieser traditionellen Schlüsselhierarchie mit einem symmetrischen Datenverschlüsselungsschlüssel (DEK, Data Encrpytion Key) verschlüsselt. Der symmetrische Datenverschlüsselungsschlüssel wird außerdem geschützt durch Verschlüsselung mit einer Hierarchie von Schlüsseln, die in SQL Server gespeichert sind. Die Alternative zu diesem Modell ist das EKM-Anbietermodell. Die Verwendung der EKM-Anbieterarchitektur ermöglicht SQL Server , die Datenverschlüsselungsschlüssel mithilfe eines asymmetrischen Schlüssels zu schützen, der außerhalb von SQL Server in einem externen Kryptografieanbieter gespeichert ist. Dieses Modell fügt eine zusätzliche Sicherheitsschicht hinzu und trennt die Verwaltung von Schlüsseln und Daten.

Das folgende Bild stellt die traditionelle Hierarchie zur Dienst-/Schlüsselverwaltung dem Azure Key Vault-System gegenüber.

Diagramm: Vergleich der traditionellen Hierarchie zur Dienst-/Schlüsselverwaltung mit dem Azure Key Vault-System

Der SQL Server-Connector dient als Brücke zwischen SQL Server und Azure Key Vault, sodass SQL Server von der Skalierbarkeit, hohen Leistung und hohen Verfügbarkeit des Azure Key Vault-Diensts profitieren kann. In der folgenden Abbildung ist dargestellt, wie die Schlüsselhierarchie in der EKM-Anbieterarchitektur mit Azure Key Vault und SQL Server-Connector funktioniert.

Azure Key Vault kann mit SQL Server-Installationen auf virtuellen Microsoft Azure Virtual Machines und für lokale Server verwendet werden. Der Schlüsseltresordienst bietet auch die Option, genau gesteuerte und stark überwachte Hardwaresicherheitsmodule (HSMs) für ein höheres Maß an Schutz für asymmetrische Schlüssel zu verwenden. Weitere Informationen zum Schlüsseltresor finden Sie unter Azure Key Vault.

Die folgende Grafik enthält eine Zusammenfassung des Prozessablaufs der erweiterbaren Schlüsselverwaltung mit Schlüsseltresor. (Die Nummern der Prozessschritte in der Grafik stimmen nicht mit den Nummern der Einrichtungsschritte, die auf die Grafik folgen, überein.)

Erweiterbare Schlüsselverwaltung in SQL Server mithilfe von Azure Key Vault

Hinweis

Die Versionen 1.0.0.440 und älter wurden ersetzt und werden nicht länger in Produktionsumgebungen unterstützt. Führen Sie ein Upgrade auf Version 1.0.1.0 oder höher durch, indem Sie das Microsoft Download Center besuchen und die Anweisungen auf der Seite SQL Server-Connector Wartung & Problembehandlung unter „Upgrade des SQL Server-Connectors“ ausführen.

Die nächsten Schritte erläutert Installationsschritte für die Erweiterbare Schlüsselverwaltung mit Azure Key Vault.

Eine Beschreibung von Nutzungsszenarien finden Sie unter Verwenden von SQL Server-Connector mit SQL-Verschlüsselungsfunktionen.

Weitere Informationen

SQL Server-Connector – Verwaltung und Problembehandlung