Šifravimo rakto valdymas

Visos Microsoft Dataverse duomenų bazės aplinkos naudoja „SQL Serverio“ skaidrųjį duomenų šifravimą (TDE), kuriuo į diską įrašomi duomenys šifruojami realiuoju laiku – tai dar vadinama šifravimu poilsio metu.

Pagal numatytuosius parametrus „Microsoft“ saugo ir valdo aplinkų duomenų bazės šifravimo raktus už jus. Valdymo raktų funkcija Microsoft Power Platform administravimo centre suteikia administratoriams galimybę savarankiškai valdyti duomenų bazės šifravimo raktą, susietą su Dataverse nuomotoju.

Šifravimo rakto valdymas taikomas tik „Azure“ SQL aplinkos duomenų bazėse. Toliau nurodytos funkcijos ir paslaugos toliau naudoja "Microsoft" valdomą šifravimo raktą savo duomenims užšifruoti ir jų negalima užšifruoti naudojant savarankiškai valdomą šifravimo raktą:

• Kopilotai ir generatyvinės AI funkcijos Microsoft Power Platform ir Microsoft Dynamics 365
• „Dataverse“ ieška
• Elastiniai stalai
• „Mobile Offline“
• Veiklos žurnalas („Microsoft 365“ portalas)
• „Exchange“ (sinchronizavimas serveryje)

Įvadas į raktų valdymą

Raktų valdymas administratoriams leidžia patiems nurodyti šifravimo raktą arba jį sugeneruoti – šiuo raktu apsaugoma aplinkos duomenų bazė.

Raktų valdymo funkcija palaiko PFX ir BYOK šifravimo raktų failus, pvz., saugomus aparatūros saugos modulyje (HSM). Jei norite naudoti šifravimo rakto įkėlimo parinktį, jums reikia ir viešojo, ir privataus šifravimo rakto.

Raktų valdymo funkcija supaprastina šifravimo raktų valdymą naudodama „Azure Key Vault“, kur saugomi šifravimo raktai. „Azure Key Vault“ padeda apsaugoti kriptografinius raktus ir paslaptis, kurias naudoja debesies programos ir paslaugos. Raktų valdymo funkcijai nereikia turėti "Azure Key Vault" prenumeratos ir daugeliu atvejų nereikia pasiekti šifravimo raktų, naudojamų Dataverse saugykloje.

Valdomųjų raktų funkcija leidžia atlikti toliau nurodytas užduotis.

• Suteikti galimybę savarankiškai valdyti duomenų bazės šifravimo raktus, susijusius su aplinkomis.

• Generuoti naujus šifravimo raktus arba įkelti esamų .PFX arba .BYOK šifravimo raktų failus.

• Užrakinti ir atrakinti nuomotojo aplinkas.

  Įspėjimas

  Kol nuomotojas užrakintas, nuomotojuje esančių aplinkų niekas negali pasiekti. Daugiau informacijos: Nuomotojo užrakinimas.

Supratimas apie galimus raktų valdymo pavojus

Kaip ir bet kurioje verslui gyvybiškai svarbioje srityje, administracinio lygio prieigą turintys jūsų organizacijos darbuotojai privalo būti patikimi. Prieš naudojant raktų valdymo funkciją, reikėtų suprasti duomenų bazės šifravimo raktų valdymo pavojus. Gali būti, kad jūsų organizacijoje dirbantis kenkėjiškas administratorius (asmuo, kuriam suteikta arba kuris gavo administratoriaus lygio prieigą, siekdamas pakenkti organizacijos saugai arba verslo procesams), gali naudoti valdomųjų raktų funkciją, kad sukurtų raktą ir naudotų jį užrakinti visas nuomotojo aplinkas.

Apsvarstykite tokią įvykių seką.

Kenkėjiškas administratorius prisijungia prie „Power Platform“ administravimo centro, eina į skirtuką Aplinkos ir pasirenka Valdyti šifravimo raktus. Tada kenkėjiškas administratorius sukuria naują raktą su slaptažodžiu, atsisiunčia šifravimo raktą į vietinį diską ir suaktyvina naują raktą. Dabar visos aplinkos duomenų bazės užšifruotos nauju raktu. Paskui kenkėjiškas administratorius užrakina nuomotoją naujai atsisiųstu raktu, tada paima arba panaikina atsisiųstą šifravimo raktą.

Dėl šių veiksmų visos nuomotojo aplinkos išjungiamos nuo internetinės prieigos ir visos duomenų bazės atsarginės kopijos tampa neatkuriamos.

Šifravimo raktų reikalavimai

Jei nurodote savo šifravimo raktą, jis turi atitikti šiuos Azure Key Vault priimtus reikalavimus.

• Šifravimo rakto failo formatas turi būti PFX arba BYOK.
• 2048 bitų RSA.
• RSA-HSM rakto tipas (reikalinga "Microsoft" palaikymo užklausa).
• PFX šifravimo raktų failai turi būti apsaugoti slaptažodžiu.

Daugiau informacijos apie HSM apsaugoto rakto generavimą ir perdavimą internetu rasite Kaip sugeneruoti ir perkelti HSM apsaugotus raktus "Azure Key Vault". Palaikomas tik "nCipml" tiekėjo HSM raktas. Prieš sugeneruodami HSM raktą eikite į Power Platform Šifravimo raktų valdymas/Sukurti naują rakto langą, kad gautumėte jūsų aplinkos regiono prenumeratos ID. Norėdami sukurti raktą, turite kopijuoti ir įklijuoti šį prenumeratos ID į savo HSM. Tai užtikrina, kad failą galės atidaryti tik mūsų "Azure Key Vault".

Raktų valdymo užduotys

Siekiant supaprastinti rakto valdymo užduotis, užduotys suskirstomos į tris sritis.

1. Nuomotojo šifravimo rakto generavimas arba nusiuntimas
2. Nuomotojo šifravimo rakto aktyvinimas
3. Aplinkos šifravimo valdymas

Administratoriai gali naudoti Power Platform administravimo centrą ar Power Platform administravimo modulį cmdlets tam, kad atliktų čia aprašytas nuomotojo apsaugos rakto valdymo užduotis.

Šifravimo rakto sukūrimas arba siuntimas nuomotojui

Visi šifravimo raktai saugomi saugykloje „Azure Key Vault“; be to, vienu metu gali būti tik vienas aktyvusis raktas. Kadangi aktyvusis raktas naudojamas užšifruoti visas nuomotojo aplinkas, šifravimas valdomas nuomotojo lygiu. Suaktyvinus raktą, galima pažymėti kiekvieną aplinką atskirai, kad jose būtų naudojamas šifravimo raktas.

Naudokite šią procedūrą norėdami pirmą kartą nustatyti valdomojo rakto funkciją aplinkoje arba pakeisti (arba perkelti) jau savarankiškai valdomo nuomotojo šifravimo raktą.

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).

2. Pažymėkite skirtuką Aplinkos, tada įrankių juostoje pasirinkite Valdyti šifravimo raktus.

3. Pasirinkite Patvirtinti , kad pripažintumėte valdomo rakto riziką.

4. Įrankių juostoje pasirinkite Naujas raktas.

5. Kairiojoje srityje įveskite išsamią informaciją, jei norite sukurti arba nusiųsti raktą.

   • Pasirinkite Regionas. Ši parinktis rodoma tik jei jūsų nuomotojas turi kelis regionus.
   • Įveskite Rakto pavadinimas.
   • Pasirinkite iš tolesnių parinkčių:
     • Norėdami sukurti naują raktą, pasirinkite Kurti naują (.pfx). Daugiau informacijos: Naujo rakto sukūrimas (.pfx).
     • Jei norite naudoti savo sukurtą raktą, pasirinkite Nusiųsti (.pfx arba .byok). Daugiau informacijos: Rakto nusiuntimas (.pfx arba .byok).

6. Pasirinkite Toliau.

Naujo rakto sukūrimas (.pfx)

1. Įveskite slaptažodį, tada dar kartą įveskite slaptažodį, kad patvirtintumėte.
2. Pasirinkite Kurti, tada naršyklėje pasirinkite sukurtą failo pranešimą.
3. Šifravimo rakto .PFX failas atsisiunčiamas į žiniatinklio naršyklės numatytąjį atsisiuntimo aplanką. Įrašykite failą saugioje vietoje (rekomenduojame sukurti šio rakto ir slaptažodžio atsargines kopijas).

Nusiųsti raktą (.pfx arba .byok)

1. Pasirinkite Nusiųsti raktą, pasirinkite .pfx arba .byok¹ failą, tada pasirinkite Atidaryti.
2. Įveskite rakto slaptažodį, tada pasirinkite Kurti.

¹ Jei naudojate .byok šifravimo raktų failus, įsitikinkite, kad eksportuodami šifravimo raktą iš savo vietinio HSM naudojate ekrane rodomą prenumeratos id. Daugiau informacijos: Kaip kurti ir perduoti HSM apsaugotus raktus „Azure Key Vault“.

Nuomotojo šifravimo rakto suaktyvinimas

Sukūrus ir nusiuntus šifravimo raktą nuomotojui, raktą galima suaktyvinti.

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
2. Pažymėkite skirtuką Aplinkos, tada įrankių juostoje pasirinkite Valdyti šifravimo raktus.
3. Pasirinkite Patvirtinti , kad pripažintumėte valdomo rakto riziką.
4. Pažymėkite raktą, kurio būsena yra Pasiekiamas, ir įrankių juostoje pasirinkite Aktyvinti raktą.
5. Pasirinkite Patvirtinti , kad patvirtintumėte rakto pakeitimą.

Kai aktyvinate nuomotojo raktą, raktų valdymo tarnybai reikia laiko, kad suaktyvintų raktą. Lauke Rakto būsena rodoma, kad raktas Diegiamas, kai naujas arba nusiųstas raktas aktyvinamas. Aktyvinus raktą, įvyksta toliau aprašyti dalykai.

• Visos užšifruotos aplinkos automatiškai užšifruojamos aktyviuoju raktu (atliekant šį veiksmą nėra prastovų).
• Suaktyvinus šifravimo raktas taikomas visoms aplinkoms, kurios yra pakeistos iš "Microsoft" pateikto į savarankiškai valdomą šifravimo raktą.

Šifravimo aplinkoje valdymas

Pagal numatytuosius parametrus kiekviena aplinka užšifruojama naudojant „Microsoft“ pateiktą šifravimo raktą. Suaktyvinus nuomotojo šifravimo raktą, administratoriai gali pakeisti numatytąjį šifravimą ir naudoti suaktyvintą šifravimo raktą. Norėdami naudoti suaktyvintą raktą, atlikite toliau pateikiamus veiksmus.

Šifravimo rakto taikymas aplinkai

1. Prisijunkite prie „Power Platform” administravimo centro naudodamiesi aplinkos arba sistemos administratoriaus vaidmens kredencialais.
2. Pasirinkite skirtuką Aplinkos.
3. Atidarykite užšifruotą aplinką „Microsoft“ pateikta.
4. Pasirinkite Žr. viską.
5. Skyriuje Aplinkos šifravimas pasirinkite Valdyti.
6. Pasirinkite Patvirtinti , kad pripažintumėte valdomo rakto riziką.
7. Pasirinkite Taikyti šį raktą, kad sutiktumėte pakeisti šifravimą ir naudoti suaktyvintą raktą.
8. Pasirinkite Patvirtinti , kad patvirtintumėte, jog raktą tvarkote tiesiogiai ir kad šiam veiksmui atlikti yra prastovų.

Vietoj valdomo šifravimo rakto vėl naudoti „Microsoft“ pateikiamą šifravimo raktą

Sugrąžinus „Microsoft“ pateikiamą šifravimo raktą, aplinka konfigūruojama, gražinant numatytąjį veikimo būdą, kai „Microsoft“ valdo šifravimo raktą už jus.

1. Prisijunkite prie „Power Platform” administravimo centro naudodamiesi aplinkos arba sistemos administratoriaus vaidmens kredencialais.
2. Pasirinkite skirtuką Aplinkos, tada pasirinkite aplinką, užšifruotą naudojant savarankiškai valdomą raktą.
3. Pasirinkite Žr. viską.
4. Skyriuje Aplinkos šifravimas pasirinkite Valdyti, tada pasirinkite Patvirtinti.
5. Dalyje Grįžti prie standartinio šifravimo valdymo pasirinkite Grįžti .
6. Gamybos aplinkose patvirtinkite aplinką, įvesdami aplinkos pavadinimą.
7. Pasirinkite Patvirtinti, kad grįžtumėte prie standartinio šifravimo rakto valdymo.

Nuomotojo rakinimas

Kadangi vienam nuomotojui yra tik vienas aktyvus raktas, užrakinus nuomotojo šifravimą išjungiamos visos nuomotojuje esančios aplinkos . Visos užrakintos aplinkos yra niekam nepasiekiamos, įskaitant „Microsoft“, kol jūsų organizacijos Power Platform aptarnavimo administratorius jo neatrakins raktu, kuriuo jis buvo užrakintas.

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
2. Pažymėkite skirtuką Aplinkos, tada komandų juostoje pasirinkite Valdyti šifravimo raktus.
3. Pažymėkite raktą Aktyvusis ir pasirinkite Užrakinti aktyviąsias aplinkas.
4. Dešiniojoje srityje pasirinkite Nusiųsti aktyvųjį raktą, raskite ir pasirinkite raktą, įveskite slaptažodį, tada pasirinkite Užrakinti.
5. Paraginti įveskite ekrane rodomą tekstą, kad patvirtintumėte, jog norite užrakinti visas regiono aplinkas, ir pasirinkite Patvirtinti

Užrakintų aplinkų atrakinimas

Norėdami atrakinti aplinkas, pirmiausia turite nusiųsti ir suaktyvinti nuomotojo šifravimo raktą tuo pačiu raktu, kuris buvo naudojamas nuomotojui užrakinti. Atminkite, kad užrakintos aplinkos automatiškai neatrakinamos, kai raktas suaktyvinamas. Kiekvieną užrakintą aplinką reikia atrakinti atskirai.

Šifravimo rakto atrakinimas

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius ("Dynamics 365" administratorius arba Microsoft Power Platform administratorius).
2. Pažymėkite skirtuką Aplinkos, tada pasirinkite Valdyti šifravimo raktus.
3. Pažymėkite raktą, kurio būsena yra Užrakintas, ir komandų juostoje pasirinkite Atrakinti raktą.
4. Pasirinkite Nusiųsti užrakintą raktą, raskite ir pasirinkite raktą, kuriuo buvo užrakintas nuomotojas, įveskite slaptažodį, tada pasirinkite Atrakinti. Rakto būsena tampa Diegiamas. Prieš atrakindami užrakintas aplinkas, turite palaukti, kol rakto būsena taps Aktyvusis.
5. Norėdami atrakinti aplinką, žr. kitą skyrių.

Aplinkų atrakinimas

1. Pasirinkite skirtuką Aplinkos, o po to pasirinkite užrakintos aplinkos pavadinimą.

   Arbatpinigiai

   Nežymėkite eilutės. Pasirinkite aplinkos pavadinimą.

2. Skyriuje Išsami informacija pasirinkite Žr. viską, kad dešinėje būtų rodoma sritis Išsami informacija.

3. Dalies Aplinka šifravimo skyriuje srityje Išsami informacija pasirinkite Valdyti.

   

4. Puslapyje Aplinkos šifravimas pasirinkite Atrakinti.

   

5. Pasirinkite Patvirtinti, kad patvirtintumėte, jog norite atrakinti aplinką.

6. Pakartokite ankstesnius veiksmus, kad atrakintumėte kitas aplinkas.

Aplinkos duomenų bazės operacijos

Kliento nuomotojas gali turėti aplinkas, kurios užšifruotos naudojant „Microsoft“ valdomą raktą, ir aplinkas, kurios užšifruotos naudojant kliento valdomą raktą. Siekiant išlaikyti duomenų vientisumą ir duomenų apsaugą, tvarkant aplinkos duomenų bazės operacijas pasiekiami šie valdikliai.

1. Atkurti Aplinka, kurią reikia perrašyti (atkurta aplinka), apribota ta pačia aplinka, iš kurios buvo padaryta atsarginė kopija, arba į kitą aplinką, užšifruotą tuo pačiu kliento valdomu raktu.

   

2. Kopijuoti Aplinka, kurią reikia perrašyti (nukopijuota į aplinką), apribota kita aplinka, kuri yra užšifruota tuo pačiu kliento valdomu raktu.

   

   Pastaba.

   Jei buvo sukurta palaikymo tyrimo aplinka problemai spręsti kliento valdomoje aplinkoje, prieš atliekant operaciją Kopijuoti aplinką, palaikymo tyrimo aplinkos šifravimo raktas turi būti pakeistas kliento valdomu raktu.

3. Nustatyti iš naujo Aplinkos užšifruoti duomenys panaikinami, įskaitant atsargines kopijas. Iš naujo nustačius aplinką, aplinkos šifravimas bus vykdomas naudojant „Microsoft“ valdomą raktą.

Susijęs turinys

SQL serveris: skaidrus duomenų šifravimas (TDE)