• 10/12/2020
  • 9 minute de citit

    • s

    • m

    • V

    • D

    • M

In acest articol

SE APLICA: Azure SQL Database Azure SQL Instance Managed Azure Synapse Analytics

Criptarea transparenta a datelor (TDE) ajuta la protejarea bazei de date SQL Azure, instanta administrata Azure SQL si Azure Synapse Analytics impotriva amenintarii activitatii offline daunatoare prin criptarea datelor in repaus. Realizeaza criptarea si decriptarea in timp real a bazei de date, copiile de rezerva asociate si fisierele jurnal de tranzactii in repaus, fara a necesita modificari ale aplicatiei. In mod implicit, TDE este activat pentru toate bazele de date SQL nou implementate si trebuie activat manual pentru bazele de date mai vechi ale Azure SQL Database, Azure SQL Managed Instance. TDE trebuie sa fie activat manual pentru Azure Synapse Analytics.

TDE efectueaza criptare I / O in timp real si decriptare a datelor la nivel de pagina. Fiecare pagina este decriptata cand este citita in memorie si apoi criptata inainte de a fi scrisa pe disc. TDE cripteaza stocarea unei baze de date intregi utilizand o cheie simetrica numita Cheia de criptare a bazei de date (DEK). La pornirea bazei de date, DEK criptat este decriptat si apoi utilizat pentru decriptare si recriptare a fisierelor bazei de date in procesul de baza de date SQL Server. DEK este protejat de protectorul TDE. Protectorul TDE este fie un certificat gestionat de servicii (criptare transparenta a datelor gestionat de servicii), fie o cheie asimetrica stocata in Azure Key Vault (criptare transparenta gestionata de client).

Pentru baza de date SQL Azure si Azure Synapse, protectorul TDE este setat la nivel de server si este mostenit de toate bazele de date asociate cu acel server. Pentru Azure SQL Managed Instance, protectorul TDE este setat la nivelul instantei si este mostenit de toate bazele de date criptate din acea instanta. Termenul de server se refera atat la server, cat si la instanta in tot acest document, cu exceptia cazului in care se specifica altfel.

Important

Toate bazele de date nou create in baza de date SQL sunt criptate in mod implicit utilizand criptarea datelor transparente gestionate de servicii. Bazele de date SQL existente create inainte de mai 2017 si bazele de date SQL create prin restaurare, geo-replicare si copierea bazei de date nu sunt criptate in mod implicit. Bazele de date existente cu instante gestionate SQL create inainte de februarie 2019 nu sunt criptate in mod prestabilit. Bazele de date SQL Instance Managed create prin restaurare mostenesc starea de criptare de la sursa.

Nota

TDE nu poate fi utilizat pentru a cripta bazele de date de sistem, cum ar fi baza de date master , in baza de date SQL Azure si instanta administrata Azure SQL. Baza de date principala contine obiecte necesare pentru efectuarea operatiunilor TDE pe bazele de date ale utilizatorilor. Se recomanda sa nu stocati date sensibile in bazele de date ale sistemului. Criptarea infrastructurii este acum lansata, care cripteaza bazele de date ale sistemului, inclusiv master.

Criptare transparenta a datelor gestionata de servicii

In Azure, setarea implicita pentru TDE este ca DEK este protejat de un certificat de server incorporat. Certificatul de server incorporat este unic pentru fiecare server, iar algoritmul de criptare utilizat este AES 256. Daca o baza de date se afla intr-o relatie de geo-replicare, atat baza de date primara, cat si cea geo-secundara sunt protejate de cheia de server parinte a bazei de date primare.

pprno sin bragas en la calle
me follo a mi tia porno rspañol
supertetas incestos gays
porno hablado español videos de lucio saints
maduras españolas sexo recopilacion pajas
lesbianas incesto venezolanas desnudas
pillados follando española viciosa
todoporno forzadas a follar
chochitos jovenes jovencitas pilladas masturbandose
sexo gratis incesto madre española follando con su hijo
p0rno shemalehd
pareja española follando vidio pirno
incesto xxx maduras lesbianas tetonas
viejas muy calientes abuela enculada
parejitas españolas follando pareja follando en la playa
tetona amateur xxxgay
peliculas porno de incesto gratis incestos jovencitas
xxx prostitutas mujeres fornicando
porno canario bbw abuelas
pajas trans madres que se follan a sus hijos

Daca doua baze de date sunt conectate la acelasi server, ele partajeaza si acelasi certificat incorporat. Microsoft roteste automat aceste certificate in conformitate cu politica interna de securitate, iar cheia radacina este protejata de un magazin secret intern Microsoft. Clientii pot verifica conformitatea bazei de date SQL si a instantei gestionate SQL cu politicile de securitate interne in rapoartele de audit independente ale tertilor disponibile in Microsoft Trust Center.

De asemenea, Microsoft muta si gestioneaza perfect tastele dupa cum este necesar pentru geo-replicare si restaurare.

Criptare transparenta gestionata de clienti – Aduceti-va propria cheie

TDE gestionat de clienti este denumit si suport Bring Your Own Key (BYOK) pentru TDE. In acest scenariu, TDE Protector care cripteaza DEK este o cheie asimetrica gestionata de client, care este stocata intr-un seif Azure Key Vault detinut si gestionat de client (sistemul de gestionare a cheilor externe bazat pe cloud Azure) si nu paraseste niciodata seiful cheii. TDE Protector poate fi generat de seiful cheii sau transferat in seiful cheii de la un dispozitiv de securitate hardware (HSM) local. Baza de date SQL, instanta administrata SQL si Azure Synapse trebuie sa primeasca permisiuni la seiful de chei detinut de client pentru a decripta si cripta DEK. Daca permisiunile serverului catre seiful cheii sunt revocate, o baza de date va fi inaccesibila si toate datele sunt criptate

Cu TDE cu integrarea Azure Key Vault, utilizatorii pot controla sarcinile de gestionare a cheilor, inclusiv rotatii cheie, permisiuni de seif cheie, backup-uri cheie si sa permita auditul / raportarea tuturor protectoarelor TDE utilizand functionalitatea Azure Key Vault. Key Vault asigura gestionarea centrala a cheilor, valorifica HSM-urile strict monitorizate si permite separarea sarcinilor intre gestionarea cheilor si a datelor pentru a contribui la respectarea politicilor de securitate. Pentru a afla mai multe despre BYOK pentru Azure SQL Database si Azure Synapse, consultati Criptarea transparenta a datelor cu integrare Azure Key Vault.

Pentru a incepe sa utilizati TDE cu integrarea Azure Key Vault, consultati ghidul de activare Activarea criptarii transparente a datelor utilizand propria cheie din Key Vault.

Mutati o baza de date transparenta protejata prin criptarea datelor

Nu trebuie sa decriptati bazele de date pentru operatiuni in Azure. Setarile TDE din baza de date sursa sau baza de date primara sunt mostenite in mod transparent pe tinta. Operatiunile incluse includ:

  • Geo-restaurare
  • Restaurare punct-in-timp de autoservire
  • Restaurarea unei baze de date sterse
  • Geo-replicare activa
  • Crearea unei copii a bazei de date
  • Restabiliti fisierul de rezerva la instanta administrata Azure SQL

Important

Efectuarea copierii de rezerva manuala COPIE NUMAI a unei baze de date criptate prin TDE administrat de servicii nu este acceptata in Azure SQL Managed Instance, deoarece certificatul utilizat pentru criptare nu este accesibil. Utilizati caracteristica de restaurare punct-in-timp pentru a muta acest tip de baza de date intr-o alta instanta gestionata SQL sau comutati la cheia gestionata de client.

Cand exportati o baza de date protejata TDE, continutul exportat al bazei de date nu este criptat. Acest continut exportat este stocat in fisiere BACPAC necriptate. Asigurati-va ca protejati corect fisierele BACPAC si activati TDE dupa finalizarea importului noii baze de date.

De exemplu, daca fisierul BACPAC este exportat dintr-o instanta SQL Server, continutul importat al noii baze de date nu este criptat automat. La fel, daca fisierul BACPAC este importat intr-o instanta SQL Server, noua baza de date nu este criptata automat.

Singura exceptie este atunci cand exportati o baza de date catre si din baza de date SQL. TDE este activat pe noua baza de date, dar fisierul BACPAC in sine nu este inca criptat.

Gestionati criptarea transparenta a datelor

  • Portalul Azure
  • PowerShell
  • Transact-SQL
  • API REST

Gestionati TDE in portalul Azure.

Pentru a configura TDE prin portalul Azure, trebuie sa fiti conectat ca proprietar Azure, colaborator sau SQL Security Manager.

Activati si dezactivati TDE la nivelul bazei de date. Pentru Azure SQL Managed Instance, utilizati Transact-SQL (T-SQL) pentru a activa si dezactiva TDE pe o baza de date. Pentru baza de date SQL Azure si Azure Synapse, puteti gestiona TDE pentru baza de date din portalul Azure dupa ce v-ati conectat cu contul Azure Administrator sau Contributor. Gasiti setarile TDE in baza de date a utilizatorilor. In mod implicit, se utilizeaza criptarea datelor transparente gestionate de servicii. Un certificat TDE este generat automat pentru serverul care contine baza de date.

Setati cheia principala TDE, cunoscuta sub numele de protector TDE, la nivel de server sau instanta. Pentru a utiliza TDE cu suport BYOK si a va proteja bazele de date cu o cheie din Key Vault, deschideti setarile TDE de pe server.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR