使用 Azure Key Vault (SQL Server) 的可扩展密钥管理
适用范围:SQL Server
借助用于 Microsoft Azure Key Vault 的 SQL Server 连接器,SQL Server 加密可以使用 Azure Key Vault 作为可扩展密钥管理 (EKM) 提供程序来保护 SQL Server 加密密钥。
本主题介绍了 SQL Server 连接器。 有关其他信息,你可以参阅 使用 Azure 密钥保管库的可扩展密钥管理的设置步骤、 使用具有 SQL 加密功能的 SQL Server 连接器和 SQL Server 连接器维护与故障排除。
什么是可扩展密钥管理 (EKM),为什么要使用它?
SQL Server 提供了帮助保护敏感数据的几种加密类型,包括透明数据加密 (TDE)、列级加密 (CLE) 和备份加密。 在传统的密钥层次结构中,上述三种加密类型均使用对称数据加密密钥 (DEK) 对数据进行加密。 通过使用存储在 SQL Server 中的密钥层次结构,为对称数据加密密钥进行加密,使其获得进一步的保护。 可替代这种模型的是 EKM 提供程序模型。 使用 EKM 提供程序体系结构,SQL Server 可通过使用存储在 SQL Server 之外的外部加密提供程序中的非对称密钥来保护数据加密密钥。 该模型额外添加了一个安全层,将密钥和数据分开管理。
下图对传统服务管理密钥层次结构与 Azure 密钥保管库系统进行比较。
SQL Server 连接器用作 SQL Server 和 Azure Key Vault 之间的桥梁,因此 SQL Server 可以利用 Azure Key Vault 服务的可伸缩性、高性能和高可用性。 下图显示了在使用 Azure Key Vault 和 SQL Server 连接器的 EKM 提供程序体系结构中,如何使用密钥层次结构。
Azure Key Vault 可用于 Microsoft Azure 虚拟机上的 SQL Server 安装和本地服务器。 Key Vault 服务还提供一种选择,即使用受到严格控制和监视的硬件安全模块 (HSM) 来实现对非对称加密密钥的更高级别的保护。 有关密钥保管库的详细信息,请参阅 Azure 密钥保管库。
下图总结了使用密钥保管库的 EKM 处理流程。 (图中的处理步骤数与图下的设置步骤数并不一致。)
注意
已替换版本 1.0.0.440 和更早的版本,且生产环境不再支持这些版本。 要升级至版本 1.0.1.0 或更高版本,请访问 Microsoft 下载中心 ,并参照“升级 SQL Server 连接器”下 SQL Server 连接器维护与故障排除页面上的指南。
有关下一步的信息,请参阅 Setup Steps for Extensible Key Management Using the Azure Key Vault(使用 Azure 密钥保管库的可扩展密钥管理的设置步骤)。
有关使用场景,请参阅 Use SQL Server Connector with SQL Encryption Features(使用具有 SQL 加密功能的 SQL Server 连接器)。