Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server
Der SQL Server Connector für Azure Key Vault ermöglicht die SQL Server-Verschlüsselung, den Azure Key Vault-Dienst als EKM-Anbieter (Extensible Key Management) zu verwenden, um SQL Server-Verschlüsselungsschlüssel zu schützen.
In diesem Artikel wird der SQL Server-Connector beschrieben. Weitere Informationen finden Sie unter:
- Einrichten der erweiterbaren Schlüsselverwaltung für SQL Server-TDE mit Azure Key Vault
- Verwenden von SQL Server-Connector mit SQL-Verschlüsselungsfunktionen
- SQL Server-Connector – Verwaltung und Problembehandlung
Was ist Extensible Key Management (EKM) und warum verwenden?
SQL Server bietet mehrere Verschlüsselungstypen, die vertrauliche Daten schützen, einschließlich transparenter Datenverschlüsselung (Transparent Data Encryption, TDE),Verschlüsseln einer Spalte von Daten (CLE) und Sicherungsverschlüsselung. In all diesen Fällen werden die Daten in dieser traditionellen Schlüsselhierarchie mit einem symmetrischen Datenverschlüsselungsschlüssel (DEK, Data Encrpytion Key) verschlüsselt. Der symmetrische Datenverschlüsselungsschlüssel wird außerdem geschützt durch Verschlüsselung mit einer Hierarchie von Schlüsseln, die in SQL Server gespeichert sind.
Die Alternative zu diesem Modell ist das EKM-Anbietermodell. Die Verwendung der EKM-Anbieterarchitektur ermöglicht SQL Server , die Datenverschlüsselungsschlüssel mithilfe eines asymmetrischen Schlüssels zu schützen, der außerhalb von SQL Server in einem externen Kryptografieanbieter gespeichert ist. Dieses Modell fügt eine zusätzliche Sicherheitsschicht hinzu und trennt die Verwaltung von Schlüsseln und Daten.
Das folgende Bild stellt die traditionelle Hierarchie zur Dienst-/Schlüsselverwaltung dem Azure Key Vault-System gegenüber.
Der SQL Server Connector dient als Brücke zwischen SQL Server und Azure Key Vault, sodass SQL Server die Skalierbarkeit, hohe Leistung und hohe Verfügbarkeit des Azure Key Vault-Diensts nutzen kann. In der folgenden Abbildung ist dargestellt, wie die Schlüsselhierarchie in der EKM-Anbieterarchitektur mit Azure Key Vault und SQL Server-Connector funktioniert.
Azure Key Vault kann mit SQL Server-Installationen auf virtuellen Azure-Computern und lokalen Servern verwendet werden. Der Schlüsseltresordienst bietet auch die Option, genau gesteuerte und stark überwachte Hardwaresicherheitsmodule (HSMs) für ein höheres Maß an Schutz für asymmetrische Schlüssel zu verwenden. Weitere Informationen zum Schlüsseltresor finden Sie unter Azure Key Vault.
Hinweis
Nur Azure Key Vault und Azure Key Vault Managed HSM werden unterstützt. Azure Cloud HSM wird nicht unterstützt.
Die folgende Grafik enthält eine Zusammenfassung des Prozessablaufs der erweiterbaren Schlüsselverwaltung mit Schlüsseltresor. (Die Prozessschrittnummern im Bild sollten nicht mit den Setupschrittnummern übereinstimmen, die dem Bild folgen.)
Hinweis
Versionen 1.0.0.440 und älter werden in Produktionsumgebungen nicht mehr unterstützt. Aktualisieren Sie auf Version 1.0.1.0 oder eine neuere Version, indem Sie das
Den nächsten Schritt finden Sie unter Einrichten der SQL Server TDE Extensible Key Management mithilfe von Azure Key Vault.
Eine Beschreibung von Nutzungsszenarien finden Sie unter Verwenden von SQL Server-Connector mit SQL-Verschlüsselungsfunktionen.