Genişletilebilir anahtar yönetimi (ekm)

SQL Serververi şifreleme yetenekleri ile birlikte sağlar Genişletilebilir Key Management (ekm) kullanarak Microsoft şifreleme API (MSCAPI) sağlayıcısı için şifreleme ve anahtar üretimi. Geçici anahtar kapsayıcılarını veri ve anahtar şifrelemede şifreleme anahtarları oluşturulur ve önce veritabanında depolanan bir sağlayıcıdan verilmelidir. Bu yaklaşım, bir şifreleme anahtar hiyerarşisi ve anahtar yedekleme tarafından işlenecek içeren anahtar yönetimi sağlar SQL Server.

Yasal uyumluluk için artan talep ve veri gizliliği için endişe, kuruluşların şifreleme derinlemesine bir "savunma" sağlamak için bir yol olarak yararlanarak çözüm. Bu yaklaşım, yalnızca veritabanı şifreleme yönetim araçlarını kullanarak genellikle zordur. Donanım satıcıları sağlayan ürünler bu adresi kurumsal anahtar yönetimi kullanarak Donanım güvenlik modüllerini (hsm). hsm cihazları, donanım veya yazılım modülleri için şifreleme anahtarlarını saklamak. Şifreleme anahtarları şifreleme veri bulunması değil çünkü daha güvenli bir çözümdür.

Satıcı sayısını, hem anahtar yönetimi hem de şifreleme hızlandırması için hsm sunuyoruz. hsm cihazları donanım arabirimi, hsm ve bir uygulama arasında bir aracı gibi bir sunucu işlemi ile kullanın. Satıcılar da MSCAPI sağlayıcıları kendi modülleri üzerinde donanım veya yazılım olabilir uygular. MSCAPI genellikle yalnızca bir alt kümesini hsm tarafından sağlanan işlevselliği sunar. Satıcılar da yönetim yazılımı hsm, anahtar yapılandırma ve anahtar erişim sağlar.

hsm uygulamaları farklılık satıcıdan satıcı ve onları kullanmak için SQL Serverbir ortak arabirim gerektirir. MSCAPI bu arabirim sağlasa da, yalnızca bir alt kümesini hsm özelliklerini destekler. Ayrıca yerli simetrik anahtarlar ve oturum yönelik destek eksikliği kalıcı yetersizlik gibi başka sınırlamalar vardır.

SQL ServerKendi modülleri kaydetmek üçüncü taraf ekm/hsm satıcıları Genişletilebilir anahtar yönetimi sağlayan SQL Server. Kayıt olduktan sonra SQL Serverkullanıcılara ekm modülleri depolanan şifreleme anahtarlarını kullanabilirsiniz. Bu SQL ServerGelişmiş Şifreleme erişmek için anahtar bu modüller toplu şifreleme ve şifre çözme gibi destek ve yönetim fonksiyonları gibi anahtar şekil eskime ve anahtar dönüş.

ekm yapılandırma

Genişletilebilir Key Management her sürümünde kullanılabilir değil Microsoft SQL Server. Sürümü tarafından desteklenen özellikleri listesi için SQL Serverbakın SQL Server 2012 Sürümleri Tarafından Desteklenen Özellikler.

Varsayılan olarak Genişletilebilir Key Management kapalıdır. Bu özelliği etkinleştirmek için sp_configureaşağıdaki seçenek ve değeri, aşağıdaki örnekte olduğu gibi olan komutu:

sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO

[!NOT]

Eğer sen kullanma sp_configuresürümleri üzerinde bu seçenek komut SQL Server, ekm desteklemez, bir hata alırsınız.

Özelliği devre dışı bırakmak için değerini ayarlamak 0. Sunucu seçeneklerini ayarlama hakkında daha fazla bilgi için bkz: sp_configure (Transact-sql).

ekm kullanma

SQL ServerGenişletilebilir anahtar yönetimi, akıllı kart, usb aygıtı veya ekm/hsm modülü gibi bir kapalı kutu aygıtında depolanan veritabanı dosyaları koruyan şifreleme anahtarları sağlar. Bu da veri koruma veritabanı yöneticileri sağlar (dışındaki üyeleri sysadmingrubu). Veri şifreleme anahtarları yalnızca veritabanı kullanıcı erişimi dış ekm/hsm modülü olduğundan kullanılarak şifrelenebilir.

Genişletilebilir Key Management Ayrıca aşağıdaki yararları sağlar:

• Ek kimlik denetimi (harçları ayrımını etkinleştirmek).

• Donanım tabanlı şifreleme/şifre çözme için daha yüksek performans.

• Dış şifreleme anahtar oluşturma.

• Dış şifreleme anahtar saklama (fiziksel veri ve ayrılması anahtarlar).

• Şifreleme anahtarı alma.

• Dış şifreleme anahtar saklama (şifreleme anahtar döndürme etkinleştirir).

• Kolay şifreleme anahtar kurtarma.

• Yönetilebilir şifreleme anahtar dağıtımı.

• Güvenli şifreleme anahtar elden.

Genişletilebilir Key Management, bir kullanıcı adı ve parola birleşimi veya ekm sürücü tarafından tanımlanan diğer yöntemleri kullanabilirsiniz.

Dikkat
Sorun giderme, Microsoftteknik destek gerekli şifreleme anahtarı ekm sağlayıcı. Satıcı araçları ya da bir sorunu gidermek için işlemleri gerekebilir.

ekm aygıt ile kimlik doğrulama

ekm modülü birden fazla kimlik doğrulama türünü destekler. Her sağlayıcı için kimlik doğrulama için yalnızca bir tür sunar SQL Server, yani modülü Basic veya diğer kimlik doğrulama türleri destekliyorsa, bir açar veya diğer, ancak ikisini birden.

ekm aygıt özgü temel kimlik doğrulamasını kullanarak kullanıcı adı/şifre

İçin bu ekm modülü temel kimlik doğrulaması kullanarak destekleyen bir username/passwordçifti, SQL Serverşeffaf kimlik doğrulama kimlik bilgilerini kullanarak sağlar. Kimlik bilgileri hakkında daha fazla bilgi için bkz: Kimlik bilgileri (veritabanı altyapısı).

ekm sağlayıcı için oluşturulabilir ve bir oturum açma eşlenen kimlik bilgisi (hem Windows ve SQL Serverhesapları) bir ekm modülü giriş başına temelinde erişmek için.  IdentifyKimlik bilgisi alanında: kullanıcı adı; secretalan içeren bir ekm modülü bağlanmak için parola.

Hiçbir eşlenen oturum açma kimlik bilgisi ekm sağlayıcısı ise, kimlik bilgisi eşlenen SQL Serverhizmet hesabı kullanılır.

Belirgin ekm sağlayıcılarını kullanıldıkları sürece bir giriş birden çok kimlik bilgisi, eşleştirilmiş olabilir. ekm sağlayıcı giriş başına başına tek bir eşleştirilmiş kimlik bilgisi olması gerekir. Diğer oturumları için aynı kimlik bilgisi eşlenebilir.

Diğer ekm aygıt özel kimlik doğrulama türleri

Dışındaki Windows kimlik doğrulamasına sahip ekm modülleri veya user/passwordbağımsız olarak gelen kimlik doğrulaması gerçekleştirilmelidir kombinasyonları, SQL Server.

Şifreleme ve şifre çözme ekm aygıt tarafından

Şifrelemek ve simetrik ve asimetrik anahtarları kullanarak verilerin şifresini çözmek için aşağıdaki işlevleri ve özellikleri kullanabilirsiniz:

Veritabanı anahtar şifrelemesi tarafından ekm tuşları

SQL Serverbir veritabanındaki diğer anahtarları şifrelemek için ekm tuşları kullanabilirsiniz. Oluşturabilir ve ekm aygıt üzerinde simetrik ve asimetrik anahtarları kullanabilirsiniz. Yerli (ekm olmayan) simetrik anahtarlar ekm asimetrik anahtarları ile şifreleyebilirsiniz.

Aşağıdaki örnek, bir veritabanı simetrik anahtar oluşturur ve bir ekm modülü bir anahtar kullanarak şifreler.

CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1

Veritabanı ve sunucu anahtarları hakkında daha fazla bilgi için SQL Serverbakın SQL Server ve Veritabanı Şifreleme Anahtarları (Veritabanı Altyapısı).

[!NOT]

Bir ekm anahtarı ile başka bir ekm anahtar şifreleyemezsiniz.

ilişkili Görevler

ekm sağlayıcı sunucu yapılandırma seçeneği etkinleştirildi

tde ekm kullanma etkinleştir

Ayrıca bkz.

Başvuru

ŞİFRELEME sağlayıcısı (Transact-sql) oluştur

ŞİFRELEME sağlayıcısı (Transact-sql) bırak

alter şifreleme sağlayıcısı (Transact-sql)

sys.cryptographic_providers (Transact-sql)

sys.dm_cryptographic_provider_sessions (Transact-sql)

Thesys.dm_cryptographic_provider_propertiesortak (Transact-sql)

sys.dm_cryptographic_provider_algorithms (Transact-sql)

sys.dm_cryptographic_provider_keys (Transact-sql)

sys.Credentials (Transact-sql)

Kimlik BILGISI (Transact-sql) oluştur

alter giriş (Transact-sql)

ASİMETRİK anahtar (Transact-sql) oluştur

alter ASIMETRIK anahtar (Transact-sql)

ASİMETRİK anahtar (Transact-sql) bırak

SIMETRIK anahtar (Transact-sql) oluştur

SIMETRIK anahtar (Transact-sql) değiştirme

SIMETRIK anahtar (Transact-sql) bırak

SIMETRIK anahtar (Transact-sql) bırak

Kavramlar

Yedekleme ve geri yükleme Raporlama Hizmetleri şifreleme anahtarları (ssrs yerel mod)

Şifreleme anahtarlarını silmeli ve

Ekleme ve ölçek-giden dağıtımı için şifreleme anahtarlarını kaldırma

Hizmet ana anahtarı yedeklemek

Hizmet ana anahtar geri yüklemek

Bir veritabanı ana anahtar oluşturma

Bir veritabanı ana anahtarı yedeklemek

Bir veritabanı ana anahtar geri yüklemek

İki sunucularda aynı simetrik anahtarlar oluşturmak