Обновление защиты прозрачного шифрования данных (TDE)

2025-07-02

Применимо к:База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics (только выделенные пулы SQL)

В этой статье описывается смена ключей для сервера, который использует предохранитель TDE из Azure Key Vault. Смена логического протектора TDE для сервера означает переход на новый асимметричный ключ, который защищает базы данных на сервере. Смена ключей выполняется через Интернет буквально за несколько секунд, так как для этой операции достаточно расшифровать и повторно шифровать только ключ шифрования данных, а не всю базу данных.

В этой статье рассматриваются автоматические и ручные методы для ротации защитного механизма TDE на сервере.

Важные аспекты при переключении защиты TDE

При изменении или смене средства защиты TDE старые резервные копии базы данных, включая файлы журнала резервного копирования, не обновляются для использования последнего средства защиты TDE. Чтобы восстановить резервную копию, зашифрованную с помощью средства защиты TDE из Azure Key Vault или Управляемого устройства HSM Azure, убедитесь, что материал ключа доступен целевому серверу. Поэтому рекомендуется сохранить все старые версии защиты TDE в Azure Key Vault или Управляемом HSM Azure, чтобы можно было восстановить резервные копии баз данных.
Даже при переходе с управляемого клиентом ключа (CMK) на управляемый службой ключ сохраните все ранее используемые ключи в Azure Key Vault или управляемом HSM Azure. Это гарантирует, что резервные копии баз данных, включая резервные копии файлов журналов, можно восстановить с помощью средств защиты TDE, хранящихся в Azure Key Vault или Управляемом HSM Azure.
Помимо старых резервных копий файлы журнала транзакций также могут требовать доступа к старому предохранителю TDE. Чтобы определить наличие оставшихся журналов, для которых по-прежнему требуется старый ключ, после смены ключей используйте динамическое административное представление sys.dm_db_log_info. Этот динамическое административное представление возвращает сведения о виртуальном файле журнала транзакций (VLF) и его отпечатке ключа шифрования.
Старые ключи должны храниться в Azure Key Vault или Azure Managed HSM и быть доступны серверу в соответствии с периодом хранения резервных копий, установленным на основе политик хранения резервных копий в базе данных. Это позволяет гарантировать, что все резервные копии долгосрочного хранения (LTR) на сервере по-прежнему можно будет восстановить с помощью старых ключей.

Примечание.

Работу приостановленного выделенного пула SQL в Azure Synapse Analytics необходимо возобновить до смены ключа.

Эта статья относится к базам данных SQL Azure, управляемым экземплярам SQL Azure и выделенным пулам SQL в Azure Synapse Analytics (ранее — SQL Data Warehouse). Документацию по прозрачному шифрованию данных (TDE) для выделенных пулов SQL в рабочих пространствах Synapse можно найти в разделе Шифрование в Azure Synapse Analytics.

Предварительные условия

В этом руководстве предполагается, что вы уже используете ключ из Azure Key Vault в качестве средства защиты TDE для База данных SQL Azure или Azure Synapse Analytics. См. Прозрачное шифрование данных с поддержкой BYOK.
У вас должна быть установлена и запущена среда Azure PowerShell.

Совет

Рекомендуется, но необязательно. Сначала создайте ключевой материал для защиты TDE в аппаратном модуле безопасности (HSM) или локальном хранилище ключей и импортируйте материал ключа в Azure Key Vault. Следуйте инструкциям по использованию аппаратного модуля безопасности (HSM) и Azure Key Vault , чтобы узнать больше.

Перейдите на портал Azure.

Автоматическая смена клавиш

Автоматическое обновление средства защиты TDE может быть включено при настройке средства защиты TDE для сервера или базы данных из портала Azure или с помощью приведённых ниже команд PowerShell или Azure CLI. После включения сервер или база данных постоянно проверяет хранилище ключей для любых новых версий ключа, используемых в качестве средства защиты TDE. Если обнаружена новая версия ключа, средство защиты TDE на сервере или базе данных будет автоматически поворачиваться на последнюю версию ключа в течение 24 часов.

Автоматическая ротация на сервере, в базе данных или управляемом экземпляре может использоваться с автоматической ротацией ключей в Azure Key Vault для обеспечения сквозной ротации без взаимодействия для ключей TDE.

Примечание.

Если на сервере или управляемом экземпляре настроена георепликация, прежде чем включить автоматическое вращение, необходимо следовать дополнительным рекомендациям, как описано здесь.

В случае использования портала Azure выполните следующие действия:

Перейдите к разделу прозрачного шифрования данных для существующего сервера или управляемого экземпляра.
Выберите параметр ключ, управляемый клиентом и выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE.
Установите флажок автоматического поворота ключа .
Выберите Сохранить.

Инструкции по установке модуля Az PowerShell см. в разделе "Установка Azure PowerShell".

Чтобы включить автоматическую смену защиты TDE с помощью PowerShell, см. следующий сценарий. Его <keyVaultKeyId> можно получить из Azure Key Vault.

База данных SQL Azure

Используйте команду Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Управляемый экземпляр SQL Azure

Используйте команду Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

Сведения об установке текущего выпуска Azure CLI см. в статье Установка Azure CLI.

Чтобы включить автоматическую смену протектора TDE с помощью Azure CLI, см. следующий скрипт.

База данных SQL Azure

Используйте команду az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Управляемый экземпляр SQL Azure

Используйте команду az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Автоматическая смена ключей на уровне базы данных

Автоматическая смена ключей также может быть включена на уровне базы данных для База данных SQL Azure. Это полезно, если требуется включить автоматическую смену ключей только для одного или подмножества баз данных на сервере. Дополнительные сведения см. в разделе "Управление удостоверениями и ключами для TDE" с ключами, управляемыми клиентом на уровне базы данных.

Сведения о настройке автоматического вращения ключей на уровне базы данных в портале Azure см. статью Обновление существующей базы данных Azure SQL с ключами, управляемыми клиентом.

Чтобы включить автоматическую ротацию протектора TDE на уровне базы данных с помощью PowerShell, см. следующую команду ниже. Используйте параметр -EncryptionProtectorAutoRotation и установите его на $true для включения автоматического поворота ключей или на $false для отключения автоматического поворота ключей.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

Чтобы включить автоматическую смену протектора TDE на уровне базы данных с использованием Azure CLI, выполните следующую команду. Используйте параметр --encryption-protector-auto-rotation и установите его на True для включения автоматического поворота ключей или на False для отключения автоматического поворота ключей.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Автоматическая смена ключей для конфигураций георепликации

В конфигурации георепликации Azure SQL Database, где основной сервер использует TDE с CMK, вторичный сервер также должен быть настроен, чтобы включить TDE с CMK, используя тот же ключ, который применен на основном сервере.

Портал
PowerShell

В случае использования портала Azure выполните следующие действия:

Перейдите к разделу прозрачного шифрования данных для основного сервера.
Выберите параметр ключ, управляемый клиентом и выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE.
Установите флажок автоматического поворота ключа .
Выберите Сохранить.
Перейдите к разделу прозрачного шифрования данных для вторичного сервера.
Выберите параметр ключ, управляемый клиентом и выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE. Используйте тот же ключ, что и для первичного сервера.
Уберите отметку Сделать этот ключ защитником TDE по умолчанию.
Выберите Сохранить.

Когда ключ поворачивается на первичном сервере, он автоматически передается на дополнительный сервер.

Примечание.

Если один и тот же ключ хранилища ключей на основном сервере используется в качестве средства защиты TDE по умолчанию на вторичном сервере, убедитесь, что для обоих серверов включен автоматический поворот ключа. Невыполнение этого может привести к тому, что рабочие процессы автоматической смены попадут в состояние ошибки и препятствовать дальнейшим операциям смены ключей вручную.

Элемент <keyVaultKeyId> можно получить из Azure Key Vault.

Используйте команду Add-AzSqlServerKeyVaultKey, чтобы добавить новый ключ на дополнительныйсервер.

# add the key from Azure Key Vault to the secondary server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Добавьте тот же ключ на первом шаге на первичный сервер.

# add the key from Azure Key Vault to the primary server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Используйте Set-AzSqlInstanceTransparentDataEncryptionProtector, чтобы задать ключ в качестве основного протектора на основном сервере с автоматическим поворотом ключа true.
```
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
 -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
 -AutoRotationEnabled $true
```

Поверните ключ в Azure Key Vault с помощью команды Get-AzKeyVaultKey и Set-AzKeyVaultKeyRotationPolicy.

Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"}

Проверьте, имеет ли SQL Server (первичный и вторичный) новый ключ или версию ключа:

Примечание.

Обновление ключей может занять до часа для применения на сервере. Подождите по крайней мере час перед выполнением этой команды.
```
Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
```

Использование разных ключей для каждого сервера

Можно настроить первичные и вторичные серверы, используя другой ключ в хранилище ключей, при настройке TDE с помощью CMK в портале Azure. В портале Azure не очевидно, что ключ, используемый для защиты первичного сервера, также защищает основную базу данных, которая была реплицирована на вторичный сервер. Однако для получения сведений о ключах, используемых на сервере, можно использовать PowerShell, Azure CLI или REST API. В этом примере показано, что автоматически вращаемые ключи передаются с первичного сервера на дополнительный сервер.

Ниже приведен пример использования команд PowerShell для проверки ключей, передаваемых с первичного сервера на дополнительный сервер после смены ключей.

Выполните следующую команду на основном сервере, чтобы отобразить ключевые сведения сервера:
```
Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
```

У вас должен отобразиться результат, аналогичный следующему:

ResourceGroupName : <SQLDatabaseResourceGroupName> 
ServerName        : <logicalServerName> 
ServerKeyName     : <keyVaultKeyName> 
Type              : AzureKeyVault 
Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
Thumbprint        : <thumbprint> 
CreationDate      : 12/13/2022 8:56:32 PM

Выполните ту же Get-AzSqlServerKeyVaultKey команду на вторичном сервере:

Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>

Если вторичный сервер имеет защиту TDE по умолчанию с использованием другого ключа, чем ключ первичного сервера, вы увидите два (или более) ключа. Первый ключ является предохранителем TDE по умолчанию, а второй — ключом, используемым на сервере-источнике, используемым для защиты реплицированной базы данных.
Когда ключ поворачивается на первичном сервере, он автоматически передается на дополнительный сервер. Если бы вы снова запустили Get-AzSqlServerKeyVaultKey на основном сервере, вы должны увидеть два ключа. Первый ключ — это исходный ключ, а второй — текущий ключ, созданный в рамках смены ключа.
Get-AzSqlServerKeyVaultKey При выполнении команды на сервере-получателе также должны отображаться те же ключи, которые присутствуют на основном сервере. Это подтверждает, что перевёрнутые ключи на основном сервере автоматически передаются на вторичный сервер и используются для защиты копии базы данных.

Смена ключей вручную

Обновление ключей вручную использует следующие команды, чтобы добавить новый ключ, который может находиться под новым именем ключа или даже в другом хранилище ключей. Использование этого подхода позволяет добавлять один и тот же ключ в разные хранилища ключей для поддержки сценариев высокой доступности и гео-аварийного восстановления. Ротация ключей вручную также может быть выполнена с помощью портала Azure.

При ручной смене ключа (в хранилище ключей вручную или с помощью политики автоматического поворота ключей), новая версия ключа должна быть установлена вручную как защита TDE на сервере.

Примечание.

Общая длина имени хранилища ключей и имени ключа не может превышать 94 символа.

На портале Azure:

Перейдите в меню прозрачного шифрования данных для существующего сервера или управляемого экземпляра.
Выберите параметр ключ, управляемый заказчиком и выберите хранилище ключей и ключ, которые будут использоваться как новый протектор TDE.
Выберите Сохранить.

Используйте команду Add-AzKeyVaultKey, чтобы добавить новый ключ в хранилище ключей.

# add a new key to Azure Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Для База данных SQL Azure используйте:


# add the new key from Azure Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Для Управляемый экземпляр SQL Azure используйте:

# add the new key from Azure Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

Используйте команду az keyvault key create, чтобы добавить новый ключ в хранилище ключей.

# add a new key to Azure Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Для База данных SQL Azure используйте:

az sql server key create — создаёт ключ для SQL сервера
az sql server tde-key set — установка ключа TDE (Transparent Data Encryption) для сервера SQL

# add the new key from Azure Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Для Управляемый экземпляр SQL Azure используйте:

# add the new key from Azure Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Переключение режима предохранителя TDE

С помощью портала Azure для переключения защитного механизма TDE с управляемого Microsoft в режим BYOK:

Перейдите в меню прозрачного шифрования данных для существующего сервера или управляемого экземпляра.
Выберите параметр ключа, управляемого клиентом.
Выберите хранилище ключей и ключ, которые будут использоваться в качестве средства защиты TDE.
Выберите Сохранить.

База данных SQL Azure

Чтобы переключить защиту TDE из режима BYOK, управляемого корпорацией Майкрософт, используйте команду Set-AzSqlServerTransparentDataEncryptionProtector .
```
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
     -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
```
Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт, используйте команду Set-AzSqlServerTransparentDataEncryptionProtector .
```
Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
     -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
```

Управляемый экземпляр SQL Azure

Чтобы переключить режим защиты TDE из управляемого корпорацией Майкрософт режима в режим BYOK, используйте команду Set-AzSqlInstanceTransparentDataEncryptionProtector.
```
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
     -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
```
Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт, используйте команду Set-AzSqlInstanceTransparentDataEncryptionProtector .
```
Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
     -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
```

База данных SQL Azure

В следующих примерах используется команда az sql server tde-key set.

Чтобы переключить защиту TDE из управляемого Корпорацией Майкрософт режима BYOK, выполните следующие действия.
```
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
```
Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт:
```
az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
```

Управляемый экземпляр SQL Azure

В следующих примерах используется az sql mi tde-key set.

Чтобы переключить защиту TDE из управляемого Корпорацией Майкрософт режима BYOK, выполните следующие действия.
```
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
```
Чтобы переключить предохранитель TDE из режима BYOK в управляемый корпорацией Майкрософт:
```
az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
```

Если есть риск безопасности, узнайте, как удалить потенциально скомпрометированный предохранитель TDE: удалите потенциально скомпрометированный ключ.
Начало работы с интеграцией Azure Key Vault и поддержкой собственных ключей для TDE. Включите TDE с помощью собственного ключа из Azure Key Vault с помощью PowerShell.

Поделиться через

Обновление защиты прозрачного шифрования данных (TDE)

Важные аспекты при переключении защиты TDE

Предварительные условия

Автоматическая смена клавиш

Автоматическая смена ключей на уровне базы данных

Автоматическая смена ключей для конфигураций георепликации

Использование разных ключей для каждого сервера

Смена ключей вручную

Переключение режима предохранителя TDE

Связанный контент

Обратная связь

Дополнительные ресурсы