SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse Analytics için saydam veri şifrelemesi

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Saydam veri şifrelemesi (TDE), bekleyen verileri şifreleyerek Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'i kötü amaçlı çevrimdışı etkinlik tehdidine karşı korumaya yardımcı olur. Bu özellik bütün bir veritabanı, yedekleri ve işlem günlüğü dosyaları için gerçek zamanlı şifreleme ve şifre çözme işlemlerini gerçekleştirir ve uygulamada değişiklik yapmayı gerektirmez. Varsayılan olarak, TDE yeni dağıtılan tüm Azure SQL Veritabanı için etkinleştirilir ve eski Azure SQL Veritabanı veritabanları için el ile etkinleştirilmelidir. Azure SQL Yönetilen Örneği için, TDE örnek düzeyinde ve yeni oluşturulan veritabanlarında etkinleştirilir. TDE, Azure Synapse Analytics için el ile etkinleştirilmelidir.

Not

Bu makale Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics (ayrılmış SQL havuzları (eski adı SQL DW) için geçerlidir. Synapse çalışma alanlarındaki ayrılmış SQL havuzları için Saydam Veri Şifrelemesi belgeleri için bkz. Azure Synapse Analytics şifrelemesi.

Tablo adları, nesne adları ve dizin adları gibi müşteri içeriği olarak kabul edilen bazı öğeler Microsoft tarafından destek ve sorun giderme amacıyla günlük dosyalarına aktarılabilir.

TDE, verilerin gerçek zamanlı G/Ç şifrelemesini ve şifre çözmesini sayfa düzeyinde gerçekleştirir. Okunarak belleğe alınan her sayfanın şifresi çözülür ve sayfalar diske yazılmadan önce şifrelenir. TDE, Veritabanı Şifreleme Anahtarı (DEK) adlı bir simetrik anahtar kullanarak veritabanının tamamının depolanmasını şifreler. Veritabanı başlangıcında şifrelenmiş DEK şifresi çözülür ve ardından SQL Server veritabanı altyapısı işlemindeki veritabanı dosyalarının şifresi çözülür ve yeniden şifrelenir. DEK, TDE koruyucusu tarafından korunur. TDE koruyucusu, hizmet tarafından yönetilen bir sertifika (hizmet tarafından yönetilen saydam veri şifrelemesi) veya Azure Key Vault'ta depolanan asimetrik bir anahtardır (müşteri tarafından yönetilen saydam veri şifrelemesi).

Azure SQL Veritabanı ve Azure Synapse için TDE koruyucusu sunucu düzeyinde ayarlanır ve bu sunucuyla ilişkili tüm veritabanları tarafından devralınır. Azure SQL Yönetilen Örneği için TDE koruyucusu örnek düzeyinde ayarlanır ve bu örnekteki tüm şifrelenmiş veritabanları tarafından devralınır. Sunucu terimi, farklı belirtilmediği sürece bu belgenin tamamında hem sunucuya hem de örneğe başvurur.

Önemli

Yeni oluşturulan tüm SQL veritabanları, hizmet tarafından yönetilen saydam veri şifrelemesi kullanılarak varsayılan olarak şifrelenir. Veritabanı kaynağı şifrelendiğinde, geri yükleme, coğrafi çoğaltma ve veritabanı kopyası aracılığıyla oluşturulan hedef veritabanları varsayılan olarak şifrelenir. Ancak, veritabanı kaynağı şifrelenmediğinde, geri yükleme, coğrafi çoğaltma ve veritabanı kopyası aracılığıyla oluşturulan hedef veritabanları varsayılan olarak şifrelenmez. Mayıs 2017'den önce oluşturulan mevcut SQL veritabanları ve Şubat 2019'den önce oluşturulan mevcut SQL Yönetilen Örneği veritabanları varsayılan olarak şifrelenmez. geri yükleme aracılığıyla oluşturulan SQL Yönetilen Örneği veritabanları, şifreleme durumunu kaynaktan devralır. TDE ile şifrelenmiş veritabanını geri yüklemek için öncelikle gerekli TDE sertifikasının SQL Yönetilen Örneği’ne içeri aktarılması gerekir. Veritabanının şifreleme durumunu öğrenmek için sys.dm_database_encryption_keys DMV'den seçme sorgusu yürütün ve sütunun encryption_state_desc durumunu denetleyin.

Not

TDE, veritabanı gibi sistem veritabanlarını master SQL Veritabanı ve SQL Yönetilen Örneği şifrelemek için kullanılamaz. Veritabanı, master kullanıcı veritabanlarında TDE işlemleri gerçekleştirmek için gereken nesneleri içerir. Hassas verilerin sistem veritabanlarında depolanmaması önerilir. Özel durum, tempdborada depolanan verileri korumak için her zaman TDE ile şifrelenir.

Hizmet tarafından yönetilen saydam veri şifrelemesi

Azure’da TDE varsayılan ayarı, DEK’nin yerleşik sunucu sertifikasıyla korunmasıdır. Yerleşik sunucu sertifikası her sunucu için benzersizdir ve AES 256 şifreleme algoritması kullanılır. Coğrafi çoğaltma ilişkisine sahip olan veritabanlarında hem birincil hem de coğrafi olarak ikincil veritabanları, birincil veritabanının üst sunucu anahtarıyla korunur. Aynı sunucuya bağlı olan veritabanları aynı yerleşik sertifikayı da paylaşır. Microsoft, bu sertifikaları yılda bir kez iç güvenlik ilkesine uygun olarak otomatik olarak döndürür ve kök anahtar bir Microsoft iç gizli dizi deposu tarafından korunur. Müşteriler, Microsoft Güven Merkezi'nde bulunan bağımsız üçüncü taraf denetim raporlarında SQL Veritabanı ve SQL Yönetilen Örneği iç güvenlik ilkeleriyle uyumluluğu doğrulayabilir.

Microsoft ayrıca coğrafi çoğaltma ve geri yükleme işlemleri için gereken anahtarları sorunsuz bir şekilde taşır ve yönetir.

Müşteri tarafından yönetilen saydam veri şifrelemesi - Kendi Anahtarını Getir

Müşteri tarafından yönetilen TDE, TDE için Kendi Anahtarını Getir (BYOK) desteği olarak da adlandırılır. Bu senaryoda, DEK'yi şifreleyen TDE Koruyucusu müşteri tarafından yönetilen bir asimetrik anahtardır. Bu anahtar, müşteriye ait ve yönetilen bir Azure Key Vault'ta (Azure'ın bulut tabanlı dış anahtar yönetim sistemi) depolanır ve anahtar kasasından asla ayrılmaz. TDE Koruyucusu, anahtar kasası tarafından oluşturulabilir veya şirket içi donanım güvenlik modülü (HSM) cihazından anahtar kasasına aktarılabilir. SQL Veritabanı, SQL Yönetilen Örneği ve Azure Synapse'e DEK'nin şifresini çözmek ve şifrelemek için müşteriye ait anahtar kasasına izin verilmesi gerekir. Sunucunun anahtar kasasına izinleri iptal edilirse veritabanına erişilemez ve tüm veriler şifrelenir.

Azure Key Vault tümleştirmesi ile TDE ile kullanıcılar anahtar döndürmeleri, anahtar kasası izinleri, anahtar yedeklemeleri gibi anahtar yönetimi görevlerini denetleyebiliyor ve Azure Key Vault işlevselliğini kullanarak tüm TDE koruyucularında denetimi/raporlamayı etkinleştirebiliyor. Key Vault merkezi anahtar yönetimi sağlar, sıkı bir şekilde izlenen HSM'lerden yararlanılır ve güvenlik ilkeleriyle uyumluluğu karşılamaya yardımcı olmak için anahtarlarla verilerin yönetimi arasında görev ayrımı sağlar. Azure SQL Veritabanı ve Azure Synapse için KAG hakkında daha fazla bilgi edinmek için bkz. Azure Key Vault tümleştirmesi ile saydam veri şifrelemesi.

Azure Key Vault tümleştirmesi ile TDE kullanmaya başlamak için Key Vault'tan kendi anahtarınızı kullanarak saydam veri şifrelemeyi açma nasıl yapılır kılavuzuna bakın.

Saydam veri şifreleme korumalı veritabanını taşıma

Azure'da işlemler için veritabanlarının şifresini çözmeniz gerekmez. Kaynak veritabanındaki veya birincil veritabanındaki TDE ayarları hedefte saydam olarak devralınır. Dahil edilen işlemler şunları içerir:

  • Coğrafi geri yükleme
  • Self servis belirli bir noktaya geri yükleme
  • Silinen veritabanını geri yükleme
  • Etkin coğrafi çoğaltma
  • Veritabanı kopyası oluşturma
  • Yedekleme dosyasının Azure SQL Yönetilen Örneği'a geri yüklenmesi

Önemli

Şifreleme için kullanılan sertifikaya erişilemediğinden, hizmet tarafından yönetilen TDE tarafından şifrelenmiş bir veritabanının el ile SALT KOPYAyla yedeklenmesi Azure SQL Yönetilen Örneği desteklenmez. Bu veritabanı türünü başka bir SQL Yönetilen Örneği taşımak veya müşteri tarafından yönetilen anahtara geçmek için belirli bir noktaya geri yükleme özelliğini kullanın.

TDE korumalı bir veritabanını dışarı aktardığınızda, veritabanının dışarı aktarılan içeriği şifrelenmez. Dışarı aktarılan bu içerik şifrelenmemiş BACPAC dosyalarında depolanır. Yeni veritabanının içeri aktarılması tamamlandıktan sonra BACPAC dosyalarını uygun şekilde koruduğundan ve TDE'yi etkinleştirdiğinizden emin olun.

Örneğin, BACPAC dosyası bir SQL Server örneğinden dışarı aktarılırsa, yeni veritabanının içeri aktarılan içeriği otomatik olarak şifrelenmez. Benzer şekilde, BACPAC dosyası bir SQL Server örneğine aktarılırsa, yeni veritabanı da otomatik olarak şifrelenmez.

Tek özel durum, veritabanını SQL Veritabanı dışarı ve dışarı aktarmanızdır. TDE yeni veritabanında etkinleştirilir, ancak BACPAC dosyasının kendisi hala şifrelenmemiştir.

Saydam veri şifrelemeyi yönetme

Azure portalında TDE'yi yönetin.

Azure portalı aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlı olmanız gerekir.

Veritabanı düzeyinde TDE'yi etkinleştirin ve devre dışı bırakın. Azure SQL Yönetilen Örneği bir veritabanında TDE'yi açmak ve kapatmak için Transact-SQL (T-SQL) kullanın. Azure SQL Veritabanı ve Azure Synapse için, Azure Yöneticisi veya Katkıda Bulunan hesabıyla oturum açtıktan sonra Azure portalında veritabanı için TDE'yi yönetebilirsiniz. Kullanıcı veritabanınızın altında TDE ayarlarını bulun. Varsayılan olarak, sunucu düzeyinde şifreleme anahtarı kullanılır. Veritabanını içeren sunucu için otomatik olarak bir TDE sertifikası oluşturulur.

Veritabanı için Azure portalında veri şifreleme menüsünün ekran görüntüsü.

TDE koruyucusu olarak bilinen TDE ana anahtarını sunucu veya örnek düzeyinde ayarlarsınız. TDE'yi BYOK desteğiyle kullanmak ve veritabanlarınızı Azure Key Vault'tan bir anahtarla korumak için sunucunuzun veya yönetilen örneğinizin altındaki TDE ayarlarını açın.

Sunucu için Azure portalında saydam veri şifreleme menüsünün ekran görüntüsü.

Ayrıca, Azure SQL Veritabanı için veritabanı düzeyinde TDE için müşteri tarafından yönetilen bir anahtar da kullanabilirsiniz. Daha fazla bilgi için bkz . Veritabanı düzeyinde müşteri tarafından yönetilen anahtarlarla saydam veri şifrelemesi (TDE).