Расширенное управление ключами с помощью Azure Key Vault (SQL Server)

Область применения: SQL Server

Соединитель SQL Server для Microsoft Azure Key Vault позволяет шифрованию SQL Server использовать службу Azure Key Vault в качестве поставщика расширенного управления ключами (EKM) для защиты ключей шифрования SQL Server.

В этом разделе описывается соединитель SQL Server. Дополнительные сведения см. в статьях Этапы настройки расширенного управления ключами с использованием хранилища ключей Azure, Использование соединителя SQL Server с компонентами шифрования SQLи Соединитель SQL Server, приложение.

Что такое расширяемое управление ключами (EKM) и зачем его использовать?

SQL Server предоставляет несколько типов шифрования, которые помогают защитить конфиденциальные данные, включая прозрачное шифрование данных (TDE), шифрование уровня столбцов (CLE) и шифрование резервных копий. Во всех этих случаях в рамках этой традиционной иерархии ключей данные шифруются с помощью симметричного ключа шифрования (DEK). Ключ шифрования симметричного данных дополнительно защищен путем шифрования его с помощью иерархии ключей, хранящихся в SQL Server. Альтернативой этой модели является модель поставщика расширенного управления ключами. Использование архитектуры поставщика EKM позволяет SQL Server защитить ключи шифрования данных с помощью асимметричного ключа, хранящегося за пределами SQL Server во внешнем поставщике шифрования. Эта модель добавляет дополнительный уровень безопасности и разделяет управление ключами и данными.

На следующем рисунке традиционная управляемая службой иерархия ключей сравнивается с хранилищем ключей Azure.

Схема, на которой традиционная управляемая службой иерархия ключей сравнивается с системой Azure Key Vault.

Соединитель SQL Server служит мостом между SQL Server и Azure Key Vault, поэтому SQL Server может использовать масштабируемость, высокую производительность и высокий уровень доступности службы Azure Key Vault. На следующем рисунке показано, как иерархия ключей работает в архитектуре поставщика EKM с Azure Key Vault и соединителем SQL Server.

Azure Key Vault можно использовать с установками SQL Server на Виртуальные машины Microsoft Azure и для локальных серверов. Служба хранилища ключей также предоставляет возможность использовать жестко контролируемые и отслеживаемые аппаратные модули безопасности (HSM) для обеспечения более высокого уровня защиты асимметричных ключей шифрования. Дополнительные сведения о хранилище ключей см. в статье Хранилище ключей Azure.

На следующем изображении представлен поток процесса расширенного управления ключами с использованием хранилища ключей. (Номера шагов процесса на изображении не обязательно соответствуют номерам шагов установки, указанным после изображения.)

Расширенное управление ключами SQL Server с использованием Azure Key Vault

Примечание.

Версии 1.0.0.440 и старше были заменены и больше не поддерживаются в рабочих средах. Выполните обновление до версии 1.0.1.0 или более поздней, посетив Центр загрузки Майкрософт и используя инструкции на странице Обслуживание соединителя SQL Server и устранение неполадок в разделе "Обновление соединителя SQL Server".

Следующий шаг см. в статье Этапы настройки расширенного управления ключами с использованием хранилища ключей Azure.

Сценарии использования см. в статье Использование Соединителя SQL Server с компонентами шифрования SQL.

См. также

Соединитель SQL Server, приложение