Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server
Соединитель SQL Server для Azure Key Vault позволяет шифрованию SQL Server использовать службу Azure Key Vault в качестве поставщика расширенного управления ключами (EKM) для защиты ключей шифрования SQL Server.
В этой статье описывается соединитель SQL Server. Дополнительные сведения доступны в:
- Настройка расширенного управления ключами SQL Server TDE с помощью Azure Key Vault
- Использование соединителя SQL Server с компонентами шифрования SQL
- Соединитель SQL Server, приложение
Что такое расширяемое управление ключами (EKM) и зачем его использовать?
SQL Server предоставляет несколько типов шифрования, которые помогают защитить конфиденциальные данные, включая прозрачное шифрование данных (TDE),шифрование столбца данных (CLE) и шифрование резервных копий. Во всех этих случаях в рамках этой традиционной иерархии ключей данные шифруются с помощью симметричного ключа шифрования (DEK). Ключ шифрования симметричного данных дополнительно защищен путем шифрования его с помощью иерархии ключей, хранящихся в SQL Server.
Альтернативой этой модели является модель поставщика расширенного управления ключами. Использование архитектуры поставщика EKM позволяет SQL Server защитить ключи шифрования данных с помощью асимметричного ключа, хранящегося за пределами SQL Server во внешнем поставщике шифрования. Эта модель добавляет дополнительный уровень безопасности и разделяет управление ключами и данными.
На следующем рисунке традиционная управляемая службой иерархия ключей сравнивается с хранилищем ключей Azure.
Соединитель SQL Server служит мостом между SQL Server и Azure Key Vault, поэтому SQL Server может использовать масштабируемость, высокую производительность и высокий уровень доступности службы Azure Key Vault. На следующем рисунке показано, как иерархия ключей работает в архитектуре поставщика EKM с Azure Key Vault и соединителем SQL Server.
Azure Key Vault можно использовать с установками SQL Server на виртуальных машинах Azure и для локальных серверов. Служба хранилища ключей также предоставляет возможность использовать жестко контролируемые и отслеживаемые аппаратные модули безопасности (HSM) для обеспечения более высокого уровня защиты асимметричных ключей шифрования. Дополнительные сведения о хранилище ключей см. в статье Хранилище ключей Azure.
Примечание.
Поддерживаются только Azure Key Vault и Azure Key Vault Managed HSM. Azure Cloud HSM не поддерживается.
На следующем изображении представлен поток процесса расширенного управления ключами с использованием хранилища ключей. (Номера шагов процесса на изображении не предназначены для сопоставления номеров шагов установки, которые следуют изображению.)
Примечание.
Версии 1.0.0.440 и более ранние версии больше не поддерживаются в рабочих средах. Обновите до версии 1.0.1.0 или более поздней версии, перейдя в Центр загрузки Майкрософт и выполнив инструкции на странице обслуживания соединителя SQL Server и устранения неполадок в разделе "Обновление соединителя SQL Server".
На следующем шаге см. инструкции по настройке расширяемого управления ключами SQL Server TDE с помощью Azure Key Vault.
Сценарии использования см. в статье Использование Соединителя SQL Server с компонентами шифрования SQL.