Управљање кључем за шифровање

Сва окружења платформе Microsoft Dataverse користе SQL Server транспарентно шифровање података (TDE) за обављање шифровања уписа на диск у реалном времену, познато и као шифровање у мировању.

Подразумевано, Microsoft складишти и управља кључем за шифровање базе података за ваша окружења, тако да ви не морате да се бринете о томе. Функција управљаних кључева у Microsoft Power Platform центру за администраторе даје администраторима могућност самосталног управљања кључем за шифровање базе података који је повезан са станаром Dataverse .

Управљање кључевима за шифровање применљиво је само на базе података Azure SQL окружења. Следеће функције и услуге настављају да користе Мицрософт-управљани кључ за шифровање за шифровање својих података и не могу се шифрирати са кључем за шифровање који се самостално управља:

• Копилоти и генеративне АИ функције у Microsoft Power Platform и Microsoft Dynamics 365
• Dataverse претрага
• Еластични столови
• Mobile Offline
• Евиденција активности (Microsoft 365 портал)
• Exchange (синхронизација на страни сервера)

Увод у управљање кључевима

Са управљањем кључевима, администратори могу да обезбеде сопствени кључ за шифровање или да имају кључ за шифровање који је за њих генерисан и који се користи за заштиту базе података за окружење.

Функција управљања кључевима подржава PFX и BYOK датотеке кључа за шифровање, као што су оне ускладиштене у хардверском безбедносном модулу (HSM). Да бисте користили опцију кључа за шифровање отпремања, потребан вам је и јавни и приватни кључ за шифровање.

Функција управљања кључевима уклања сложеност управљања кључевима за шифровање помоћу услуге Azure Key Vault за безбедно складиштење кључева за шифровање. Azure Key Vault омогућава сигурно чување криптографских кључева и тајни које користе апликације и услуге у облаку. Функција управљања кључевима не захтева да имате претплату на Азуре Кеи Ваулт и за већину ситуација нема потребе за приступом кључевима за шифровање који се користе у Dataverse трезору.

Функција управљаних тастера вам омогућава да извршите следеће задатке.

• Омогућите самостално управљање кључевима за шифровање базе података који су повезани са окружењима.

• Генеришите нови кључеве за шифровање или отпремите постојећу .PFX или .BYOK датотеку са кључем за шифровање.

• Закључајте и откључајте окружења закупца.

  Упозорење

  Док је закупац закључан, нико не може да приступи свим окружењима унутар закупца. Још информација: Закључавање закупца.

Разумевање потенцијалног ризика при управљању кључевима

Као и у случају било које критичне пословне апликације, морате веровати особљу у организацији који имају администраторски ниво приступа. Пре него што будете могли да користите функцију за управљање кључевима, треба да разумете ризик када управљате кључевима за шифровање базе података. Могуће је да злонамерни администратор (особа којој је одобрен или је добио приступ на нивоу администратора са намером да нашкоди безбедности или пословним процесима организације) који ради у вашој организацији може да користи функцију управљаних кључева да креира кључ и користи га за закључавање свих окружења у станару.

Размотрите следећу секвенцу догађаја.

Злонамерни администратор се пријављује у Power Platform центар администрације, одлази на картицу Окружења и бира Управљање кључем за шифровање. Злонамерни администратор затим креира нови кључ са лозинком и преузима кључ за шифровање на свој локални диск, па активира нови кључ. Сада су све базе података околине шифроване новим кључем. Затим злонамерни администратор закључава закупца са новопреузетим кључем, а затим преузима или брише преузети кључ за шифровање.

Ове акције резултирају онемогућавањем свих окружења унутар станара из онлине приступа и чине све резервне копије базе података невративим.

Захтеви за кључ за шифровање

Ако обезбедите сопствени кључ за шифровање, тај кључ мора да испуњава захтеве ове који су прихватљиви за Azure Key Vault.

• Формат датотеке кључа за шифровање мора да буде PFX или BYOK.
• 2048 -битни РСА.
• РСА -ХСМ тип кључа (захтева Мицрософт захтев за подршку).
• PFX датотеке кључа за шифровање морају да буду заштићене лозинком.

За више информација о генерисању и преносу кључа заштићеног ХСМ-ом преко Интернета, погледајте Како генерисати и пренети кључеве заштићене ХСМ-ом за Азуре Кеи Ваулт. Само nCipher HSM кључ добављача је подржан. Пре него што генеришете свој HSM кључ, идите у прозор Power Platform центра администрације Управљање кључевима за шифровање/Креирање новог кључа да бисте преузели ID претплате за регион вашег окружења. Потребно је да копирате и налепите овај ID претплате у свој HSM да бисте креирали кључ. Ово осигурава да само наш Азуре Кеи Ваулт може отворити вашу датотеку.

Задаци управљања кључевима

Да би се поједноставили кључни задаци управљања, задаци су подељени у три области:

1. Генеришите или отпремите кључ за шифровање за станара
2. Активирајте кључ за шифровање за станара
3. Управљајте шифровањем за окружење

Администратори могу да користе Power Platform центар администрације или cmdlet команде модула за Power Platform администрацију за извршавање овде описаних задатака управљања кључевима за заштиту закупца.

Генерисање или отпремање кључа за шифровање за закупца

Сви кључеви за шифровање смештају се у Azure Key Vault и у било којем тренутку може бити само један активни кључ. Будући да се активни кључ користи за шифровање свих окружења закупца, управљањем шифровањем се управља на нивоу закупца. Када се кључ активира, може се одабрати свако појединачно окружење које ће користити кључ за шифровање.

Користите ову процедуру да бисте први пут поставили функцију управљаног кључа за окружење или да бисте променили (или преврнули) кључ за шифровање за већ самосталног клијента.

1. пријавите се у Power Platform админ центар , као администратор (Динамицс КСНУМКС админ или Microsoft Power Platform админ).

2. Изаберите картицу Окружења, а затим на траци са алаткама изаберите Управљање кључевима за шифровање.

3. Изаберите Потврди да бисте потврдили управљани кључни ризик.

4. На траци са алаткама изаберите Нови кључ.

5. У левом окну, довршите детаље да бисте генерисали или отпремили кључ:

   • Изаберите Регион. Ова опција се приказује само ако ваш закупац има више региона.
   • Унесите Назив кључа.
   • Одаберите неку од следећих опција:
     • Да бисте креирали нови кључ, изаберите Генериши нови (.pfx). Још информација: Генериши нови кључ (.pfx).
     • Да бисте користили сопствени генерисани кључ, изаберите Отпреми (.pfx или .byok). Још информација: Отпремите кључ (.pfx или .byok).

6. Изаберите Следеће.

Генеришите нови кључ (.pfx)

1. Унесите лозинку, а затим поново унесите лозинку за потврду.
2. Изаберите Креирај, а затим изаберите обавештење о креираној датотеци у прегледачу.
3. Датотека кључа за шифровање (.pfx) преузима се у подразумевану фасциклу за преузимање вашег веб-прегледача. Сачувајте датотеку на сигурном месту (препоручујемо да се за овај кључ направи резервна копија заједно са лозинком).

Отпремите кључ (.pfx или .byok)

1. Изаберите Отпремите кључ, одаберите .pfx или .byok¹ датотеку, а затим изаберите Отвори.
2. Унесите лозинку за кључ, а затим изаберите Креирај.

¹ За .byok датотеке кључа за шифровање, уверите се да користите ID претплате као што је приказано на екрану приликом извоза кључа за шифровање из локалног HSM. Још информација: Како генерисати и пренети HSM-заштићене кључеве за Azure Key Vault.

Активирање кључа за шифровање за закупца

Када се за закупца генерише или отпреми кључ за шифровање, он се може активирати.

1. пријавите се у Power Platform админ центар , као администратор (Динамицс КСНУМКС админ или Microsoft Power Platform админ).
2. Изаберите картицу Окружења, а затим на траци са алаткама изаберите Управљање кључевима за шифровање.
3. Изаберите Потврди да бисте потврдили управљани кључни ризик.
4. Изаберите кључ који има статус Доступан, а затим изаберите Активирај кључ на траци са алаткама.
5. Изаберите Потврди да бисте потврдили промену кључа.

Када активирате кључ за закупца, потребно је неко време да услуга управљања кључевима активира кључ. Статус Стање кључа приказује кључ као Инсталирање када се активира нови или отпремљени кључ. Када се активира кључ, догађа се следеће:

• Сва шифрована окружења се аутоматски шифрирају активним кључем (нема застоја са овом акцијом).
• Када се активира, кључ за шифровање се примењује на сва окружења која су промењена из Мицрософт-обезбеђен у само-управљани кључ за шифровање.

Управљање шифровањем за окружење

Свако окружење је подразумевано шифровано кључем за шифровање који је обезбедио Microsoft. Када се кључ за шифровање активира за закупца, администратори могу изабрати да промене подразумевано шифровање како би користили активирани кључ за шифровање. Да бисте користили активирани кључ, следите ове кораке.

Примените кључ за шифровање на окружење

1. Пријавите се у Power Platform центар администрације, користећи акредитиве за улогу администратора окружења или администратора система.
2. Изаберите картицу Окружења.
3. Отворите шифровано окружење које је обезбедио Microsoft.
4. Изаберите Види све.
5. У одељку Шифровање окружења, изаберите Управљај.
6. Изаберите Потврди да бисте потврдили управљани кључни ризик.
7. Изаберите Примените овај кључ да прихвати промену шифровања да се користи активирани кључ.
8. Изаберите Потврди да бисте потврдили да директно управљате кључем и да постоји застој за ову акцију.

Вратите управљани кључ за шифровање назад у кључ за шифровање који обезбеђује Microsoft

Повратак на кључ за шифровање који обезбеђује Microsoft конфигурише окружење на подразумевано понашање где Microsoft управља кључем за шифровање за вас.

1. Пријавите се у Power Platform центар администрације, користећи акредитиве за улогу администратора окружења или администратора система.
2. Изаберите картицу Окружења, а затим изаберите окружење које је шифровано кључем са самосталним управљањем.
3. Изаберите Види све.
4. У одељку Шифровање окружења, изаберите Управљај, а затим изаберите Потврди.
5. У делу Врати на стандардно управљање шифровањем изаберите Врати.
6. За производна окружења, потврдите окружење уносом имена окружења.
7. Изаберите Потврди да бисте се вратили на стандардно управљање кључем за шифровање.

Закључавање закупца

Пошто постоји само један активни кључ по станару, закључавање енкрипције за станара онемогућава сва окружења која се налазе у станару. Сва закључана окружења остају недоступна свима, укључујући Microsoft, док их администратор услуге Power Platform у вашој организацији не откључа користећи кључ који је коришћен за њихово закључавање.

1. пријавите се у Power Platform админ центар , као администратор (Динамицс КСНУМКС админ или Microsoft Power Platform админ).
2. Изаберите картицу Окружења, а затим на командној траци изаберите Управљање кључевима за шифровање.
3. Изаберите кључ Активно, а затим изаберите Закључајте активна окружења.
4. У десном окну одаберите Отпреми активни кључ, потражите и изаберите кључ, унесите лозинку, а затим изаберите Закључај.
5. Кад се то од вас затражи, унесите текст који се приказује на екрану да бисте потврдили да желите да закључате сва окружења у региону, а затим изаберите Потврди.

Откључавање закључаних окружења

Да бисте откључали окружења, прво морате отпремити , а затим активирати кључ за шифровање станара са истим кључем који је коришћен за закључавање станара. Имајте на уму да се закључана окружења не откључавају аутоматски након што је кључ активиран. Свако закључано окружење мора се откључати појединачно.

Откључавање кључа за шифровање

1. пријавите се у Power Platform админ центар , као администратор (Динамицс КСНУМКС админ или Microsoft Power Platform админ).
2. Изаберите картицу Окружења, а затим изаберите Управљање кључевима за шифровање.
3. Изаберите кључ који има статус Закључан, а затим на командној траци изаберите Откључај кључ.
4. Изаберите Отпреми закључани кључ, потражите и изаберите кључ који сте користили да закључате закупца, унесите лозинку, а затим изаберите Откључај. Кључ прелази у статус Инсталирање. Морате сачекати док кључ не пређе у статус Активан да бисте могли да откључате закључана окружења.
5. Да бисте откључали окружење, погледајте следећи одељак.

Откључавање окружења

1. Изаберите картицу Окружења, а затим изаберите име закључаног окружења.

   Савет

   Немојте изабрати ред. Изаберите име окружења.

2. У одељку Детаљи, изаберите Види све да бисте приказали окно Детаљи с десне стране.

3. У одељку за шифровање Окружења, у окну Детаљи изаберите Управљај.

   

4. На страници Шифровање окружења, изаберите Откључај.

   

5. Изаберите Потврди да бисте потврдили да желите да откључате окружење.

6. Поновите претходне кораке за откључавање других окружења.

Операције базе података окружења

Закупац клијента може имати окружења која су шифрована помоћу кључа којим управља Microsoft и окружења која су шифрована кључем којим управља клијент. За одржавање интегритета података и заштите података, доступне су следеће контроле приликом управљања операцијама базе података окружења.

1. Врати<а14>Окружење за преписивање (враћање у окружење) је ограничено на исто окружење из којег је резервна копија преузета или на друго окружење које је шифровано истим кључем којим управља корисник.

   

2. Копирај<а16>Окружење за преписивање (копирано у окружење) је ограничено на друго окружење које је шифровано истим кључем којим управља корисник.

   

   Белешка

   Ако је креирано окружење за истрагу подршке да би се решио проблем подршке у окружењу којим управља клијент, кључ за шифровање за окружење за истрагу подршке мора бити промењен у кључ којим управља клијент пре него што буде могуће извршити операцију окружења за копирање.

3. Ресетовање Шифровани подаци окружења се бришу, укључујући и резервне копије. Када се окружење ресетује, шифровање окружења ће се вратити на кључ којим управља Microsoft.

Повезани садржај

СКЛ Сервер: Транспарентно шифровање података (ТДЕ)