Прозрачное шифрование данных (TDE) – это функция в Azure SQL Database, которая позволяет шифровать данные в покое. В недавнем обновлении Azure SQL Database была введена новая функциональность для TDE, называемая Bring Your Own Key (BYOK). Эта функция позволяет использовать собственный ключ шифрования, хранящийся в Azure Key Vault, вместо ключа, управляемого службой по умолчанию.
В этой статье мы рассмотрим, как настроить и настроить TDE с BYOK с использованием портала Azure. Прежде чем мы начнем, убедитесь, что у вас есть логический SQL-сервер и создан Azure Key Vault. В качестве демонстрации мы будем использовать образец базы данных AdventureWorksLT.
Чтобы начать, перейдите к своему SQL-серверу в портале Azure и перейдите к разделу Transparent Data Encryption в разделе Безопасность. Переключите параметр “Использовать собственный ключ” на Да. Это позволит отобразить ряд параметров.
Если у вас уже есть существующий ключ, вы можете ввести идентификатор ключа в формате “https://{keyvaultname}.vault.azure.net/keys/{keyname}/{versionguid}” , выбрав “Введите идентификатор ключа”. В противном случае вы можете выбрать “Выбрать ключ”, чтобы выбрать из доступных ключей в вашем Key Vault.
После выбора вашего Key Vault и существующего ключа или создания нового ключа, нажмите кнопку Сохранить. Вы заметите, что значение encryptor_thumbprint изменилось, что указывает на обновление ключа TDE. Вы также можете проверить Key Vault, чтобы увидеть вновь созданный ключ TDE.
Если вы хотите вернуться к использованию ключа, управляемого службой, просто измените параметр “Использовать собственный ключ” обратно на Нет. Это вернет значение encryptor_thumbprint к исходному значению.
Устранение неполадок
Если вы столкнулись с сообщением об ошибке, указывающим на то, что предоставленный URI Key Vault недействителен, это может быть связано с настройкой уровня восстановления вашего Key Vault. В настоящее время свойство Soft Delete Enabled не отображается в портале Azure и может быть доступно только через PowerShell.
Чтобы включить Soft Delete, вы можете использовать следующие команды PowerShell:
($resource = Get-AzureRmResource -ResourceId (Get-AzureRmKeyVault -VaultName "YourKeyVaultNameHere").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
Set-AzureRmResource -resourceid $resource.ResourceId -Properties $resource.PropertiesПосле выполнения этих команд вы можете проверить, что параметр Soft Delete Enabled установлен в значение True, выполнив следующую команду:
$vault = Get-AzureRmKeyVault -VaultName "YourKeyVaultNameHere"
$vault.EnableSoftDeleteСледуя этим шагам, вы можете легко настроить и настроить прозрачное шифрование данных с использованием собственного ключа в Azure SQL Database. Это обеспечивает дополнительный уровень безопасности для ваших данных в покое.