Início / dba / Perguntas / 200408
Accepted
gotqn
Asked: 2018-03-16 12:39:25 +0800 CST

Criando chave simétrica de um provedor externo

  • 772

Conhecendo a hierarquia dos objetos de segurança, podemos ver que para criar um Symmetric Keye criptografar dados, precisamos criar:

  1. Database Master Keyque é protegido por senha
  2. Certificateque está protegido peloDatabase Master key

  3. O Symmetric Keypróprio, que é protegido peloCertificate

    insira a descrição da imagem aqui

Em Always Encrypted, podemos usar EKMo módulo para simplificar essa hierarquia. Por exemplo, podemos armazenar os certificados no Windows Certification Storee esses certificados estão protegendo nossas chaves mestras de criptografia.

Eu estou querendo saber, se eu quiser usar Always Encryptedfuncionalidades de criptografia não internas, posso usar EKMo módulo para criar e gerenciar minhas chaves simétricas (como é mostrado no diagrama). Na documentação CREATE SYMMETRIC KEY temos provideropção, mas não informações suficientes sobre possíveis provedores e exemplos.

Tenho interesse em armazenar o Certificateque está protegendo as chaves simétricas ou as chaves simétricas em armazenamento externo, pois desta forma os dados são separados das chaves e no banco de dados estamos armazenando apenas referências às chaves (como em sempre criptografado). A Windows Certification Store será a melhor opção para mim, mas o Azure Key Vault ou outra coisa também funcionará, eu acho.

sql-server t-sql

1 respostas

  1. Best Answer

    tl;dr - use CREATE CRYPTOGRAPHIC PROVIDERpara criar uma conexão dentro do SQL Server com seu hardware/software EKM/HSM, por meio de um arquivo .DLL fornecido pelo fornecedor projetado para essa finalidade.

    Você pode usar o Azure Key Vault para proteger dados locais. Há muitas etapas necessárias para habilitar sua conta do Azure com o Azure Key Vault, que são detalhadas nas etapas de configuração para gerenciamento extensível de chaves usando o Azure Key Vault .

    As etapas dentro do SQL Server consistem no seguinte:

    1. Instale o SQL Server Connector para Azure Key Vault do centro de download da Microsoft .

    2. Execute o seguinte código para habilitar provedores de EKM:

      -- Enable advanced options.  
USE master;  
GO  

sp_configure 'show advanced options', 1;  
GO  
RECONFIGURE;  
GO  

-- Enable EKM provider  
sp_configure 'EKM provider enabled', 1;  
GO  
RECONFIGURE;

    3. Registre o módulo EKM:

      CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov   
FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';  
GO

    4. Configure uma credencial para o SQL Server se conectar ao Azure:

      USE master;  
CREATE CREDENTIAL sysadmin_ekm_cred   
    WITH IDENTITY = 'ContosoDevKeyVault', -- for public Azure
    -- WITH IDENTITY = 'ContosoDevKeyVault.vault.usgovcloudapi.net', -- for Azure Government
    -- WITH IDENTITY = 'ContosoDevKeyVault.vault.azure.cn', -- for Azure China
    -- WITH IDENTITY = 'ContosoDevKeyVault.vault.microsoftazure.de', -- for Azure Germany   
    SECRET = 'EF5C8E094D2A4A769998D93440D8115DReplace-With-AAD-Client-Secret'   
FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM_Prov;  

-- Add the credential to the SQL Server administrator's domain login   
ALTER LOGIN [<domain>\<login>]  
ADD CREDENTIAL sysadmin_ekm_cred;

    5. Abra o cofre de chaves:

      CREATE ASYMMETRIC KEY CONTOSO_KEY   
FROM PROVIDER [AzureKeyVault_EKM_Prov]  
WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0',  
CREATION_DISPOSITION = OPEN_EXISTING;

    Você pode habilitar o TDE seguindo as etapas listadas para usar o SQL Server com a Criptografia SQL .

    • 2

relate perguntas