Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
database SQL di AzureIstanza gestita di SQL di AzureAzure Synapse Analytics (solo pool SQL dedicati)
Transparent Data Encryption (TDE) inAzure SQL con chiave gestita dal cliente abilita lo scenario Bring Your Own Key (BYOK) per la protezione dei dati inattivi e consente alle organizzazioni di separare i compiti di gestione di chiavi e dati. Con la funzionalità TDE gestita dal cliente, il cliente ha il controllo completo ed è responsabile della gestione del ciclo di vita della chiave (creazione, caricamento, rotazione, eliminazione), delle autorizzazioni di utilizzo delle chiavi e del controllo delle operazioni sulle chiavi.
In questo scenario, la protezione Transparent Data Encryption (TDE), una chiave asimmetrica gestita dal cliente usata per proteggere la chiave dek (Database Encryption Key) viene archiviata in Azure Key Vault o nel modulo di protezione hardware gestito di Azure Key Vault. Si tratta di servizi di gestione delle chiavi sicuri e basati sul cloud progettati per la disponibilità elevata e la scalabilità. Azure Key Vault supporta le chiavi RSA e può essere supportato da moduli di protezione hardware convalidati FIPS 140-2 di livello 2. Per i clienti che richiedono una maggiore garanzia, il modulo di protezione hardware gestito di Azure Key Vault offre hardware convalidato FIPS 140-2 Livello 3. La chiave può essere generata nel servizio, importata o trasferita in modo sicuro da moduli di protezione hardware locali. L'accesso diretto alle chiavi è limitato: i servizi autorizzati eseguono operazioni di crittografia senza esporre il materiale della chiave.
Per il database SQL di Azure e Azure Synapse Analytics, la protezione TDE è impostata a livello di server logico e viene ereditata da tutti i database crittografati associati al server. Per l'Istanza gestita di SQL di Azure, la protezione TDE è impostata a livello di istanza e viene ereditata da tutti i database crittografati nell'istanza. In questo documento il termine server fa riferimento sia al server nel database SQL e Azure Synapse che all'istanza gestita di SQL, se non diversamente specificato.
La gestione della protezione TDE a livello di database in database SQL di Azure è disponibile. Per altre informazioni, vedere Transparent Data Encryption (TDE) con chiavi gestite dal cliente a livello di database.
Nota
Questo articolo si applica al database SQL di Azure, all'Istanza gestita di SQL di Azure e ad Azure Synapse Analytics (pool SQL dedicati (in precedenza SQL Data Warehouse)). Per la documentazione su Transparent Data Encryption (TDE) per pool SQL dedicati all'interno delle aree di lavoro Synapse, consultare Crittografia di Azure Synapse Analytics.
Nota
Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).
Nota
In questo articolo i termini Chiave gestita dal cliente (CMK) e Bring Your Own Key (BYOK) vengono usati in modo intercambiabile, ma rappresentano alcune differenze.
Transparent Data Encryption gestita dal cliente offre al cliente i vantaggi seguenti:
Controllo completo e granulare sull'utilizzo e sulla gestione della protezione TDE.
Trasparenza dell'utilizzo della protezione TDE.
Possibilità di implementare la separazione dei compiti nella gestione delle chiavi e dei dati all'interno dell'organizzazione.
L'amministratore di Azure Key Vault può revocare le autorizzazioni di accesso alle chiavi per rendere il database crittografato inaccessibile.
Gestione centrale delle chiavi in Azure Key Vault.
Maggiore attendibilità dei clienti finali, poiché Azure Key Vault è progettato in modo che Microsoft non possa visualizzare né estrarre chiavi di crittografia.
Importante
Per coloro che usano TDE gestito dal servizio che vogliono iniziare a usare TDE gestito dal cliente, i dati rimangono crittografati durante il processo di passaggio e non sono previsti tempi di inattività né la ricrittografazione dei file di database. Il passaggio da una chiave gestita dal servizio a una chiave gestita dal cliente richiede la riesecuzione della crittografia della chiave DEK, che è un'operazione online rapida.
Seleziona il tipo di Azure Key Vault che desideri utilizzare.
Per consentire al server logico in Azure di usare la protezione TDE archiviata in Azure Key Vault per la crittografia del DEK, l'amministratore di Azure Key Vault deve concedere diritti di accesso al server usando la sua identità univoca di Microsoft Entra. L'identità del server può essere un'identità gestita assegnata dal sistema o un'identità gestita assegnata dall'utente e assegnata al server. Esistono due modelli di accesso per consentire al server di accedere al key vault.
Controllo degli accessi in base al ruolo di Azure: usare il controllo degli accessi in base al ruolo di Azure per concedere a un utente, a un gruppo o a un'applicazione l'accesso al Key Vault. Questo metodo è consigliato per la flessibilità e la granularità. Per consentire all'identità del server di usare la chiave per le operazioni di crittografia e decrittografia, è necessario il ruolo Utente di crittografia del servizio Key Vault.
Criterio di accesso al key vault - Usare il criterio di accesso al key vault per concedere al server l'accesso al key vault. Questo metodo è più semplice e più diretto, ma meno flessibile. L'identità del server deve disporre delle seguenti autorizzazioni sul deposito di chiavi:
Nel menu del portale di Azure Configurazione di accesso dell’insieme delle chiavi, è possibile selezionare il controllo degli accessi in base al ruolo di Azure o i criteri di accesso all'insieme delle chiavi. Per istruzioni dettagliate sulla configurazione di una configurazione di accesso di Azure Key Vault per TDE, vedere Configurare la gestione delle chiavi estendibili TDE di SQL Server usando Azure Key Vault. Per altre informazioni sui modelli di accesso, vedere Sicurezza in Azure Key Vault.
L'amministratore del Key Vault può anche abilitare la registrazione degli eventi di controllo del Key Vault, in modo che possano essere controllati in un secondo momento.
Quando un server è configurato per l'uso di una protezione TDE di Azure Key Vault, il server trasmette la DEK di ogni database abilitato per TDE al Azure Key Vault per la crittografia. Il Key Vault restituisce la chiave DEK crittografata che viene quindi archiviata nel database utente.
Quando necessario, il server invia la chiave DEK protetta al Key Vault per la decrittografia.
Se la registrazione è abilitata, i revisori possono usare Monitoraggio di Azure per esaminare i log AuditEvent del Key Vault.
Nota
Potrebbero essere necessari circa 10 minuti affinché le modifiche alle autorizzazioni nel Key Vault diventino effettive. Ciò include la revoca delle autorizzazioni di accesso al protettore TDE in Azure Key Vault e, durante questo periodo, gli utenti potrebbero comunque mantenere le autorizzazioni di accesso.
Le funzionalità di protezione da eliminazione temporanea e protezione da eliminazione definitiva devono essere abilitate nell'Azure Key Vault. Ciò consente di evitare lo scenario di eliminazione accidentale o dannosa di chiavi che può portare allo stato Inaccessibile del database. Quando si configura il protettore TDE in un server esistente o durante la creazione del server, Azure SQL verifica che l'insieme di credenziali usato abbia la protezione contro l'eliminazione temporanea e l'eliminazione completa attivata. Se soft-delete e protezione dalla cancellazione non sono abilitate nel Key Vault, la configurazione della protezione TDE fallisce con un errore. In questo caso, la protezione dall’eliminazione temporanea e definitiva deve prima essere abilitata nell'insieme di credenziali delle chiavi, e quindi si dovrebbe eseguire l'impostazione del protettore TDE.
Quando si usa un firewall con Azure Key Vault, è necessario abilitare l'opzione Consenti ai servizi Microsoft attendibili di ignorare il firewall, a meno che non si usino endpoint privati per Azure Key Vault. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Azure Key Vault.
La chiave di protezione TDE può essere solo una chiave asimmetrica, RSA o RSA HSM. Le lunghezze di chiave supportate sono 2.048 bit e 3.072 bit.
La data di attivazione della chiave (se impostata) deve essere una data/ora nel passato. La data di scadenza (se impostata) deve essere una data e un'ora future.
La chiave deve avere lo stato Abilitato.
Se si importa una chiave esistente nel vault delle chiavi, assicurarsi che sia fornita in uno dei formati di file supportati: .pfx, .byok, o .backup. Per importare chiavi protette da HSM in HSM gestito di Azure, vedere Importare chiavi protette da HSM in HSM gestito (BYOK).
Nota
Le versioni di Thales CipherTrust Manager precedenti alla versione 2.8.0 impediscono l'uso delle chiavi appena importate in Azure Key Vault con database SQL di Azure o Istanza gestita di SQL di Azure per scenari TDE gestiti dal cliente. Qui è possibile trovare ulteriori informazioni sul problema. Per questi casi, attendere 24 ore dopo l'importazione della chiave in Azure Key Vault per iniziare a usarla come protezione TDE per il server o l'istanza gestita. Questo problema è stato risolto in Thales CipherTrust Manager v2.8.0.
Associare al massimo 500 database di utilizzo generico o 200 database business critical in totale a un Key Vault in una singola sottoscrizione per garantire la disponibilità elevata quando il server accede alla protezione TDE in Key Vault. Queste cifre si basano sull'esperienza e documentate nei limiti del servizio Azure Key Vault. L'obiettivo è prevenire problemi dopo il failover del server, in quanto verranno eseguite nel Key Vault tante operazioni chiave quanti sono i database presenti in quel server.
Imposta un blocco di risorsa sulla cassaforte delle chiavi per gestire chi ha il permesso di eliminare questa risorsa critica e prevenire l'eliminazione accidentale o non autorizzata. Altre informazioni sui blocchi delle risorse.
Abilitare il controllo e la creazione di report su tutte le chiavi di crittografia: Azure Key Vault fornisce log facili da inserire in altri strumenti di gestione degli eventi e informazioni di sicurezza. Log Analytics di Operations Management Suite è un esempio di un servizio già integrato.
Usare un vault delle chiavi da un'area di Azure in grado di replicare il contenuto in un'area associata per la massima disponibilità. Per altre informazioni, vedere Procedure consigliate per l'uso di Azure Key Vault e disponibilità e ridondanza di Azure Key Vault.
Nota
Per consentire una maggiore flessibilità nella configurazione del TDE gestito dal cliente, il database SQL di Azure e l'istanza gestita di SQL di Azure in un'area possono ora essere collegati ad Azure Key Vault in qualsiasi altra area. Non è necessario che il server e il vault delle chiavi si trovino nella stessa area.
Mantenere una copia della chiave di protezione TDE in un luogo sicuro o depositarla nel servizio di deposito.
Se la chiave viene generata nell'archivio delle chiavi, creare un backup della chiave prima di utilizzarla in Azure Key Vault per la prima volta. Il backup può essere ripristinato solo in Azure Key Vault. Altre informazioni sul comando Backup-AzKeyVaultKey. HSM gestito di Azure supporta la creazione di un backup completo dell'intero contenuto del modulo di protezione hardware, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Per ulteriori informazioni, vedere Backup e ripristino completo e ripristino selettivo delle chiavi.
Creare un nuovo backup ogni volta che vengono apportate modifiche alla chiave (ad esempio, ACL, tag, attributi chiave).
Mantenere le versioni precedenti della chiave nel servizio di gestione delle chiavi o nel Modulo di Sicurezza Hardware gestito quando si ruotano le chiavi, in modo che sia possibile ripristinare i backup meno recenti del database. Quando viene modificata la protezione TDE per un database, i backup precedenti del database non vengono aggiornati per l'uso della protezione TDE più recente. In fase di ripristino, ogni backup richiede il protettore TDE con cui è stato criptato al momento della creazione. Le rotazioni delle chiavi possono essere eseguite seguendo le istruzioni riportate in Ruotare la protezione di Transparent Data Encryption con PowerShell.
Mantenere tutte le chiavi usate in precedenza in Azure Key Vault o nel modulo di protezione hardware gestito di Azure anche dopo il passaggio alle chiavi gestite dal servizio. Garantisce che i backup del database possano essere ripristinati con le protezioni TDE archiviate in Azure Key Vault o nel modulo di protezione hardware gestito di Azure. Le protezioni TDE create con Azure Key Vault o il modulo di protezione hardware gestito di Azure devono essere mantenute fino a quando non vengono creati tutti i backup archiviati rimanenti con chiavi gestite dal servizio. Creare copie di backup recuperabili delle chiavi usando Backup-AzKeyVaultKey.
Per rimuovere una chiave potenzialmente compromessa durante un evento di sicurezza imprevisto senza il rischio di perdita di dati, seguire la procedura descritta in Rimuovere una chiave potenzialmente compromessa.
Il cambio del protettore TDE per un server significa passare a una nuova chiave asimmetrica che protegge i database sul server. La rotazione delle chiavi è un'operazione online e richiede solo alcuni secondi. L'operazione decrittografa e crittografa nuovamente la chiave di crittografia del database, non l'intero database.
La rotazione della protezione TDE può essere eseguita manualmente o usando la funzionalità di rotazione automatica.
La rotazione automatica della protezione TDE può essere abilitata durante la configurazione della protezione TDE per il server. La rotazione automatica è disabilitata per impostazione predefinita. Se abilitato, il server verificherà continuamente il Key Vault o il Managed HSM per qualsiasi nuova versione della chiave utilizzata come protettore TDE. Se viene rilevata una nuova versione della chiave, la protezione TDE nel server o nel database verrà ruotata automaticamente all’ultima versione entro 24 ore.
Quando utilizzato con la rotazione automatica delle chiavi in Azure Key Vault o con la rotazione automatica nel modulo di sicurezza hardware gestito di Azure, questa funzionalità consente una rotazione automatica completa senza intervento per il protettore TDE nel database SQL Azure e nell'istanza gestita SQL Azure.
Nota
L'impostazione di TDE con la chiave gestita dal cliente tramite rotazione manuale o automatica delle chiavi utilizzerà sempre l'ultima versione della chiave supportata. L'installazione non consente l'uso di una versione precedente o inferiore delle chiavi. L'uso costante dell’ultima versione della chiave è conforme ai criteri di sicurezza di Azure SQL che non consentono versioni precedenti delle chiavi che potrebbero essere compromesse. Le versioni precedenti della chiave possono essere necessarie a scopo di backup o ripristino del database, soprattutto in caso di backup di conservazione a lungo termine, in cui devono essere mantenute le versioni precedenti della chiave. Per le configurazioni della replica geografica, tutte le chiavi richieste dal server di origine devono essere presenti nel server di destinazione.
Per evitare problemi durante la definizione o durante la replica geografica, quando la rotazione automatica della protezione TDE è abilitata nel server primario o secondario, è importante seguire queste regole durante la configurazione della replica geografica:
Sia i server primari che secondari devono disporre delle autorizzazioni Get, wrapKey e unwrapKey per l'insieme di credenziali delle chiavi del server primario (insieme di credenziali delle chiavi che contiene la chiave di protezione TDE del server primario).
Per un server con rotazione automatica delle chiavi abilitata, prima di avviare la replica geografica, aggiungere la chiave di crittografia usata come protezione TDE nel server primario al server secondario. Il server secondario richiede l'accesso alla chiave nello stesso insieme di chiavi o HSM gestito utilizzato con il server primario e non un'altra chiave con lo stesso materiale crittografico. In alternativa, prima di avviare la replica geografica, assicurarsi che l'identità gestita del server secondario (sia essa assegnata dall'utente o dal sistema) possieda le autorizzazioni necessarie per il Vault delle chiavi del server primario o l'HSM gestito. Successivamente, il sistema proverà ad aggiungere la chiave al server secondario.
Per una configurazione di replica geografica esistente, prima di abilitare la rotazione automatica delle chiavi nel server primario, aggiungere la chiave di crittografia usata come protezione TDE nel server primario al server secondario. Il server secondario richiede l'accesso alla chiave nello stesso insieme di credenziali di chiavi o modulo di protezione hardware gestito utilizzato con il server primario (e non un'altra chiave con lo stesso materiale di chiave). In alternativa, prima di abilitare la chiave automatizzata, assicurarsi che l'identità gestita del server secondario (assegnata dall'utente o assegnata dal sistema) disponga delle autorizzazioni necessarie per l'insieme di credenziali delle chiavi del server primario e che il sistema tenti di aggiungere la chiave al server secondario.
Sono supportati scenari di replica geografica che usano chiavi gestite dal cliente (CMK) per TDE. È necessario configurare TDE con rotazione automatica delle chiavi in tutti i server se si sta configurando TDE nel portale di Azure. Per altre informazioni sulla configurazione della rotazione automatica delle chiavi per le configurazioni di replica geografica con TDE, vedere Rotazione automatica delle chiavi per le configurazioni di replica geografica.
Quando la tecnologia TDE è configurata in modo da usare una chiave gestita dal cliente, è necessario l'accesso continuo alla protezione TDE affinché il database resti online. Se il server perde l'accesso alla protezione TDE gestita dal cliente in Azure Key Vault o nel modulo di protezione hardware gestito di Azure, fino a 10 minuti un database inizia a negare tutte le connessioni con il messaggio di errore corrispondente e modificarne lo stato in Inaccessibile. L'unica azione consentita in un database con stato Inaccessibile è l'eliminazione.
Se il database non è accessibile a causa di un'interruzione intermittente della rete (ad esempio un errore 5XX), non è necessaria alcuna azione, perché i database tornano online automaticamente. Per ridurre l'impatto degli errori di rete o delle interruzioni quando si accede alla protezione TDE in Azure Key Vault o nel modulo di protezione hardware gestito di Azure, è stato introdotto un buffer di 24 ore prima che il servizio tenti di spostare il database in uno stato inaccessibile. Se si verifica un failover prima di raggiungere lo stato inaccessibile, il database diventa non disponibile a causa della perdita della cache di crittografia.
Se il server perde l'accesso alla protezione TDE gestita dal cliente in Azure Key Vault o nel modulo di protezione hardware gestito di Azure a causa di un errore di Azure Key Vault (ad esempio un errore 4XX), il database verrà spostato in uno stato inaccessibile dopo 30 minuti.
Dopo aver ripristinato l'accesso alla chiave, il ripristino online del database richiede tempo e passaggi aggiuntivi, che possono variare in base alla durata dell'indisponibilità della chiave e alle dimensioni dei dati all'interno del database.
Se l'accesso alla chiave viene ripristinato entro 30 minuti, il database verrà ripristinato automaticamente entro l'ora successiva. Tuttavia, se l'accesso alla chiave viene ripristinato dopo più di 30 minuti, la correzione automatica del database non è possibile. In questi casi, il ripristino del database comporta procedure aggiuntive tramite il portale di Azure e può richiedere molto tempo, a seconda delle dimensioni del database.
Quando il database è di nuovo online, le impostazioni a livello di server configurate in precedenza, incluse le configurazioni del gruppo di failover, i tag e le impostazioni a livello di database, ad esempio configurazioni del pool elastico, scalabilità in lettura, sospensione automatica, cronologia di ripristino temporizzato, criteri di conservazione a lungo termine e altri andranno persi. È quindi consigliabile che i clienti implementino un sistema di notifica per rilevare la perdita di accesso alla chiave di crittografia entro 30 minuti. Dopo la scadenza della finestra di 30 minuti, è consigliabile convalidare tutte le impostazioni a livello di server e database nel database ripristinato.
Di seguito è riportata una visualizzazione dei passaggi aggiuntivi necessari nel portale per riportare online un database inaccessibile.
Potrebbe verificarsi che un utente con diritti di accesso sufficienti per l'insieme delle credenziali della chiave o un modulo di protezione hardware gestito possa disabilitare accidentalmente l'accesso del server alla chiave tramite:
revoca delle autorizzazioni get, wrapKey, unwrapKey dall'insieme di credenziali delle chiavi o dal modulo di protezione hardware gestito sul server
eliminazione della chiave
eliminazione dell'insieme di credenziali o dell'HSM gestito
modifica delle regole del firewall dell'HSM gestito o dell'insieme di credenziali
eliminazione dell'identità gestita del server in Microsoft Entra ID
Altre informazioni sulle cause comuni per cui il database diventa inaccessibile.
Il blocco di connettività di rete tra l'Istanza di SQL gestita e il Key Vault o il modulo di protezione hardware (HSM) gestito si verifica principalmente quando esiste il Key Vault o la risorsa HSM gestita, ma non è possibile raggiungere il relativo endpoint dall'istanza gestita. Tutti gli scenari in cui è possibile raggiungere il servizio di gestione delle chiavi o l'endpoint HSM gestito, ma la connessione è negata o mancano le autorizzazioni, causeranno la modifica dello stato dei database a Inaccessibile.
Le cause più comuni della mancanza di connettività di rete ad Azure Key Vault o al modulo di protezione hardware gestito di Azure sono:
Testare la connettività da SQL Managed Instance a Azure Key Vault o Azure Managed HSM che ospita il TDE protector.
Nel caso in cui il test riporti TcpTestSucceeded: False, esaminare la configurazione di rete:
Per monitorare lo stato del database e abilitare gli avvisi per la perdita dell'accesso alla protezione TDE, configurare le funzionalità di Azure seguenti:
Dopo che un database viene crittografato con TDE usando una chiave di Azure Key Vault o HSM gestito di Azure, tutti i backup appena generati vengono crittografati con la stessa protezione TDE. Quando la protezione TDE viene modificata, i backup precedenti del database non vengono aggiornati per l'uso della protezione TDE più recente.
Per ripristinare un backup crittografato con un protettore TDE tramite Azure Key Vault o Azure Managed HSM, assicurarsi che il materiale della chiave sia disponibile per il server di destinazione. È pertanto consigliabile mantenere tutte le versioni precedenti del protezione TDE nel Key Vault o nel modulo di protezione hardware gestito, in modo che sia possibile ripristinare i backup del database.
Importante
Non è possibile impostare più protezioni TDE per un server in qualsiasi momento. La chiave contrassegnata con Rendi la chiave la protezione TDE predefinita nel riquadro del portale di Azure è la protezione TDE. Tuttavia, è possibile collegare più chiavi a un server senza contrassegnarle come protezione TDE. Queste chiavi non vengono usate per proteggere la chiave DEK, ma possono essere usate durante il ripristino da un backup, se il file di backup viene crittografato con la chiave con l'identificazione personale corrispondente.
Se la chiave necessaria per il ripristino di un backup non è più disponibile per il server di destinazione, viene restituito il messaggio di errore seguente nel tentativo di ripristino: "Il server <Servername> di destinazione non ha accesso a tutti gli URI di Azure Key Vault creati tra <Timestamp n. 1> e <Timestamp 2>. Ripetere l'operazione dopo il ripristino di tutti gli URI di AKV.
Per risolvere il problema, eseguire il cmdlet Get-AzSqlServerKeyVaultKey per il server di destinazione oppure il cmdlet Get-AzSqlInstanceKeyVaultKey per l'istanza gestita di destinazione per restituire l'elenco delle chiavi disponibili e identificare le chiavi mancanti. Per garantire che tutti i backup possano essere ripristinati, verificare che il server di destinazione per il ripristino abbia accesso a tutte le chiavi necessarie. Le chiavi non devono essere contrassegnate come protezione TDE.
Per altre informazioni sul ripristino dei backup per il database SQL, vedere Recuperare un database nel database SQL. Per altre informazioni sul ripristino dei backup per il pool dedicato di SQL in Azure Synapse Analytics, vedere Recuperare un pool dedicato di SQL. Per il backup/ripristino nativo di SQL Server con un'istanza gestita, vedere Avvio rapido: ripristinare un database nell’Istanza gestita di SQL.
Un'altra considerazione per i file di log: i file di log di cui è stato eseguito il backup rimangono crittografati con la protezione TDE originale, anche se è stato ruotato e il database usa ora una nuova protezione TDE. In fase di ripristino, per ripristinare il database sono necessarie entrambe le chiavi. Se il file di log usa una protezione TDE archiviata in Azure Key Vault o nel modulo di protezione hardware gestito di Azure, questa chiave è necessaria in fase di ripristino, anche se il database è stato modificato per usare TDE gestito dal servizio nel frattempo.
Con Azure Key Vault o Azure Managed HSM che forniscono più livelli di ridondanza, i TDE che utilizzano una chiave gestita dal cliente possono avvantaggiarsi della disponibilità e della resilienza di Azure Key Vault o Azure Managed HSM, e fare completo affidamento sulla soluzione di ridondanza di Azure Key Vault o Azure Managed HSM.
Azure Key Vault offre più livelli di ridondanza che garantiscono l'accesso alle chiavi anche se i singoli componenti del servizio falliscono o le regioni o le zone di disponibilità di Azure sono inattive. Per altre informazioni, vedere Disponibilità e ridondanza in Azure Key Vault.
Azure Key Vault offre i componenti seguenti di disponibilità e resilienza forniti automaticamente senza l'intervento dell'utente:
Nota
Per tutte le aree di coppia, le chiavi di Azure Key Vault vengono replicate in entrambe le aree e sono presenti moduli di protezione hardware in entrambe le aree che possono operare su tali chiavi. Per altre informazioni, vedere Replica dei dati. Questo vale sia per i livelli di servizio Standard che premium di Azure Key Vault e per le chiavi software o hardware.
La replica multiarea del modulo di protezione hardware gestito di Azure consente di estendere un pool di moduli di protezione hardware gestito di Azure da un'area di Azure (denominata area primaria) a un'altra area di Azure (denominata area estesa). Una volta configurate, entrambe le aree sono attive, in grado di gestire le richieste e, con la replica automatizzata, condividere lo stesso materiale chiave, ruoli e autorizzazioni. Per altre informazioni, vedere Abilitare la replica in più aree nel modulo di protezione hardware gestito di Azure.
In entrambi gli scenari di replica geografica attiva e gruppi di failover , i server primari e secondari coinvolti possono essere collegati all'insieme di credenziali delle chiavi di Azure o al modulo di protezione hardware gestito di Azure che si trova in qualsiasi area. Il server e l'archivio chiavi o l'HSM gestito non devono necessariamente essere collocati nella stessa regione. In questo modo, per semplicità, i server primari e secondari possono essere connessi allo stesso Key Vault o HSM gestito (in qualsiasi regione). Ciò consente di evitare scenari in cui il materiale criptografico potrebbe non essere sincronizzato se vengono usati insiemi di credenziali delle chiavi separati o gli HSM gestiti per entrambi i server.
Azure Key Vault e Azure Managed HSM hanno più livelli di ridondanza per garantire che le chiavi e i Key Vault rimangano disponibili in caso di errori del servizio o dell'area. La ridondanza è supportata dalle regioni abbinate e non abbinate. Per altre informazioni, vedere Disponibilità e ridondanza in Azure Key Vault.
Esistono diverse opzioni per archiviare la chiave di protezione TDE, in base ai requisiti dei clienti:
Sfrutta Azure Key Vault e la resilienza nativa delle aree associate o la resilienza delle aree non abbinate.
Sfruttare il modulo di protezione hardware del cliente e caricare le chiavi in Azure Key Vault in insiemi di credenziali delle chiavi di Azure separati in più aree.
Sfruttare il modulo di protezione hardware gestito di Azure e l'opzione di replica tra aree.
Il diagramma seguente rappresenta una configurazione per l'area abbinata (primaria e secondaria) per un failover incrociato di Azure Key Vault con la configurazione di Azure SQL per la replica geografica usando un gruppo di failover:
Sia i server primari che secondari in Azure SQL accedono ad Azure Key Vault nell'area primaria.
Il failover di Azure Key Vault viene avviato dal servizio Azure Key Vault e non dal cliente.
In caso di failover di Azure Key Vault nell'area secondaria, il server in Azure SQL può comunque accedere allo stesso insieme di credenziali delle chiavi di Azure. Anche se a livello interno, la connessione di Azure Key Vault viene reindirizzata all'Azure Key Vault nella regione secondaria.
Le creazioni di nuove chiavi, le importazioni e le rotazioni delle chiavi sono possibili solo quando l'Azure Key Vault primario è disponibile.
Quando si verifica il failover, la rotazione delle chiavi non è consentita fino a quando l'Azure Key Vault nella regione primaria della regione associata non è nuovamente accessibile.
Il cliente non può connettersi manualmente all'area secondaria.
L'Azure Key Vault è in modalità di sola lettura mentre Azure Key Vault nell'area primaria non è disponibile.
Il cliente non può scegliere o controllare l'area in cui si trova il Key Vault di Azure.
Per l'area non abbinata, entrambi i server SQL di Azure accedono ad Azure Key Vault nella prima area (come indicato nel grafico) e Azure Key Vault usa l'archiviazione con ridondanza della zona per replicare i dati all'interno dell'area, tra zone di disponibilità indipendenti della stessa area.
Per altre informazioni, vedere disponibilità e ridondanza di Azure Key Vault, coppie di aree di Azure e aree non abbinatee contratti di servizio per Azure Key Vault.
Usare l'opzione zone-redundant di Azure SQL MI e Azure SQL DB per aumentare la resilienza. Per altre informazioni, vedere Che cosa sono le zone di disponibilità di Azure?.
Usare i gruppi di failover per Azure SQL MI e Azure SQL DB per il disaster recovery in una regione secondaria. Per ulteriori informazioni, vedere panoramica dei gruppi di failover, & procedure consigliate,.
Quando un database fa parte di gruppi di replica geografica o failover attivi e diventa inaccessibile, il piano di controllo SQL interrompe il collegamento e converte il database in un database autonomo. Dopo aver corretto le autorizzazioni della chiave, il database primario può in genere essere riportato online. Non è possibile riportare online il database secondario perché SQL di Azure non esegue backup completi per i database secondari in base alla progettazione. È consigliabile eliminare i database secondari e ristabilire il collegamento.
La configurazione potrebbe richiedere una zona DNS più complessa se in Azure SQL vengono usati endpoint privati, ad esempio non è possibile creare due endpoint privati per la stessa risorsa nella stessa zona DNS.
Assicurarsi che le applicazioni sfruttano la logica di ripetizione dei tentativi.
Esistono diversi scenari in cui i clienti potrebbero voler scegliere una soluzione HSM gestita di Azure su Azure Key Vault:
Requisito di connessione manuale al caveau secondario.
Requisito di accesso in lettura alla cassaforte anche in caso di errore.
Flessibilità per scegliere l'area in cui viene replicato il materiale chiave
L'uso del modulo di protezione hardware gestito di Azure consente ai clienti di creare una replica esatta dell'HSM se l'originale viene perso o non è disponibile.
Uso del modulo di protezione hardware gestito di Azure per i requisiti di sicurezza o normativi.
Possibilità di eseguire il backup dell'intero insieme di credenziali rispetto al backup di singole chiavi.
Per ulteriori informazioni, vedere Abilitare la replica in più aree nel modulo di protezione hardware gestito di Azure e ripristino di emergenza nel modulo di protezione hardware gestito.
È possibile utilizzare i Criteri di Azure per applicare TDE gestito dal cliente durante la creazione o l'aggiornamento di un server database SQL di Azure o Istanza gestita di SQL di Azure. Con questo criterio, qualsiasi tentativo di creare o aggiornare un server logico in Azure o un'istanza gestita avrà esito negativo se non è configurato con una chiave gestita dal cliente. È possibile applicare i Criteri di Azure all'intera sottoscrizione di Azure o solo all'interno di un gruppo di risorse.
Per ulteriori informazioni sui Criteri di Azure, vedere Cos'è Criteri di Azure e Struttura della definizione dei Criteri di Azure.
I due criteri predefiniti seguenti sono supportati per TDE gestito dal cliente nei Criteri di Azure:
I criteri TDE gestiti dal cliente possono essere gestiti passando al portale di Azure e cercando il servizio Criteri. In Definizioni cercare la chiave gestita dal cliente.
Esistono tre effetti per questi criteri:
Se il criterio di Azure per il TDE gestito dal cliente è impostato su Nega, la creazione del server logico SQL di Azure o dell'istanza gestita non riuscirà. I dettagli di questo errore verranno registrati nel log attività del gruppo di risorse.
Importante
Le versioni precedenti dei criteri predefiniti per TDE gestiti dal cliente contenenti gli effetti AuditIfNotExist sono stati deprecati. Le assegnazioni di criteri esistenti che usano i criteri deprecati non subiranno modifiche e continueranno a funzionare normalmente.
Formazione
Modulo
Informazioni su come gestire la disponibilità e il ripristino da emergenze con Istanza gestita di SQL abilitata per Azure Arc.
Certificazione
Microsoft Certificato: Associato Amministratore di Database Azure - Certifications
Amministrare un'infrastruttura di database SQL Server per database relazionali, ibridi, locali e cloud con le offerte di database relazionali Microsoft PaaS.