Transparante gegevensversleuteling inschakelen voor SQL Managed Instance ingeschakeld door Azure Arc (preview)

In dit artikel wordt beschreven hoe u TDE -at-rest (Transparent Data Encryption) inschakelt en uitschakelt op een met SQL beheerd exemplaar dat is ingeschakeld door Azure Arc. In dit artikel verwijst de term beheerd exemplaar naar een implementatie van SQL Managed Instance die is ingeschakeld door Azure Arc en het in- of uitschakelen van TDE is van toepassing op alle databases die worden uitgevoerd op een beheerd exemplaar.

Raadpleeg Transparante gegevensversleuteling voor meer informatie over TDE.

Als u de TDE-functie inschakelt, doet u het volgende:

• Alle bestaande databases worden nu automatisch versleuteld.
• Alle zojuist gemaakte databases worden automatisch versleuteld.

Notitie

Omdat het om een preview-functie gaat, is de technologie die in dit artikel wordt behandeld onderhevig aan de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews.

De meest recente updates zijn beschikbaar in de releaseopmerkingen.

Vereisten

Voordat u verdergaat met dit artikel, moet u een met SQL beheerd exemplaar hebben ingeschakeld door azure Arc-resource die is gemaakt en er verbinding mee maken.

• Een met SQL beheerd exemplaar maken dat is ingeschakeld door Azure Arc
• Verbinding maken met SQL Managed Instance ingeschakeld door Azure Arc

Beperkingen

De volgende beperkingen gelden wanneer u automatische TDE inschakelt:

• Alleen de laag Algemeen gebruik wordt ondersteund.
• Failovergroepen worden niet ondersteund.

Een beheerd exemplaar maken waarvoor TDE is ingeschakeld (Azure CLI)

In het volgende voorbeeld wordt een met SQL beheerd exemplaar gemaakt dat is ingeschakeld door Azure Arc met één replica, TDE ingeschakeld:

az sql mi-arc create --name sqlmi-tde --k8s-namespace arc --tde-mode ServiceManaged --use-k8s

TDE inschakelen op het beheerde exemplaar

Wanneer TDE is ingeschakeld voor SQL Managed Instance met Arc, voert de gegevensservice automatisch de volgende taken uit:

1. Hiermee voegt u de door de service beheerde hoofdsleutel voor de master database toe.
2. Voegt de door de service beheerde certificaatbeveiliging toe.
3. Voegt de bijbehorende DEK (Database Encryption Keys) toe aan alle databases in het beheerde exemplaar.
4. Hiermee schakelt u versleuteling in voor alle databases in het beheerde exemplaar.

U kunt SQL Managed Instance instellen die is ingeschakeld door Azure Arc TDE in een van de volgende twee modi:

• Door de service beheerd
• Door de klant beheerd

In de door de service beheerde modus vereist TDE dat het beheerde exemplaar een door de service beheerde hoofdsleutel van de database en het door de service beheerde servercertificaat gebruikt. Deze referenties worden automatisch gemaakt wanneer door de service beheerde TDE is ingeschakeld.

In de door de klant beheerde modus maakt TDE gebruik van een door de service beheerde databasehoofdsleutel en worden sleutels gebruikt die u voor het servercertificaat opgeeft. De door de klant beheerde modus configureren:

1. Maak een certificaat.
2. Sla het certificaat op als een geheim in dezelfde Kubernetes-naamruimte als het exemplaar.

Inschakelen

Door de service beheerd

In de volgende sectie wordt uitgelegd hoe u TDE inschakelt in de door de service beheerde modus.

Door de klant beheerd

In de volgende sectie wordt uitgelegd hoe u TDE inschakelt in de door de klant beheerde modus.

Azure-CLI

Voer de volgende opdracht uit om TDE in te schakelen in de beheerde modus van de service:

az sql mi-arc update --tde-mode ServiceManaged

Systeemeigen Kubernetes-hulpprogramma's

Als u TDE wilt inschakelen in de door de service beheerde modus, voert u een kubectl-patch uit om door de service beheerde TDE in te schakelen:

kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "ServiceManaged" } } } }'

Voorbeeld:

kubectl patch sqlmi sqlmi-tde --namespace arc --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "ServiceManaged" } } } }'

Azure-CLI

TDE inschakelen in de door de klant beheerde modus met Azure CLI:

1. Maak een certificaat.

   openssl req -x509 -newkey rsa:2048 -nodes -keyout <key-file> -days 365 -out <cert-file>
   

2. Maak een geheim voor het certificaat.

   Belangrijk

   Het geheim opslaan in dezelfde naamruimte als het beheerde exemplaar

   kubectl create secret generic <tde-secret-name> --from-literal=privatekey.pem="$(cat <key-file>)" --from-literal=certificate.pem="$(cat <cert-file>) --namespace <namespace>"
   

3. Werk het volgende voorbeeld bij en voer dit uit om door de klant beheerde TDE in te schakelen:

   az sql mi-arc update --tde-mode CustomerManaged --tde-protector-private-key-file <key-file> --tde-protector-public-key-file <cert-file>
   

Systeemeigen Kubernetes-hulpprogramma's

TDE inschakelen in de door de klant beheerde modus:

1. Maak een certificaat.

   openssl req -x509 -newkey rsa:2048 -nodes -keyout <key-file> -days 365 -out <cert-file>
   

2. Maak een geheim voor het certificaat.

   Belangrijk

   Het geheim opslaan in dezelfde naamruimte als het beheerde exemplaar

   kubectl create secret generic <tde-secret-name> --from-literal=privatekey.pem="$(cat <key-file>)" --from-literal=certificate.pem="$(cat <cert-file>) --namespace <namespace>"
   

3. Uitvoeren kubectl patch ... om door de klant beheerde TDE in te schakelen

   kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "CustomerManaged", "protectorSecret": "<tde-secret-name>" } } } }'
   

   Voorbeeld:

   kubectl patch sqlmi sqlmi-tde --namespace arc --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "CustomerManaged", "protectorSecret": "sqlmi-tde-protector-cert-secret" } } } }'
   

TDE uitschakelen op het beheerde exemplaar

Wanneer TDE is uitgeschakeld voor SQL Managed Instance met Arc, voert de gegevensservice automatisch de volgende taken uit:

1. Hiermee schakelt u versleuteling uit voor alle databases in het beheerde exemplaar.
2. Hiermee verwijdert u de bijbehorende DEK's voor alle databases in het beheerde exemplaar.
3. Hiermee wordt de door de service beheerde certificaatbeveiliging weggekapt.
4. Hiermee wordt de hoofdsleutel van de door de service beheerde database in de master database verwijderd.

Azure-CLI

TDE uitschakelen:

az sql mi-arc update --tde-mode Disabled

Systeemeigen Kubernetes-hulpprogramma's

Voer een kubectl-patch uit om door de service beheerde TDE uit te schakelen.

kubectl patch sqlmi <sqlmi-name> --namespace <namespace> --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "Disabled" } } } }'

Voorbeeld:

kubectl patch sqlmi sqlmi-tde --namespace arc --type merge --patch '{ "spec": { "security": { "transparentDataEncryption": { "mode": "Disabled" } } } }'

Een back-up maken van een TDE-referentie

Wanneer u een back-up maakt van referenties van het beheerde exemplaar, worden de referenties opgeslagen in de container. Als u referenties wilt opslaan op een permanent volume, geeft u het koppelpad op in de container. Bijvoorbeeld: var/opt/mssql/data. In het volgende voorbeeld wordt een back-up van een certificaat van het beheerde exemplaar uitgevoerd:

Notitie

Als de kubectl cp opdracht wordt uitgevoerd vanuit Windows, kan de opdracht mislukken wanneer absolute Windows-paden worden gebruikt. Gebruik relatieve paden of de onderstaande opdrachten.

1. Maak een back-up van het certificaat van de container naar /var/opt/mssql/data.

   USE master;
   GO
   
   BACKUP CERTIFICATE <cert-name> TO FILE = '<cert-path>'
   WITH PRIVATE KEY ( FILE = '<private-key-path>',
   ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>');
   

   Voorbeeld:

   USE master;
   GO
   
   BACKUP CERTIFICATE MyServerCert TO FILE = '/var/opt/mssql/data/servercert.crt'
   WITH PRIVATE KEY ( FILE = '/var/opt/mssql/data/servercert.key',
   ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>');
   

2. Kopieer het certificaat van de container naar uw bestandssysteem.

   Windows

   kubectl exec -n <namespace> -c arc-sqlmi <pod-name> -- cat <pod-certificate-path> > <local-certificate-path>
   

   Voorbeeld:

   kubectl exec -n arc-ns -c arc-sqlmi sql-0 -- cat /var/opt/mssql/data/servercert.crt > $HOME\sqlcerts\servercert.crt
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <pod-name>:<pod-certificate-path> <local-certificate-path>
   

   Voorbeeld:

   kubectl cp --namespace arc-ns --container arc-sqlmi sql-0:/var/opt/mssql/data/servercert.crt $HOME/sqlcerts/servercert.crt
   

---

3. Kopieer de persoonlijke sleutel van de container naar uw bestandssysteem.

   Windows

    kubectl exec -n <namespace> -c arc-sqlmi <pod-name> -- cat <pod-private-key-path> > <local-private-key-path>
   

   Voorbeeld:

   kubectl exec -n arc-ns -c arc-sqlmi sql-0 -- cat /var/opt/mssql/data/servercert.key > $HOME\sqlcerts\servercert.key
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <pod-name>:<pod-private-key-path> <local-private-key-path>
   

   Voorbeeld:

   kubectl cp --namespace arc-ns --container arc-sqlmi sql-0:/var/opt/mssql/data/servercert.key $HOME/sqlcerts/servercert.key
   

---

4. Verwijder het certificaat en de persoonlijke sleutel uit de container.

   kubectl exec -it --namespace <namespace> --container arc-sqlmi <pod-name> -- bash -c "rm <certificate-path> <private-key-path>
   

   Voorbeeld:

   kubectl exec -it --namespace arc-ns --container arc-sqlmi sql-0 -- bash -c "rm /var/opt/mssql/data/servercert.crt /var/opt/mssql/data/servercert.key"
   

Een TDE-referentie herstellen naar een beheerd exemplaar

Net als hierboven kunt u de referenties herstellen, kopieert u deze naar de container en voert u daarna de bijbehorende T-SQL uit.

Notitie

Als de kubectl cp opdracht wordt uitgevoerd vanuit Windows, kan de opdracht mislukken wanneer absolute Windows-paden worden gebruikt. Gebruik relatieve paden of de onderstaande opdrachten. Als u databaseback-ups wilt herstellen die zijn gemaakt voordat u TDE inschakelt, moet u TDE uitschakelen op het beheerde SQL-exemplaar, de back-up van de database herstellen en TDE opnieuw inschakelen.

1. Kopieer het certificaat van uw bestandssysteem naar de container.

   Windows

   type <local-certificate-path> | kubectl exec -i -n <namespace> -c arc-sqlmi <pod-name> -- tee <pod-certificate-path>
   

   Voorbeeld:

   type $HOME\sqlcerts\servercert.crt | kubectl exec -i -n arc-ns -c arc-sqlmi sql-0 -- tee /var/opt/mssql/data/servercert.crt
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <local-certificate-path> <pod-name>:<pod-certificate-path>
   

   Voorbeeld:

   kubectl cp --namespace arc-ns --container arc-sqlmi $HOME/sqlcerts/servercert.crt sql-0:/var/opt/mssql/data/servercert.crt
   

---

2. Kopieer de persoonlijke sleutel van uw bestandssysteem naar de container.

   Windows

   type <local-private-key-path> | kubectl exec -i -n <namespace> -c arc-sqlmi <pod-name> -- tee <pod-private-key-path>
   

   Voorbeeld:

   type $HOME\sqlcerts\servercert.key | kubectl exec -i -n arc-ns -c arc-sqlmi sql-0 -- tee /var/opt/mssql/data/servercert.key
   

   Linux

   kubectl cp --namespace <namespace> --container arc-sqlmi <local-private-key-path> <pod-name>:<pod-private-key-path>
   

   Voorbeeld:

   kubectl cp --namespace arc-ns --container arc-sqlmi $HOME/sqlcerts/servercert.key sql-0:/var/opt/mssql/data/servercert.key
   

3. Maak het certificaat met bestandspaden van /var/opt/mssql/data.

   USE master;
   GO
   
   CREATE CERTIFICATE <certicate-name>
   FROM FILE = '<certificate-path>'
   WITH PRIVATE KEY ( FILE = '<private-key-path>',
       DECRYPTION BY PASSWORD = '<UseStrongPasswordHere>' );
   

   Voorbeeld:

   USE master;
   GO
   
   CREATE CERTIFICATE MyServerCertRestored
   FROM FILE = '/var/opt/mssql/data/servercert.crt'
   WITH PRIVATE KEY ( FILE = '/var/opt/mssql/data/servercert.key',
       DECRYPTION BY PASSWORD = '<UseStrongPasswordHere>' );
   

4. Verwijder het certificaat en de persoonlijke sleutel uit de container.

   kubectl exec -it --namespace <namespace> --container arc-sqlmi <pod-name> -- bash -c "rm <certificate-path> <private-key-path>
   

   Voorbeeld:

   kubectl exec -it --namespace arc-ns --container arc-sqlmi sql-0 -- bash -c "rm /var/opt/mssql/data/servercert.crt /var/opt/mssql/data/servercert.key"
   

Gerelateerde inhoud

Transparante gegevensversleuteling