Správa šifrovacieho kľúča

Všetky prostredia Microsoft Dataverse používajú transparentné šifrovanie údajov SQL Server (TDE) na vykonanie šifrovania a údajov zapísaných na disku. Známe je to aj pod výrazom šifrovanie v pokoji.

Predvolene Microsoft ukladá a spravuje šifrovacie kľúč databázy vašich prostredí, aby ste to nemuseli robiť vy. Funkcia spravovaných kľúčov v Microsoft Power Platform centre správcov dáva správcom možnosť samostatne spravovať šifrovací kľúč databázy, ktorý je priradený k Dataverse nájomníkovi.

Správa šifrovacích kľúčov platí iba pre databázy prostredia Azure SQL. Nasledujúce funkcie a služby naďalej používajú na šifrovanie údajov šifrovací kľúč spravovaný spoločnosťou Microsoft a nie je možné ich zašifrovať pomocou samospravovaného šifrovacieho kľúča:

• Kopiloti a generatívne funkcie AI v Microsoft Power Platform a Microsoft Dynamics 365
• Vyhľadávanie Dataverse
• Elastické stolíky
• Mobile Offline
• Denník aktivity (portál Microsoft 365)
• Exchange (synchronizácia na strane servera)

Úvod do správy kľúčov

Cez správu kľúčov môžu správcovia poskytovať ich vlastné šifrovacie kľúče alebo si môžu nechať vygenerovať šifrovacie kľúče, ktoré sa využívajú na ochranu databázy pre prostredie.

Funkciu riadenia pomocou kľúča podporuje súbory šifrovacích kľúčov PFX a BYOK , ako sú tie, ktoré sú uložené v hardvérovom bezpečnostnom module (HSM). Ak chcete použiť možnosť šifrovacieho kľúča nahrávania, potrebujete verejný aj súkromný šifrovací kľúč.

Funkcia správy kľúčov zjednodušuje komplexnosť správy šifrovacieho kľúča pomocou Azure Key Vault na bezpečné uloženie šifrovacích kľúčov. Azure Key Vault pomáha chrániť kryptografické kľúče a tajné kľúče využívaním cloudových aplikácií a služieb. Funkcia správy kľúčov nevyžaduje, aby ste mali predplatné Azure Key Vault a vo väčšine situácií nie je potrebné pristupovať k šifrovacím kľúčom používaným pre Dataverse v rámci trezoru.

Funkcia spravovaných kľúčov vám umožňuje vykonávať nasledujúce úlohy.

• Povoliť schopnosť samostatne spravovať databázy šifrovacie kľúče, ktoré sú spojené s prostrediami.

• Generovať nové šifrovacie kľúče alebo nahrať existujúce súbory šifrovacích kľúčov .PFX alebo .BYOK.

• Zamykať a odomykať prostredia nájomníka.

  Upozornenie

  Kým je nájomník uzamknutý, k všetkým prostrediam v rámci nájomníka nemôže nikto pristupovať. Viac informácií: Zamknutie nájomníka.

Pochopte potenciálne riziko pri správe svojich kľúčov

Rovnako ako u akejkoľvek kritické aplikácie personálu vo vašej organizácii, ktorí majú prístup na administratívnej úrovni musí byť dôveryhodný. Predtým, ako použijete funkciu riadenia pomocou kľúča, mali by ste pochopiť riziko spojené so spravovaním databázy šifrovacích kľúčov. Je možné, že škodlivý správca (osoba, ktorej bol udelený alebo získaný prístup na úrovni správcu s úmyslom poškodiť bezpečnosť organizácie alebo obchodné procesy), ktorý pracuje vo vašej organizácii, môže použiť funkciu spravovaných kľúčov na vytvorenie kľúča a jeho použitie na uzamknutie všetkých prostredí v nájomníkovi.

Zvážte nasledujúci sled udalostí.

Škodlivý správca sa prihlasuje do centra spravovania Power Platform, ide na kartu Prostredia a vyberie Správa šifrovacieho kľúča. Škodlivý správca potom vytvorí nový kľúč s heslom, stiahne si šifrovací kľúč na svoju lokálnu jednotku a aktivuje nový kľúč. Teraz sú všetky databázy prostredia šifrované pomocou nového kľúča. Potom škodlivý správca uzamkne nájomníka pomocou novo stiahnutého kľúča a následne si vezme alebo odstráni stiahnutý šifrovací kľúč.

Výsledkom týchto akcií je zakázanie prístupu online všetkým prostrediam v rámci nájomníka a všetky zálohy databázy sa nedajú obnoviť.

Požiadavky na šifrovací kľúč

Ak poskytnete svoj vlastný šifrovací kľúč, kľúč musí spĺňať tieto požiadavky, ktoré sú akceptované zo strany Azure Key Vault.

• Formát šifrovacieho kľúču súboru musí byť PFX alebo BYOK.
• 2048-bitové RSA.
• Typ kľúča RSA-HSM (vyžaduje požiadavku podpory spoločnosti Microsoft).
• Súbory šifrovacieho kľúča PFX musia byť chránené heslo.

Ďalšie informácie o generovaní a prenose kľúča chráneného HSM cez internet nájdete v časti Ako vygenerovať a preniesť kľúče chránené HSM pre Azure Key Vault. Iba Kľúč nCipher Vendor HSM je podporovaný. Pred vygenerovaním kľúča HSM prejdite na okno centra spravovania Power Platform Spravujte šifrovacie kľúče/Vytvorte nový kľúč na získanie ID predplatného pre vašu oblasť prostredia. Ak chcete vytvoriť kľúč, musíte toto ID predplatného skopírovať a vložiť do HSM. To zaisťuje, že váš súbor môže otvoriť iba náš Azure Key Vault.

Úlohy správy kľúčov

Aby sa zjednodušili kľúčové úlohy spravovania, úlohy sú rozdelené do troch oblastí:

1. Vygenerujte alebo nahrajte šifrovací kľúč pre nájomníka
2. Aktivujte šifrovací kľúč pre nájomníka
3. Spravujte šifrovanie pre prostredie

Správcovia môžu používať centrum spravovania Power Platform alebo rutiny cmdlet modulu správcu Power Platform na vykonanie tu opísaných úloh správy ochrany kľúčov nájomníka.

Vytvorenie alebo nahranie šifrovacieho kľúča pre nájomníka

Všetky šifrovacie kľúče sa ukladajú do úschovne Azure Key Vault a vždy môže existovať iba jeden aktívny kľúč. Keďže aktívny kľúč sa používa na šifrovanie všetkých prostredí nájomníka, správa šifrovania sa vykonáva na úrovni nájomcu. Po aktivácii kľúča bude možné vybrať každé prostredie s cieľom použiť kľúč na šifrovanie.

Tento postup použite na prvé nastavenie funkcie spravovaného kľúča pre prostredie alebo na zmenu (alebo presunutie) šifrovacieho kľúča pre nájomníka, ktorý si už sám spravujete.

1. Prihláste sa do Power Platform centra spravovania ako správca (správca Dynamics 365 alebo Microsoft Power Platform admin).

2. Vyberte si kartu Prostredia a následne si na paneli nástrojov vyberte možnosť Spravovať šifrovacie kľúče.

3. Výberom možnosti Potvrdiť potvrdíte riziko spravovaného kľúča.

4. Na paneli s nástrojmi si vyberte Nový kľúč.

5. Na ľavej table vyplňte údaje a vygenerujte alebo nahrajte kľúč:

   • Vyberte si Región. Táto možnosť sa zobrazuje iba v prípade, že nájomník má viac regiónov.
   • Zadajte Názov kľúča.
   • Vyberte si z nasledujúcich možností:
     • Ak chcete vytvoriť nový kľúč, vyberte položku Generovať nový (.pfx). Viac informácií: Generovať nový (.pfx).
     • Ak chcete použiť vlastný vygenerovaný kľúč, vyberte položku Nahrať (.pfx alebo .byok). Viac informácií: Nahrať kľúč (.pfx alebo .byok) .

6. Vyberte Ďalej.

Vygenerovanie nového kľúča (.pfx)

1. Zadajte heslo a potom ho znova zadajte na potvrdenie.
2. Vyberte položku Vytvoriť a následne si v prehliadači vyberte oznámenie o vytvorenom súbore.
3. Súbor šifrovacieho kľúča vo formáte .PFX sa stiahne do predvoleného priečinka so stiahnutými súbormi vo vašom webovom prehliadači. Uložte si súbor na bezpečnom mieste (odporúčame vám, aby ste si tento kľúč zálohovali spolu s heslom).

Nahranie kľúča (.pfx alebo .byok)

1. Vyberte položku Nahrať kľúč, vyberte si súbor vo formáte .pfx alebo .byok¹ a následne vyberte položku Otvoriť.
2. Zadajte heslo kľúča a následne vyberte položku Vytvoriť.

¹ Pri súboroch šifrovacieho kľúča vo formáte .byok sa uistite, že pri exporte šifrovacieho kľúča z lokálneho HSM využívate ID predplatného zobrazené na obrazovke. Viac informácií: Ako generovať a prenášať kľúče s ochranou HSM pre Azure Key Vault.

Aktivácia šifrovacieho kľúča pre nájomníka

Po vygenerovaní alebo nahraní šifrovacieho kľúča pre nájomcu je možné ho aktivovať.

1. Prihláste sa do Power Platform centra spravovania ako správca (správca Dynamics 365 alebo Microsoft Power Platform admin).
2. Vyberte si kartu Prostredia a následne si na paneli nástrojov vyberte možnosť Spravovať šifrovacie kľúče.
3. Výberom možnosti Potvrdiť potvrdíte riziko spravovaného kľúča.
4. Vyberte si kľúč, ktorý má stav K dispozícii a následne si na paneli nástrojov vyberte položku Aktivovať kľúč.
5. Zvolením Potvrdiť potvrďte zmenu kľúča.

Keď aktivujete kľúč pre nájomcu, chvíľu potrvá, kým služba správy kľúčov tento kľúč aktivuje. Stav kľúča ukazuje, že kľúč sa nachádza v stave Inštaluje sa, keď sa aktivuje nový alebo nahratý kľúč. Po aktivácii kľúča sa stane toto:

• Všetky šifrované prostredia sa automaticky zašifrujú aktívnym kľúčom (pri tejto akcii nedochádza k prestojom).
• Po aktivácii sa šifrovací kľúč použije vo všetkých prostrediach, ktoré sa zmenili z od spoločnosti Microsoft na samospravovaný šifrovací kľúč.

Správa šifrovania pre prostredie

Predvolene je každé prostredie šifrované pomocou šifrovacieho kľúča, ktorý poskytuje spoločnosť Microsoft. Po aktivácii šifrovacieho kľúča pre nájomcu sa správcovia môžu rozhodnúť pre zmenu predvoleného šifrovania, aby mohli používať aktivovaný šifrovací kľúč. Ak chcete použiť aktivovaný kľúč, využite tento postup.

Použite šifrovací kľúč na prostredie

1. Prihláste sa do centra spravovania Power Platform pomocou poverení roly správcu prostredia alebo správcu systému.
2. Vyberte kartu Prostredia.
3. Otvorte šifrované prostredie, ktoré poskytuje spoločnosť Microsoft.
4. Vyberte položku Zobraziť všetko.
5. V sekcii Šifrovanie prostredia vyberte položku Spravovať.
6. Výberom možnosti Potvrdiť potvrdíte riziko spravovaného kľúča.
7. Výberom položky Použiť tento kľúč prijmite zmenu šifrovania, aby ste mohli použiť aktivovaný kľúč.
8. Výberom možnosti Potvrdiť potvrdíte, že kľúč spravujete priamo a že táto akcia má prestoj.

Vráťte spravovaný šifrovací kľúč späť na šifrovací kľúč, ktorý poskytuje spoločnosť Microsoft

Návrat k šifrovaciemu kľúču, ktorý poskytuje spoločnosť Microsoft, opäť nakonfiguruje predvolené správanie prostredia, v rámci ktorého za vás šifrovací kľúč spravuje spoločnosť Microsoft.

1. Prihláste sa do centra spravovania Power Platform pomocou poverení roly správcu prostredia alebo správcu systému.
2. Vyberte kartu Prostredia a následne si vyberte prostredie, ktoré je šifrované pomocou samospravovaného kľúča.
3. Vyberte položku Zobraziť všetko.
4. V sekcii Šifrovanie prostredia vyberte položku Spravovať a následne vyberte položku Potvrdiť.
5. V časti Chcete sa vrátiť k štandardnej správe šifrovacieho kľúča? vyberte položku Návrat.
6. V prípade výrobných prostredí potvrďte prostredie tak, že zadáte názov prostredia.
7. Výberom položky Potvrdiť sa vrátite k štandardnej správe šifrovacieho kľúča.

Zamknutie nájomníka

Keďže na jedného nájomníka pripadá iba jeden aktívny kľúč, uzamknutie šifrovania pre nájomníka zakáže všetky prostredia , ktoré sú v nájomníkovi. Všetky zamknuté prostredia zostanú neprístupné všetkým používateľom vrátane Microsoft, dokým ich správca služieb Power Platform vo vašej organizácii neodomkne pomocou kľúča, ktorý bol použitý na ich uzamknutie.

1. Prihláste sa do Power Platform centra spravovania ako správca (správca Dynamics 365 alebo Microsoft Power Platform správca).
2. Vyberte si kartu Prostredia a následne si na paneli príkazov vyberte možnosť Spravovať šifrovacie kľúče.
3. Vyberte si aktívny kľúč a následne si vyberte položku Zamknúť aktívne prostredia.
4. Na pravej table vyberte položku Nahrať aktívny kľúč, prejdite na daný kľúč a vyberte ho, zadajte heslo a následne vyberte položku Zamknúť.
5. Po zobrazení výzvy zadajte text, ktorý sa zobrazí na obrazovke, aby ste potvrdili, že chcete zamknúť všetky prostredia v danom regióne, a následne vyberte položku Potvrdiť.

Odomknutie zamknutých prostredí

Ak chcete odomknúť prostredia, musíte najprv nahrať a potom aktivovať šifrovací kľúč nájomníka s rovnakým kľúčom, aký bol použitý na uzamknutie nájomníka. Upozorňujeme, že uzamknuté prostredia sa po aktivácii kľúča neodomknú automaticky. Každé zamknuté prostredie treba odomknúť samostatne.

Odomknutie šifrovacieho kľúča

1. Prihláste sa do Power Platform centra spravovania ako správca (správca Dynamics 365 alebo Microsoft Power Platform správca).
2. Vyberte si kartu Prostredia a následne si vyberte možnosť Spravovať šifrovacie kľúče.
3. Vyberte si kľúč, ktorý má stav Zamknutý, a následne si na paneli príkazov vyberte položku Odomknúť kľúč.
4. Vyberte položku Nahrať zamknutý kľúč, prejdite na daný kľúč, ktorý bol použitý na zamknutie nájomníka, vyberte ho, zadajte heslo a následne vyberte položku Odomknúť. Kľúč prejde do stavu Inštaluje sa. Skôr než budete môcť odomykať zamknuté prostredia, musíte počkať, kým nebude kľúč v stave Aktívny.
5. Ak chcete odomknúť prostredie, prečítajte si nasledujúcu časť.

Odomykanie prostredí

1. Kliknite na kartu Prostredia a následne si vyberte názov zamknutého prostredia.

   Prepitné

   Nevyberajte si riadok. Vyberte si názov prostredia.

2. V sekcii Podrobnosti si vyberte položku Zobraziť všetko, čím zobrazíte na table vpravo položku Podrobnosti.

3. V sekcii šifrovania Prostredie si na table Podrobnosti vyberte položku Spravovať.

   

4. Na stránke Šifrovanie prostredia vyberte položku Odomknúť.

   

5. Výberom položky Potvrdiť potvrdíte, že dané prostredie chcete odomknúť.

6. Pre odomknutie ďalších prostredí zopakujte predchádzajúce kroky.

Operácie s prostrediami databázy

Nájomca zákazníka môže mať prostredia, ktoré sú šifrované pomocou spravovaného kľúča spoločnosti Microsoft a prostredia, ktoré sú šifrované pomocou kľúča spravovaného zákazníkom. Na zachovanie integrity údajov a ochrany údajov sú pri riadení operácií databázy prostredia k dispozícii nasledujúce ovládacie prvky.

1. Obnoviť Prostredie, ktoré sa má prepísať (obnovené do prostredia), je obmedzené na rovnaké prostredie, z ktorého bola záloha prevzatá, alebo do iného prostredia, ktoré je zašifrované rovnakým kľúčom spravovaným zákazníkom.

   

2. Kopírovať Prostredie, ktoré sa má prepísať (skopírované do prostredia), je obmedzené na iné prostredie, ktoré je zašifrované rovnakým kľúčom spravovaným zákazníkom.

   

   Poznámka

   Ak bolo vytvorené prostredie na skúmanie podpory na vyriešenie problému podpory v prostredí riadenom zákazníkom, musí sa šifrovací kľúč pre prostredie na skúmanie podpory zmeniť na kľúč spravovaný zákazníkom predtým, ako bude možné vykonať operáciu kopírovania prostredia.

3. Obnoviť Zašifrované údaje prostredia sa odstránia vrátane záloh. Po zresetovaní prostredia sa šifrovanie prostredia vráti späť na spravovaný kľúč spoločnosti Microsoft.

Súvisiaci obsah

SQL Server: Transparent Data Encryption (TDE)