Extensible Key Management con Azure Key Vault (SQL Server)
Si applica a: SQL Server
Il Connettore SQL Server per Azure Key Vault consente alla crittografia di SQL Server di usare il servizio Azure Key Vault come provider Extensible Key Management (EKM) per proteggere le sue chiavi di crittografia.
Questo argomento descrive il Connettore SQL Server. Altre informazioni sono disponibili in Procedura di installazione di Extensible Key Management con l'insieme di credenziali delle chiavi di Azure, Usare Connettore SQL Server con le funzionalità di crittografia SQLe Manutenzione e risoluzione dei problemi del Connettore SQL Server.
Che cos'è Extensible Key Management (EKM) e perché usarlo?
SQL Server fornisce diversi tipi di crittografia che consentono di proteggere i dati sensibili, inclusi Transparent Data Encryption (TDE), Crittografia a livello di colonna (CLE) e Crittografia dei backup. Nella gerarchia delle chiavi tradizionale di tutti questi casi i dati vengono crittografati usando una chiave (DEK) simmetrica. Per proteggerla ulteriormente, la chiavi DEK viene crittografata con una gerarchia di chiavi archiviate in SQL Server. L'alternativa a questo modello è il modello di provider EKM. L'architettura del provider EKM consente a SQL Server di proteggere le chiavi DEK usando una chiave asimmetrica archiviata all'esterno di SQL Server in un provider del servizio di crittografia esterno. Questo modello aggiunge un altro livello di sicurezza e separa la gestione delle chiavi e dei dati.
L'immagine seguente confronta la tradizionale gerarchia delle chiavi con la gestione del servizio al sistema dell'insieme di credenziali delle chiavi di Azure.
Il Connettore SQL Server funge da ponte tra SQL Server e Azure Key Vault, in modo che SQL Server possa sfruttare la scalabilità, le prestazioni elevate e la disponibilità elevata del servizio Azure Key Vault. L'immagine seguente rappresenta il funzionamento della gerarchia delle chiavi nell'architettura del provider EKM con lAzure Key Vault e Connettore SQL Server.
Azure Key Vault può essere usato con le installazioni di SQL Server su Macchine virtuali di Microsoft Azure ne per i server locali. Il servizio dell'insieme di credenziali delle chiavi consente inoltre di usare i moduli di protezione hardware (HSM) controllati e monitorati rigorosamente per un livello di protezione maggiore per le chiavi di crittografia asimmetriche. Per altre informazioni sull'insieme di credenziali delle chiavi, vedere Insieme di credenziali delle chiavi di Azure.
L'immagine seguente illustra il flusso di processo di EKM con l'insieme di credenziali delle chiavi. I numeri dei passaggi del processo nell'immagine non sono concepiti per corrispondere ai numeri dei passaggi della configurazione riportati di seguito.
Nota
Le versioni 1.0.0.440 e precedenti sono state sostituite e non sono più supportate negli ambienti di produzione. Eseguire l'aggiornamento alla versione 1.0.1.0 o successiva visitando l'Area download Microsoft e seguendo le istruzioni nella pagina Manutenzione e risoluzione dei problemi di Connettore SQL Server in "Aggiornamento del Connettore SQL Server".
Per il passaggio successivo, vedere Procedura di installazione di Extensible Key Management con l'insieme di credenziali delle chiavi di Azure.
Per gli scenari di utilizzo, vedere Usare Connettore SQL Server con le funzionalità di crittografia SQL.
Vedi anche
Manutenzione e risoluzione dei problemi di Connettore SQL Server