Поделиться через

Управление ключом шифрования

  • Статья

Все среды Microsoft Dataverse используют прозрачное шифрование данных (TDE) SQL Server для выполнения шифрования данных в реальном времени при записи на диск, которое также называется неактивным шифрованием.

По умолчанию Microsoft хранит и управляет ключом шифрования базы данных для ваших сред, поэтому вам не нужно делать этого самостоятельно. Функция управления ключами в центре администрирования Microsoft Power Platform предоставляет администраторам возможность самостоятельно управлять ключом шифрования базы данных, который связан с клиентом Dataverse.

Внимание

  • По состоянию на 2 июня 2023 г. эта служба обновлена до Ключ шифрования, управляемый клиентом. Новые клиенты, которым необходимо управлять собственным ключом шифрования, смогут воспользоваться обновленной услугой, поскольку данная услуга больше не предлагается.
  • Ключи шифрования самоуправляемой базы данных доступны только для клиентов, у которых более 1000 лицензий Power Apps на пользователя или более 1000 лицензий Dynamics 365 Enterprise, или более 1000 лицензий из комбинации того и другого в одном клиенте. Чтобы принять участие в этой программе, отправьте запрос в службу поддержки.

Управление ключами шифрования применимо только к базам данных среды SQL Azure. Следующие функции и службы продолжают использовать управляемый ключ шифрования для шифрования своих данных и не могут быть зашифрованы с помощью самостоятельно управляемого ключа шифрования: Microsoft

  • Помощники и функции генеративного ИИ в Microsoft Power Platform и Microsoft Dynamics 365
  • Поиск Dataverse
  • Эластичные таблицы
  • Mobile Offline
  • Журнал действий (портал Microsoft 365)
  • Exchange (синхронизации на стороне сервера)

Заметка

  • Функция самостоятельного управления ключом шифрования базы данных должна быть включена Microsoft для вашего клиента, прежде чем вы сможете использовать эту функцию.
  • Чтобы использовать функции управления шифрованием данных для среды, среда должна быть создана после включения функции самостоятельного управления ключом шифрования базы данных Microsoft.
  • После включения этой функции в вашем клиенте все новые среды создаются только с использованием хранилища SQL Azure. Эти среды, независимо от того, зашифрованы ли они с помощью BYOK (принеси свой ключ) или Microsoftуправляемого ключа, имеют ограничения по размеру загружаемых файлов, не могут использовать службы Cosmos и Datalake, а Dataverse поисковые индексы зашифрованы с помощью Microsoftуправляемого ключа. Чтобы использовать эти службы, вам необходимо перейти на ключ, управляемый клиентом.
  • Файлы и изображения размером менее 128 МБ можно использовать, если ваша среда имеет версию 9.2.21052.00103 или выше.
  • В большинстве существующих сред файлы и журналы хранятся в базах данных SQL, отличных от Azure. Эти среды не могут быть включены для ключа шифрования с самостоятельным управлением. Только новые среды (после регистрации в этой программе) могут быть включены с помощью ключа шифрования с самостоятельным управлением.

Введение в управление ключами

С помощью функции управления ключами администраторы могут предоставить собственный ключ шифрования или запросить создание ключа шифрования, используемого для защиты базы данных для среды.

Функция управления ключами поддерживает и PFX-, и BYOK-файлы ключей шифрования, например как те, которые хранятся в модуле обеспечения безопасности оборудования (HSM). Чтобы использовать параметр отправки ключей шифрования, необходимо иметь общедоступный и закрытый ключи шифрования.

Функция управления ключами упрощает управление ключами шифрования, используя Azure Key Vault для безопасного хранения ключей шифрования. Azure Key Vault помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Для функции управления ключами не требуется подписка на Azure Key Vault, и в большинстве случаев нет необходимости в доступе к ключам шифрования, используемым для Dataverse внутри хранилища.

Функция управления ключами позволяет выполнять следующие задачи.

  • Включать возможность самостоятельно управлять ключами шифрования баз данных, связанными со средами.

  • Создавать новые ключи шифрования и отправлять существующие PFX- или .BYOK-файлы ключей шифрования.

  • Блокировка и разблокировка среды клиента.

    Предупреждение

    Пока клиент заблокирован, никто не может получить доступ ко всем средам внутри него. Больше информации: Заблокировать клиента.

Общие сведения о потенциальном риске при самостоятельном управлении ключами

Как и в любой критичной для бизнеса ситуации, необходимо доверять персоналу внутри организации с доступом на уровне администратора. Прежде чем использовать функцию управления ключами, следует оценить риск самостоятельного управления ключами шифрования баз данных. Возможна ситуация, когда злонамеренный администратор (пользователь, которому предоставлен доступ на уровне администратора или который получил его с целью умышленно навредить безопасности или бизнес-процессам организации), работающий в организации, может использовать функцию управления ключами для создания ключа, с помощью которого можно заблокировать все среды в клиенте.

Рассмотрите следующую последовательность событий.

Злонамеренный администратор входит в центр администрирования Power Platform, переходит на вкладку Среды и выбирает Управление ключом шифрования. Затем злоумышленник-администратор создает новый ключ с паролем, загружает ключ шифрования на свой локальный диск и активирует новый ключ. Теперь все базы данных среды зашифрованы новым ключом. Затем вредоносный администратор блокирует клиент с помощью вновь загруженного ключа, а затем принимает или удаляет загруженный ключ шифрования.

Эти действия приведут к отключению всех сред в клиенте от интернет-доступа и сделают невозможным восстановление всех резервных копий базы данных.

Внимание

Чтобы злонамеренный администратор не мог прервать работу бизнеса, заблокировав базу данных, функция управления ключами запрещает блокировку сред клиента в течение 72 часов после смены или активации ключа шифрования. В результате у других администраторов будет до 72 часов для того, чтоб отменить все несанкционированные изменения ключа.

Требования к ключам шифрования

Если вы предоставляет собственный ключ шифрования, ваш ключ должен отвечать следующим требованиям, принятым Azure Key Vault.

  • Формат файла ключа шифрования должен быть PFX или BYOK.
  • 2048-разрядный RSA.
  • Тип ключа RSA-HSM (требуется Microsoft запрос в службу поддержки).
  • PFX-файлы ключей шифрования должны быть защищены паролем.

Дополнительные сведения о создании и переносе ключа с защитой HSM по Интернету см. в разделе Создание и перенос ключей с защитой HSM для хранилища ключей Azure. Поддерживается только ключ HSM поставщика nCipher. Перед генерацией ключа HSM перейдите в центр администрирования Power Platform, окно Управление ключами шифрования/Создать ключ для получения идентификатора подписки для региона вашей среды. Вам необходимо скопировать и вставить этот идентификатор подписки в HSM, чтобы создать ключ. Это гарантирует, что только наше хранилище ключей Azure сможет открыть ваш файл.

Задачи управления ключами

Чтобы упростить задачи управления ключами, они разбиты на три области:

  1. Сгенерируйте или загрузите ключ шифрования для арендатора
  2. Активировать ключ шифрования для арендатора
  3. Управление шифрованием для среды

Администраторы могут использовать командлеты центр администрирования Power Platform или модуль администрирования Power Platform для выполнения описанных здесь задач управления ключами защиты клиентов.

Создать или отправить ключ шифрования для клиента

Все ключи шифрования хранятся в хранилище ключей Azure Key Vault, и в любой момент может быть только один активный ключ. Поскольку активный ключ используется для шифрования всех сред в клиенте, управление шифрованием осуществляется на уровне клиента. После активации ключа можно выбрать каждую отдельную среду для использования ключа для шифрования.

Эта процедура используется для настройки функции управления ключами в первый раз для среды или изменения (смены) ключа шифрования для среды с самостоятельным управлением.

Предупреждение

Выполняя описанные здесь шаги в первый раз, вы выбираете самостоятельное управление вашими ключами шифрования. Дополнительные сведения: Общие сведения о потенциальном риске при самостоятельном управлении ключами.

  1. войдите в Power Platform центр администрирования как администратор (администратор Dynamics 365 или Microsoft Power Platform администратор).

  2. Выберите вкладку Среды, а затем выберите Управление ключами шифрования на панели инструментов.

  3. Выберите Подтвердить, чтобы признать риск управления ключами.

  4. Выберите Создать ключ на панели инструментов.

  5. На левой панели заполните детали, чтобы сгенерировать или отправить ключ:

    • Выберите Регион. Этот параметр отображается только в том случае, если у вашего клиента несколько регионов.
    • Введите Имя ключа.
    • Выберите один из следующих параметров:
      • Чтобы создать ключ, выберите Создать новый (.pfx). Больше информации: Создать ключ (.pfx).
      • Чтобы использовать собственный сгенерированный ключ, выберите Отправить (.pfx или .byok). Больше информации: Отправить ключ (.pfx или .byok).

  6. Выберите Далее.

Создание ключа (.pfx)

  1. Введите пароль, а затем повторно введите пароль для подтверждения.
  2. Выберите Создать, а затем выберите уведомление о созданном файле в браузере.
  3. Файл ключа шифрования PFX загружается в папку загрузки по умолчанию вашего веб-браузера. Сохраните файл в безопасном месте (мы рекомендуем создать резервную копию этого ключа вместе с его паролем).

Отправить ключ (.pfx или .byok)

  1. Выберите Отправить ключ, выберите файл PFX или BYOK1, а затем выберите Открыть.
  2. Введите пароль для ключа и выберите Создать.

1 Для BYOK-файлов ключей шифрования проверьте, что используется код подписки, как показано на экране, при экспорте ключа шифрования из локального HSM. Больше информации: Как создать и передать ключи, защищенные HSM, для Azure Key Vault.

Заметка

Чтобы уменьшить количество шагов для администратора для управления процессом ключа, ключ автоматически активируется при первой отправке. Все последующие отправки ключа требуют дополнительного шага для активации ключа.

Активировать ключ шифрования для клиента

После того, как ключ шифрования создан или отправлен для клиента, его можно активировать.

  1. войдите в Power Platform центр администрирования как администратор (администратор Dynamics 365 или Microsoft Power Platform администратор).
  2. Выберите вкладку Среды, а затем выберите Управление ключами шифрования на панели инструментов.
  3. Выберите Подтвердить, чтобы признать риск управления ключами.
  4. Выберите ключ с состоянием Доступно, а затем выберите Активировать ключ на панели инструментов.
  5. Выберите Подтвердить, чтобы подтвердить изменение ключа.

Когда вы активируете ключ для клиента, службе управления ключами требуется некоторое время, чтобы активировать ключ. Состояние ключа имеет значение для ключа Установка, когда новый или отправленный ключ активирован. После активации ключа происходит следующее:

  • Все зашифрованные среды автоматически шифруются с активным ключом (при выполнении этого действия нет простоев).
  • После активации ключ шифрования будет применен ко всем средам, которые были изменены с предоставленного на самостоятельно управляемый ключ шифрования. Microsoft

Важно

Чтобы упростить процесс управления ключами, чтобы все среды управлялись одним и тем же ключом, активный ключ не может быть обновлен при наличии заблокированных сред. Все заблокированные среды должны быть разблокированы, прежде чем можно будет активировать новый ключ. Если есть заблокированные среды, которые не нужно разблокировать, они должны быть удалены.

Заметка

После активации ключа шифрования вы не можете активировать другой ключ в течение 24 часов.

Управление шифрованием для среды

По умолчанию каждая среда шифруется с помощью предоставленного Microsoftключа шифрования. После активации ключа шифрования для клиента администраторы могут выбрать изменение шифрования по умолчанию и использовать активированный ключ шифрования. Чтобы использовать активированный ключ, выполните следующие действия.

Применение ключа шифрования к среде

  1. Войдите вцентр администрирования Power Platform, используя учетные данные роли администратора среды или системного администратора.
  2. Перейдите на вкладку Среды.
  3. Откройте Microsoft-предоставленную зашифрованную среду.
  4. Выберите Показать все.
  5. В разделе Шифрование среды выберите Управление.
  6. Выберите Подтвердить, чтобы признать риск управления ключами.
  7. Выберите Применить этот ключ, чтобы принять изменение шифрования и использовать активированный ключ.
  8. Выбрать Подтвердить, чтобы признать, что вы управляете ключом напрямую и что для этого действия есть будет простой.

Вернуть управляемый ключ шифрования обратно в предоставленный ключ шифрования Microsoft

Возврат к предоставленному Microsoftключу шифрования возвращает среду к поведению по умолчанию, при котором Microsoft ключ шифрования управляется за вас.

  1. Войдите вцентр администрирования Power Platform, используя учетные данные роли администратора среды или системного администратора.
  2. Выберите вкладку Среды, а затем выберите среду, которая зашифрована с помощью самоуправляемого ключа.
  3. Выберите Показать все.
  4. В разделе Шифрование среды выберите Управление, а затем выберите Подтвердить.
  5. В Вернуться к стандартному управлению шифрованием выберите Вернуть.
  6. Для рабочих сред подтвердите среду, введя имя среды.
  7. Выберите Подтвердить, чтобы вернуться к стандартному управлению шифрованием.

Заблокировать клиента

Поскольку для каждого клиента существует только один активный ключ, блокировка шифрования для клиента отключает все среды, которые находятся в клиенте. Все заблокированные среды остаются недоступными для всех, включая Microsoft, пока Power Platform администратор вашей организации не разблокирует их с помощью ключа, который использовался для их блокировки.

Внимание

Не рекомендуется блокировать среды клиента в рамках обычного бизнес-процесса. При блокировке Dataverse клиента все среды будут полностью отключены, и к ним не сможет получить доступ никто, включая Microsoft. Кроме того, прекращается работа служб, таких как синхронизация и обслуживание. Если вы решите покинуть службу, блокировка клиента может гарантировать, что никто не сможет снова получить доступ к вашим интернет-данным.
Обратите внимание на следующие сведения о блокировке среды клиента:

  • Заблокированные среды невозможно восстановить из резервной копии.
  • Заблокированные среды удаляются, если не разблокированы, через 28 дней.
  • Вы не можете заблокировать среды в течение 72 часов после смены ключа шифрования.
  • Блокировка клиента блокирует все активные среды в пределах клиента.

Внимание

  • Вы должны подождать не менее часа после блокировки активных сред, прежде чем сможете их разблокировать.
  • Как только начинается процесс блокировки, все ключи шифрования с состоянием "активно" или "доступно" удаляются. Процесс блокировки может занять до часа, и в течение этого времени разблокировка заблокированных сред запрещена.
  1. войдите в Power Platform центр администрирования как администратор (администратор Dynamics 365 или Microsoft Power Platform администратор).
  2. Выберите вкладку Среды, а затем в командной строке выберите Управление ключами шифрования.
  3. Выберите активный ключ, а затем выберите Заблокировать активные среды.
  4. На правой панели выберите Отправить активный ключ, найдите и выберите ключ, введите пароль, а затем выберите Заблокировать.
  5. При появлении запроса введите текст, отображаемый на экране, чтобы подтвердить, что вы хотите заблокировать все среды в регионе, а затем выберите Подтвердить.

Разблокировка заблокированных сред

Чтобы разблокировать среду, вы должны сначала отправить, а затем активировать ключ шифрования клиента с тем же ключом, который использовался для блокировки клиента. Обратите внимание, что заблокированные среды не разблокируются автоматически после активации ключа. Каждую заблокированную среду нужно разблокировать отдельно.

Внимание

  • Вы должны подождать не менее часа после блокировки активных сред, прежде чем сможете их разблокировать.
  • Процесс разблокировки может занять до часа. Как только ключ разблокирован, вы можете использовать ключ для управления шифрованием для среды.
  • Вы не можете создать новый или загрузить существующий ключ, пока все заблокированные среды не будут разблокированы.
Разблокировать ключ шифрования
  1. войдите в Power Platform центр администрирования как администратор (администратор Dynamics 365 или Microsoft Power Platform администратор).
  2. Выберите вкладку Среды, а затем выберите Управление ключами шифрования.
  3. Выберите ключ с состоянием Заблокировано, а затем на панели команд выберите Разблокировать ключ.
  4. Выберите Отправить заблокированный ключ, найдите и выберите ключ, который использовался для блокировки клиента, введите пароль, а затем выберите Разблокировать. Ключ переход в состояние Установка. Вы должны подождать, пока ключ не окажется в состоянии активно, прежде чем вы можете разблокировать заблокированные среды.
  5. Чтобы разблокировать среду, см. следующий раздел.
Разблокировать среды

  1. Выберите вкладку Среды, затем выберите имя заблокированной среды.

    Совет

    Не выбирайте строку. Выберите имя среды. Открытие среды для просмотра настроек.

  2. В разделе Подробности выберите Показать все, чтобы показать область Подробности справа.

  3. В разделе шифрования Среда в области Подробности выберите Управление.

    Область сведений о среде.

  4. На странице Шифрование среды выберите Разблокировать.

    Разблокировать среду.

  5. Выберите Подтвердить, чтобы подтвердить, что вы хотите разблокировать среду.

  6. Повторите предыдущие шаги, чтобы разблокировать дополнительные среды.

Операции с базой данных среды

Клиент-арендатор может иметь среды, зашифрованные с использованием Microsoft управляемого ключа, и среды, зашифрованные с использованием управляемого клиентом ключа. Для обеспечения целостности и защиты данных доступны следующие элементы управления при управлении операциями базы данных среды.

  1. Восстановление Среда для перезаписи (восстановленная среда) ограничивается той же средой, из которой была сделана резервная копия, или другой средой, зашифрованной с помощью того же управляемого клиентом ключа.

    Восстановление из резервной копии.

  2. Копировать Среда для перезаписи (скопированная среда) ограничена другой средой, зашифрованной с помощью того же управляемого клиентом ключа.

    Копирование среды.

    Заметка

    Если среда исследования поддержки была создана для решения проблемы поддержки в управляемой клиентом среде, ключ шифрования для среды исследования поддержки должен быть изменен на управляемый клиентом ключ, прежде чем можно будет выполнить операцию копирования среды.

  3. Сброс Зашифрованные данные среды будут удалены, включая резервные копии. После сброса среды шифрование среды отменить изменения вернется к Microsoft управляемому ключу.

См. также

SQL Server: Прозрачное шифрование данных (TDE)