Microsoft Azure — TDE включен в базе данных SQL Azure

Предварительное требование: виртуальная машина Azure.

Прозрачное шифрование данных

Шифруя данные в состоянии покоя, прозрачное шифрование данных (TDE) защищает базу данных SQL Azure, Управляемый экземпляр Azure SQL и Azure Synapse Analytics от угроз несанкционированных действий в автономном режиме. Не требуя внесения изменений в систему, он обеспечивает шифрование и дешифрование в реальном времени базы данных, связанных резервных копий и файлов журналов транзакций в состоянии покоя.

TDE включен по умолчанию для всех недавно развернутых баз данных SQL Azure, но его необходимо включить вручную для более старых баз данных базы данных SQL Azure. TDE включен на уровне экземпляра и для вновь созданных баз данных в Управляемом экземпляре SQL Azure. Для Azure Synapse Analytics TDE необходимо активировать вручную.

На уровне страницы TDE выполняет шифрование и дешифрование ввода-вывода в реальном времени. Когда страница считывается в память, она расшифровывается, а затем шифруется перед записью на диск. TDE использует симметричный ключ, называемый ключом шифрования базы данных, для шифрования хранилища всей базы данных (DEK). Зашифрованный DEK расшифровывается и используется для расшифровки и повторного шифрования файлов базы данных в процессе ядра базы данных SQL Server при запуске базы данных.

Средство защиты TDE — это асимметричный ключ, хранящийся в Azure Key Vault, или сертификат, управляемый службой (прозрачное шифрование данных, управляемое службой, или прозрачное шифрование данных, управляемое клиентом). Предохранитель TDE устанавливается на уровне сервера для базы данных SQL Azure и Azure Synapse и наследуется всеми базами данных, связанными с этим сервером. Предохранитель TDE задается на уровне экземпляра для Управляемого экземпляра SQL Azure и наследуется всеми зашифрованными базами данных в этом экземпляре.

TDE можно включать и отключать на уровне базы данных. Чтобы включить или отключить TDE для базы данных в Управляемом экземпляре Azure SQL, используйте Transact-SQL (T-SQL). После входа с использованием учетной записи администратора или участника Azure вы можете управлять TDE для базы данных на портале Azure для базы данных SQL Azure и Azure Synapse. Параметры TDE можно найти в вашей пользовательской базе данных. По умолчанию используется прозрачное шифрование данных, управляемое службой. Для сервера, на котором размещена база данных, сертификат TDE создается автоматически.

Действия по управлению TDE на портале Azure:

Используйте портал Azure для настройки TDE, войдите в систему как владелец Azure, участник или диспетчер безопасности SQL, перейдите ко всем ресурсам,

Шаг 1. Войдите на портал Azure.

Шаг 2: Перейдите к просмотру всех ресурсов.

Шаг 3. Выберите базу данных SQL Azure (например, geeksqldb) и перейдите в раздел «Безопасность», чтобы проверить или изменить статус прозрачного шифрования данных (TDE).

Управляйте TDE с помощью Transact-SQL:

Подключитесь к созданной пользователем базе данных в SQL Server Management Studio (SSMS) или Azure Data Studio, используя имя входа с ролью администратора в базе данных master, и выполните следующую команду:

ALTER DATABASE (Azure SQL Database name) SET ENCRYPTION ON/OFF 

Например: