Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
SQL Server
SQL Server Connector för Azure Key Vault gör det möjligt för SQL Server-kryptering att använda Azure Key Vault-tjänsten som en EKM-provider (Extensible Key Management) för att skydda SQL Server-krypteringsnycklar.
Den här artikeln beskriver SQL Server-anslutningsappen. Mer information finns i:
- Konfigurera utökningsbar nyckelhantering i SQL Server TDE med hjälp av Azure Key Vault
- Använda SQL Server Connector med SQL-krypteringsfunktioner
- underhåll av SQL Server Connector & felsökning
Vad är Utökningsbar nyckelhantering (EKM) och varför använda den?
SQL Server tillhandahåller flera typer av kryptering som hjälper till att skydda känsliga data, inklusive transparent datakryptering (TDE), Kryptera en kolumn med data (CLE) och säkerhetskopieringskryptering. I alla dessa fall krypteras data i den här traditionella nyckelhierarkin med hjälp av en symmetrisk datakrypteringsnyckel (DEK). Den symmetriska datakrypteringsnyckeln skyddas ytterligare genom att den krypteras med en hierarki med nycklar som lagras i SQL Server.
I stället för den här modellen är alternativet EKM-providermodellen. Med hjälp av EKM-providerarkitekturen kan SQL Server skydda datakrypteringsnycklarna med hjälp av en asymmetrisk nyckel som lagras utanför SQL Server i en extern kryptografiprovider. Den här modellen lägger till ytterligare ett säkerhetslager och separerar hanteringen av nycklar och data.
Följande bild jämför den traditionella nyckelhierarkin för tjänsthantering med Azure Key Vault-systemet.
SQL Server Connector fungerar som en brygga mellan SQL Server och Azure Key Vault, så att SQL Server kan använda skalbarhet, höga prestanda och hög tillgänglighet för Azure Key Vault-tjänsten. Följande bild representerar hur nyckelhierarkin fungerar i EKM-providerarkitekturen med Azure Key Vault och SQL Server Connector.
Azure Key Vault kan användas med SQL Server-installationer på virtuella Azure-datorer och för lokala servrar. Key Vault-tjänsten ger också möjlighet att använda strikt kontrollerade och övervakade maskinvarusäkerhetsmoduler (HSM) för en högre skyddsnivå för asymmetriska krypteringsnycklar. Mer information om nyckelvalvet finns i Azure Key Vault.
Anmärkning
Endast Azure Key Vault och Azure Key Vault Managed HSM stöds. Azure Cloud HSM stöds inte.
Följande bild sammanfattar processflödet för EKM med hjälp av nyckelvalvet. (Processstegnumren i avbildningen är inte avsedda att matcha installationsstegsnumren som följer avbildningen.)
Anmärkning
Versioner 1.0.0.440 och äldre stöds inte längre i produktionsmiljöer. Uppgradera till version 1.0.1.0 eller en senare version genom att gå till Microsoft Download Center och använda anvisningarna på sidan Underhåll och felsökning av SQL Server Connector under "Uppgradering av SQL Server Connector".
Nästa steg finns i Konfigurera SQL Server TDE Extensible Key Management med hjälp av Azure Key Vault.
Användningsscenarier finns i Använda SQL Server Connector med SQL-krypteringsfunktioner.