Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (pools SQL dédiés uniquement)
Cet article décrit comment répondre à un protecteur TDE potentiellement compromis pour Azure SQL Database ou Azure Synapse Analytics à l’aide de TDE avec des clés gérées par le client dans Azure Key Vault – Prise en charge du modèle BYOK (Bring Your Own Key). Pour en savoir plus sur la prise en charge BYOK pour TDE, consultez la page de vue d’ensemble.
Attention
Les procédures décrites dans cet article doivent uniquement être effectuées dans les cas extrêmes ou dans des environnements de test. Examinez attentivement ces étapes, car la suppression des protecteurs TDE activement utilisés d’Azure Key Vault entraîne l’indisponibilité de la base de données.
Si vous suspectez qu’une clé est compromise, en cas d’accès non autorisé d’un utilisateur ou d’un service à cet clé, par exemple, nous vous recommandons de supprimer cette clé.
N’oubliez pas qu’une fois le logiciel de protection TDE supprimé dans Azure Key Vault, jusqu’à 10 minutes, toutes les bases de données chiffrées commencent à refuser toutes les connexions avec le message d’erreur correspondant et à changer son état en inaccessible.
Ce guide pratique présente l’approche à adopter pour rendre les bases de données inaccessibles après une réponse à un incident de compromission.
Note
Cet article s’applique à Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics (pools SQL dédiés (anciennement SQL DW)). Pour la documentation sur le chiffrement transparent des données pour les pools SQL dédiés à l’intérieur d’espaces de travail Synapse, consultez Chiffrement Azure Synapse Analytics.
Prerequisites
- Vous devez avoir un abonnement Azure et être un administrateur de cet abonnement.
- Azure PowerShell doit être installé et en cours d’exécution.
- Ce guide pratique part du principe que vous utilisez déjà une clé Azure Key Vault comme protecteur TDE pour Azure SQL Database ou Azure Synapse. Consultez Transparent Data Encryption with Bring Your Own Key support for Azure SQL Database and Data Warehouse (Transparent Data Encryption avec la prise en charge Bring Your Own Key pour Azure SQL Database et Data Warehouse) pour en savoir plus.
Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell. Utilisez le nouveau module Azure PowerShell Az.
Vérifier les empreintes du protecteur TDE
Les étapes suivantes indiquent comment vérifier que les empreintes du protecteur TDE sont toujours en cours d’utilisation par des fichiers journaux virtuels d’une base de données spécifique. Pour trouver l’empreinte du protecteur TDE actuel de la base de données et l’ID de base de données, exécutez la commande suivante :
SELECT [database_id],
[encryption_state],
[encryptor_type], /*asymmetric key means Azure Key Vault, certificate means service-managed keys*/
[encryptor_thumbprint]
FROM [sys].[dm_database_encryption_keys]
La requête suivante retourne les fichiers journaux virtuels et les empreintes respectives du protecteur TDE en cours d’utilisation. Chaque empreinte numérique différente fait référence à une clé différente dans Azure Key Vault :
SELECT * FROM sys.dm_db_log_info (database_id)
Vous pouvez également utiliser PowerShell ou Azure CLI :
La commande Get-AzSqlServerKeyVaultKey PowerShell fournit l’empreinte numérique du protecteur TDE utilisé dans la requête. Vous pouvez donc voir quelles clés conserver et quelles clés supprimer dans Azure Key Vault. Seules les clés qui ne sont plus utilisées par la base de données peuvent être supprimées de façon sécurisée d’Azure Key Vault.
Garder les ressources chiffrées accessibles
Créez une nouvelle clé dans Azure Key Vault. Assurez-vous que cette clé est créée dans un coffre de clés distinct à partir du protecteur TDE potentiellement compromis, étant donné que le contrôle d’accès est configuré au niveau du coffre.
Ajoutez la nouvelle clé au serveur en utilisant les cmdlets Add-AzSqlServerKeyVaultKey et Set-AzSqlServerTransparentDataEncryptionProtector et mettez-la à jour en tant que nouveau protecteur TDE du serveur.
# add the key from Azure Key Vault to the server Add-AzSqlServerKeyVaultKey -ResourceGroupName <SQLDatabaseResourceGroupName> -ServerName <LogicalServerName> -KeyId <KeyVaultKeyId> # set the key as the TDE protector for all resources under the server Set-AzSqlServerTransparentDataEncryptionProtector -ResourceGroupName <SQLDatabaseResourceGroupName> ` -ServerName <LogicalServerName> -Type AzureKeyVault -KeyId <KeyVaultKeyId>Assurez-vous que le serveur et tous les réplicas ont été mis à jour pour le nouveau protecteur TDE à l’aide de la cmdlet Get-AzSqlServerTransparentDataEncryptionProtector.
Note
Il peut se faire que quelques minutes soient nécessaires pour que le nouveau protecteur TDE soit propagé sur l’ensemble des bases de données et bases de données secondaires du serveur.
Get-AzSqlServerTransparentDataEncryptionProtector -ServerName <LogicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName>Effectuez une sauvegarde de la nouvelle clé dans Azure Key Vault.
# -OutputFile parameter is optional; if removed, a file name is automatically generated. Backup-AzKeyVaultKey -VaultName <KeyVaultName> -Name <KeyVaultKeyName> -OutputFile <DesiredBackupFilePath>Supprimez la clé compromise d’Azure Key Vault à l’aide de l’applet de commande Remove-AzKeyVaultKey .
Remove-AzKeyVaultKey -VaultName <KeyVaultName> -Name <KeyVaultKeyName>Pour restaurer une clé dans Azure Key Vault à l’avenir, utilisez l’applet de commande Restore-AzKeyVaultKey .
Restore-AzKeyVaultKey -VaultName <KeyVaultName> -InputFile <BackupFilePath>
Rendre les ressources chiffrées inaccessibles
Supprimez les bases de données chiffrées avec la clé potentiellement compromise.
Les bases de données et les fichiers journaux étant automatiquement sauvegardés, une restauration dans le temps peut donc être effectuée à tout moment (à condition que vous fournissiez la clé). Les bases de données doivent être supprimées avant de supprimer un protecteur TDE actif pour empêcher une perte de données éventuelle de 10 minutes des transactions les plus récentes.
Sauvegardez l’élément de clé du protecteur TDE dans Azure Key Vault.
Supprimez la clé potentiellement compromise d’Azure Key Vault.
Note
Les changements d’autorisation peuvent prendre environ 10 minutes avant d’être pris en compte dans le coffre de clés. Cela inclut la révocation des autorisations d’accès dans le protecteur TDE dans AKV. Du coup, les utilisateurs dans ce laps de temps peuvent toujours avoir des autorisations d’accès.
Contenu associé
- Découvrez comment faire pivoter le protecteur TDE d’un serveur pour se conformer à des exigences de sécurité : Faites pivoter le protecteur Transparent Data Encryption à l’aide de PowerShell
- Commencez avec la prise en charge de Bring Your Own Key pour TDE : activez TDE à l'aide de votre propre clé à partir d'Azure Key Vault avec PowerShell