Šifrēšanas atslēgas pārvaldība

Visas Microsoft Dataverse vides izmanto SQL servera caurskatāmo datu šifrēšanu (Transparent Data Encryption — TDE), lai veiktu datu reāllaika šifrēšanu, tos ierakstot diskā, sauktu arī par neaktīvo šifrēšanu.

Pēc noklusējuma Microsoft glabā un pārvalda datu bāzu šifrēšanas atslēgu jūsu vidēm, lai jums tas nebūtu jādara. Administrēšanas centra pārvaldīto atslēgu līdzeklis Microsoft Power Platform sniedz administratoriem iespēju patstāvīgi pārvaldīt datu bāzes šifrēšanas atslēgu, kas ir saistīta ar nomnieku Dataverse .

Šifrēšanas atslēgas pārvaldība ir piemērojama tikai Azure SQL vides datu bāzēm. Tālāk norādītie līdzekļi un pakalpojumi turpina izmantot Microsoft pārvaldīto šifrēšanas atslēgu, lai šifrētu savus datus, un tos nevar šifrēt ar pašu pārvaldītu šifrēšanas atslēgu:

• Copilots un ģeneratīvais AI funkcijas un Microsoft Power Platform Microsoft Dynamics 365
• Dataverse meklēšana
• Elastīgās tabulas
• Mobile Offline
• Darbību žurnāls (Microsoft 365 portāls)
• Exchange (servera puses sinhronizācija)

Iepazīšanās ar atslēgu pārvaldību

Izmantojot atslēgu pārvaldību, administratori var nodrošināt paši savu šifrēšanas atslēgu vai iegūt viņiem ģenerētu šifrēšanas atslēgu, kas tiek izmantota, lai aizsargātu vides datu bāzi.

Atslēgu pārvaldības līdzeklis atbalsta gan PFX, gan BYOK šifrēšanas atslēgu failus, piemēram, failus, kas tiek glabāti aparatūras drošības modulī (HSM). Lai izmantotu šifrēšanas atslēgas augšupielādes opciju, ir nepieciešama gan publiskā, gan privātā šifrēšanas atslēga.

Atslēgu pārvaldības līdzeklis vienkāršo šifrēšanas atslēgu pārvaldību, izmantojot Azure Key Vault, lai droši glabātu šifrēšanas atslēgas. Azure Key Vault palīdz aizsargāt šifrēšanas atslēgas un slepenu informāciju, kas izmantota mākoņa programmās un pakalpojumos. Atslēgu pārvaldības līdzeklim nav nepieciešams Azure Key Vault abonements, un lielākajā daļā gadījumu nav nepieciešams piekļūt šifrēšanas atslēgām, kas Dataverse tiek izmantotas seifā.

Pārvaldīto atslēgu līdzeklis ļauj veikt tālāk norādītos uzdevumus.

• Iespējot ar vidēm saistītu datu bāzu šifrēšanas atslēgu patstāvīgas pārvaldības iespēju.

• Ģenerēt jaunas šifrēšanas atslēgas vai augšupielādēt esošus .PFX vai .BYOK šifrēšanas atslēgu failus.

• Bloķēt un atbloķēt nomnieka vides.

  Brīdinājums.

  Kamēr nomnieks ir bloķēts, neviens nevar piekļūt nevienai nomnieka videi. Papildinformācija: Nomnieka bloķēšana.

Izprotiet iespējamo risku, veicot atslēgu pārvaldību

Tāpat kā jebkuras citas kritiskās biznesa programmas gadījumā jūsu organizācijas darbiniekiem, kuriem ir piekļuve administratīvā līmenī, jābūt uzticamiem. Pirms izmantojat atslēgu pārvaldības līdzekli, jums jāizprot risks, veicot datu bāzu šifrēšanas atslēgu pārvaldību. Ir iespējams, ka ļaunprātīgs administrators (persona, kurai ir piešķirta vai kura ir ieguvusi administratora līmeņa piekļuvi ar nolūku kaitēt organizācijas drošības vai biznesa procesiem), kas strādā jūsu organizācijā, var izmantot pārvaldīto atslēgu līdzekli, lai izveidotu atslēgu, un izmantot to, lai bloķētu visas nomnieka vides.

Apsveriet šādu scenāriju.

Ļaunprātīgais administrators pierakstās Power Platform administrēšanas centrā, pāriet uz cilni Vides un atlasa Pārvaldīt šifrēšanas atslēgu. Pēc tam ļaunprātīgs administrators izveido jaunu atslēgu ar paroli, lokālajā diskā lejupielādē šifrēšanas atslēgu un aktivizē jaunu atslēgu. Tagad visas vides datu bāzes tiek šifrētas ar jauno atslēgu. Pēc tam ļaunprātīgais administrators bloķē nomnieku, izmantojot tikko lejupielādēto atslēgu, un pēc tam paņem vai dzēš lejupielādēto šifrēšanas atslēgu.

Šo darbību rezultātā tiek atspējota tiešsaistes piekļuve visām nomnieka vidēm un visi datu bāzu dublējumi kļūst neatjaunojami.

Šifrēšanas atslēgas prasības

Ja nodrošināt savu šifrēšanas atslēgu, jūsu atslēgai ir jāatbilst šīm prasībām, kas tiek pieņemtas pakalpojumā Azure Key Vault.

• Šifrēšanas atslēgas failu formātam ir jābūt PFX vai BYOK.
• 2048 bitu RSA.
• RSA-HSM atslēgas tips (nepieciešams Microsoft atbalsta pieprasījums).
• PFX šifrēšanas atslēgu failiem jābūt aizsargātiem ar paroli.

Papildinformāciju par HSM aizsargātas atslēgas ģenerēšanu un pārsūtīšanu internetā skatiet sadaļā Kā ģenerēt un pārsūtīt ar HSM aizsargātas atslēgas pakalpojumam Azure Key Vault. Tikai nCipher Piegādātāja HSM atslēga tiek atbalstīta. Pirms HSM atslēgas ģenerēšanas dodieties uz Power Platform administrēšanas centra logu Pārvaldīt šifrēšanas atslēgas/Izveidot jaunu atslēgu, lai iegūtu savas vides reģiona abonementa ID. Lai izveidotu atslēgu, nokopējiet un ielīmējiet šo abonementa ID savā HSM. Tādējādi tiek nodrošināts, ka tikai mūsu Azure Key Vault var atvērt jūsu failu.

Atslēgu pārvaldības uzdevumi

Lai vienkāršotu galvenos pārvaldības uzdevumus, uzdevumi tiek sadalīti trīs jomās:

1. Šifrēšanas atslēgas ģenerēšana vai augšupielāde nomniekam
2. Šifrēšanas atslēgas aktivizēšana nomniekam
3. Šifrēšanas pārvaldība videi

Administratori var lietot Power Platform administrēšanas centru vai Power PlatformMicrosoft.Xrm.OnlineManagementAPI PowerShell moduli cmdlets, lai veiktu šeit aprakstītos nomnieku drošības atslēgu pārvaldības uzdevumus.

Šifrēšanas atslēgas ģenerēšana vai augšupielāde nomniekam

Visas šifrēšanas atslēgas tiek glabātas Azure Key Vault, un jebkurā brīdī var būt tikai viena aktīva atslēga. Tā kā aktīvā atslēga tiek izmantota, lai šifrētu visas nomnieka vides, šifrēšanas pārvaldība tiek veikta nomnieka līmenī. Pēc tam, kad atslēga ir aktivizēta, var atlasīt katru atsevišķu vidi, lai atslēgu izmantotu šifrēšanai.

Izmantojiet šo procedūru, lai pirmo reizi videi iestatītu pārvaldītās atslēgas līdzekli vai mainītu (vai apgāztu) šifrēšanas atslēgu nomniekam, kas jau pats sevi pārvalda.

1. Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).

2. Atlasiet cilni Vides un pēc tam rīkjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.

3. Atlasiet Apstiprināt , lai apstiprinātu pārvaldītās atslēgas risku.

4. Rīkjoslā atlasiet Jauna atslēga.

5. Kreisajā rūtī aizpildiet detalizēto informāciju, lai ģenerētu vai augšupielādētu atslēgu:

   • Atlasiet Reģions. Šī opcija tiek rādīta tikai tad, ja nomniekam ir vairāki reģioni.
   • Ievadiet Atslēgas nosaukums.
   • Izvēlieties kādu no tālāk minētajām opcijām:
     • Lai izveidotu jaunu atslēgu, atlasiet Ģenerēt jaunu (.pfx). Papildinformācija: Jaunas atslēgas izveide (. pfx).
     • Lai izmantotu savu ģenerēto atslēgu, atlasiet Augšupielādēt (.pfx vai.byok). Papildinformācija: Atslēgas augšupielāde (.pfx vai .byok).

6. Atlasiet Tālāk.

Jaunas atslēgas ģenerēšana (.pfx)

1. Ievadiet paroli un pēc tam atkārtoti ievadiet paroli, lai apstiprinātu.
2. Atlasiet Izveidot un pēc tam pārlūkprogrammā atlasiet izveidoto faila paziņojumu.
3. Šifrēšanas atslēgas .PFX fails ir lejupielādēts jūsu tīmekļa pārlūkprogrammas noklusējuma lejupielāžu mapē. Saglabājiet failu drošā vietā (ieteicams šo atslēgu dublēt kopā ar tās paroli).

Atslēgas augšupielāde (.pfx vai .byok)

1. Atlasiet Augšupielādēt atslēgu, atlasiet .pfx vai .byok¹ failu un pēc tam atlasiet Atvērt.
2. Ievadiet atslēgas paroli un pēc tam atlasiet Izveidot.

¹ .byok šifrēšanas atslēgas failu gadījumā pārliecinieties, ka, eksportējot šifrēšanas atslēgu no vietējā HSM, izmantojat abonementa ID, kā parādīts attēlā. Papildinformācija: Kā ģenerēt un pārvietot HSM aizsargātas atslēgas Azure Key Vault.

Šifrēšanas atslēgas aktivizēšana nomniekam

Kad nomniekam ir ģenerēta vai augšupielādēta šifrēšanas atslēga, to var aktivizēt.

1. Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
2. Atlasiet cilni Vides un pēc tam rīkjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
3. Atlasiet Apstiprināt , lai apstiprinātu pārvaldītās atslēgas risku.
4. Atlasiet atslēgu ar statusu Pieejams un pēc tam rīkjoslā atlasiet Aktivizēt atslēgu.
5. Atlasiet Apstiprināt , lai apstiprinātu atslēgas maiņu.

Kad aktivizējat nomnieka atslēgu, atslēgas pārvaldības servisam ir nepieciešams laiks, lai atslēgu aktivizētu. Kad tiek aktivizēta jaunā vai augšupielādētā atslēga, Atslēgas statuss parāda atslēgu kā Tiek instalēta. Kad atslēga ir aktivizēta, notiek tālāk minētais.

• Visas šifrētās vides tiek automātiski šifrētas ar aktīvo atslēgu (šai darbībai nav dīkstāves).
• Kad šifrēšanas atslēga ir aktivizēta, tā tiek lietota visās vidēs, kas tiek mainītas no Microsoft nodrošinātas uz pašu pārvaldītu šifrēšanas atslēgu.

Šifrēšanas pārvaldība videi

Pēc noklusējuma katra vide tiek šifrēta, izmantojot Microsoft nodrošinātu šifrēšanas atslēgu. Pēc tam, kad nomniekam ir aktivizēta šifrēšanas atslēga, administratori var izvēlēties mainīt noklusējuma šifrēšanu, lai izmantotu aktivizēto šifrēšanas atslēgu. Lai izmantotu aktivizēto atslēgu, veiciet tālām minētās darbības.

Šifrēšanas atslēgas lietošana videi

1. Piesakieties Power Platform administrēšanas centrā, izmantojot vides administratora vai sistēmas administratora lomas akreditācijas datus.
2. Atlasiet cilni Vides.
3. Atveriet šifrēto vidi Microsoft nodrošināts.
4. Atlasiet Skatīt visu
5. Sadaļā Vides šifrēšana atlasiet Pārvaldīt.
6. Atlasiet Apstiprināt , lai apstiprinātu pārvaldītās atslēgas risku.
7. Atlasiet Lietot šo atslēgu, lai akceptētu šifrēšanas maiņu aktivizētās atslēgas izmantošanai.
8. Atlasiet Apstiprināt , lai apstiprinātu, ka pārvaldāt atslēgu tieši un ka šai darbībai ir dīkstāve.

Atgriešanās no pārvaldītas šifrēšanas atslēgas pie Microsoft nodrošinātas šifrēšanas atslēgas

Atgriešanās pie Microsoft nodrošinātas šifrēšanas atslēgas konfigurē vidi atpakaļ uz noklusējuma uzvedību, kur Microsoft pārvalda šifrēšanas atslēgu jūsu vietā.

1. Piesakieties Power Platform administrēšanas centrā, izmantojot vides administratora vai sistēmas administratora lomas akreditācijas datus.
2. Atlasiet cilni Vides un pēc tam atlasiet vidi, kas tiek šifrēta, izmantojot patstāvīgi pārvaldītu atslēgu.
3. Atlasiet Skatīt visu
4. Sadaļā Vides šifrēšana atlasiet Pārvaldīt un pēc tam atlasiet Apstiprināt.
5. Sadaļā Atgriezties pie standarta šifrēšanas pārvaldības atlasiet Atgriezties.
6. Ražošanas vidēs apstipriniet vidi, ievadot vides nosaukumu.
7. Atlasiet Apstiprināt, lai atgrieztos pie standarta šifrēšanas atslēgas pārvaldības.

Nomnieka bloķēšana

Tā kā katram nomniekam ir tikai viena aktīva atslēga, bloķējot nomnieka šifrēšanu, tiek atspējotas visas nomnieka vides. Visas bloķētās vides paliek pilnībā nepieejamas visiem, ieskaitot Microsoft, līdz Power Platform servisa administrators jūsu organizācijā to atbloķē, izmantojot atslēgu, kas tika izmantota tās bloķēšanai.

1. Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
2. Atlasiet cilni Vides un pēc tam komandjoslā atlasiet Pārvaldīt šifrēšanas atslēgas.
3. Atlasiet atslēgu Aktīvs un pēc tam atlasiet Bloķēt aktīvās vides.
4. Labajā rūtī atlasiet Augšupielādēt aktīvo atslēgu, atrodiet un atlasiet atslēgu, ievadiet paroli un pēc tam atlasiet Bloķēt.
5. Kad tiek piedāvāts, ievadiet tekstu, kas tiek rādīts ekrānā, lai apstiprinātu, ka vēlaties bloķēt visas vides reģionā, un pēc tam atlasiet Apstiprināt.

Bloķētas vides atbloķēšana

Lai atbloķētu vides, vispirms ir jāaugšupielādē un pēc tam jāaktivizē nomnieka šifrēšanas atslēga ar to pašu atslēgu, kas tika izmantota nomnieka bloķēšanai. Ņemiet vērā, ka bloķētās vides netiek atbloķētas automātiski, tiklīdz atslēga ir aktivizēta. Katra bloķētā vide ir jāatbloķē atsevišķi.

Šifrēšanas atslēgas atbloķēšana

1. Piesakieties administrēšanas Power Platform centrā kā administrators (Dynamics 365 administrators vai Microsoft Power Platform administrators).
2. Atlasiet cilni Vides un pēc tam atlasiet Pārvaldīt šifrēšanas atslēgas.
3. Atlasiet atslēgu ar statusu Bloķēts un pēc tam komandjoslā atlasiet Atbloķēt atslēgu.
4. Atlasiet Augšupielādēt bloķēto atslēgu, atrodiet un atlasiet atslēgu, kas izmantota, lai bloķētu nomnieku, ievadiet paroli un pēc tam atlasiet Atbloķēt. Atslēgas status mainās uz Instalēšana. Lai varētu atbloķēt bloķētās vides, jāpagaida, līdz atslēgas statuss ir Aktīvs.
5. Lai atbloķētu vidi, skatiet nākamo sadaļu.

Vides atbloķēšana

1. Atlasiet cilni Vides un pēc tam atlasiet bloķētās vides nosaukumu.

   Padoms

   Neatlasiet rindu. Atlasiet vides nosaukumu.

2. Sadaļā Detalizēta informācija atlasiet Skatīt visu, lai labajā pusē parādītu rūti Detalizēta informācija.

3. Šifrēšanas sadaļā Vides rūtī Detalizēta informācija atlasiet Pārvaldīt.

   

4. Lapā Vides šifrēšana atlasiet Atbloķēt.

   

5. Atlasiet Apstiprināt, lai apstiprinātu, ka vēlaties atbloķēt vidi.

6. Atkārtojiet iepriekšējās darbības, lai atbloķētu citas vides.

Vides datubāzes operācijas

Klienta nomniekam var būt vides, kuras ir šifrētas, izmantojot Microsoft pārvaldīto atslēgu, un vides, kuras ir šifrētas ar klienta pārvaldītu atslēgu. Lai saglabātu datu integritāti un aizsardzību, pārvaldot vides datu bāzu operācijas, ir pieejami šādi kontroles pasākumi:

1. Atjaunot Pārrakstāmā vide (atjaunotā vide) ir ierobežota tajā pašā vidē, no kuras tika ņemts dublējums, vai citā vidē, kas ir šifrēta ar to pašu klienta pārvaldīto atslēgu.

   

2. Kopēt Pārrakstāmā vide (kopētā vide) ir ierobežota ar citu vidi, kas ir šifrēta ar to pašu klienta pārvaldīto atslēgu.

   

   Piezīmes

   Tika izveidota Atbalsta izpētes vide, lai atrisinātu atbalsta problēmu klienta pārvaldītā vidē, šifrēšanas atslēga Atbalsta izpētes videi ir jāmaina uz klienta pārvaldītu atslēgu iekams var veikt vides kopēšanas darbību.

3. Atiestatīt Vides šifrētie dati tiek dzēsti, ieskaitot dublējumus. Pēc vides atiestatīšanas vides šifrējums atgriezīsies uz Microsoft pārvaldīto atslēgu.

Saistītais saturs

SQL Server: caurspīdīga datu šifrēšana (TDE)