Transparent Data Encryption avec Azure SQL Database

Le chiffrement transparent des données Azure SQL Database (préversion) permet de se protéger contre la menace de l’activité malveillante en effectuant un chiffrement et un déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux de transactions au repos sans nécessiter de modifications apportées à l’application.

TDE chiffre le stockage d’une base de données entière à l’aide d’une clé symétrique appelée clé de chiffrement de base de données. Dans SQL Database, la clé de chiffrement de base de données est protégée par un certificat de serveur intégré. Le certificat de serveur intégré est unique pour chaque serveur SQL Database. Si une base de données se trouve dans une relation GeoDR, elle est protégée par une clé différente sur chaque serveur. Si 2 bases de données sont connectées au même serveur, elles partagent le même certificat intégré. Microsoft fait pivoter automatiquement ces certificats au moins tous les 90 jours. Pour obtenir une description générale de TDE, consultez Transparent Data Encryption (TDE).

Azure SQL Database ne prend pas en charge l’intégration d’Azure Key Vault à TDE. SQL Server s’exécutant sur une machine virtuelle Azure peut utiliser une clé asymétrique à partir du coffre de clés. Pour plus d’informations, consultez l’exemple A : Transparent Data Encryption à l’aide d’une clé asymétrique à partir du coffre de clés.

La préversion de l’état de TDE s’applique même dans le sous-ensemble de régions géographiques où la famille de versions V12 de SQL Database est annoncée comme étant désormais en état de disponibilité générale. TDE pour SQL Database n’est pas destiné à être utilisé dans les bases de données de production tant que Microsoft n’annonce pas que TDE est promu de la préversion à la disponibilité générale. Pour plus d’informations sur SQL Database V12, consultez Nouveautés d’Azure SQL Database.

Autorisations

Pour vous inscrire à la préversion et configurer TDE via le portail Azure, à l’aide de l’API REST ou à l’aide de PowerShell, vous devez être connecté en tant que propriétaire, contributeur ou Gestionnaire de sécurité SQL Azure.

Pour la configuration de TDE à l'aide de Transact-SQL, les éléments suivants sont nécessaires :

• Vous devez être déjà inscrit(e) pour la préversion TDE.

• Pour créer la clé de chiffrement de base de données, vous devez être administrateur SQL Database ou vous devez être membre du rôle dbmanager dans la base de données master et disposer de l’autorisation CONTROL sur la base de données.

• Pour exécuter l’instruction ALTER DATABASE avec l’option SET, elle nécessite uniquement l’appartenance au rôle dbmanager .

Inscrivez-vous à l'aperçu de TDE et configurez TDE sur une base de données

1. Visitez le portail Azure à l’adresse https://portal.azure.com et connectez-vous à l’aide de votre compte Administrateur ou Contributeur Azure.

2. Dans la bannière de gauche, cliquez sur Parcourir, puis sur Bases de données SQL.

3. Une fois les bases de données SQL sélectionnées dans le volet gauche, cliquez sur votre base de données utilisateur.

4. Dans le panneau de base de données, cliquez sur Tous les paramètres.

5. Dans le panneau Paramètres , cliquez sur La partie Chiffrement transparent des données (préversion) pour ouvrir le panneau Aperçu du chiffrement transparent des données . Si vous n’êtes pas déjà inscrit à la préversion TDE, les paramètres de chiffrement des données sont désactivés jusqu’à ce que vous ayez terminé l’inscription.

6. Cliquez sur APERÇU DES CONDITIONS.

7. Lisez les termes de la préversion et, si vous acceptez les termes, activez la case à cocher Transparent Data EncryptionPreview, puis cliquez sur OK en bas de la page. Revenez au panneau Data encryptionPREVIEW , où le bouton Chiffrement des données doit maintenant être activé.

8. Dans le panneau Aperçu du chiffrement des données , déplacez le bouton Chiffrement des données sur Activé, puis cliquez sur Enregistrer (en haut de la page) pour appliquer le paramètre. L’état de chiffrement est approximatif de la progression du chiffrement transparent des données.

   

   Vous pouvez également surveiller la progression du chiffrement en vous connectant à SQL Database à l’aide d’un outil de requête tel que SQL Server Management Studio en tant qu’utilisateur de base de données avec l’autorisation VIEW DATABASE STATE . Interrogez la colonne encryption_state de la vue sys.dm_database_encryption_keys.

Activation de TDE sur SQL Database à l’aide de Transact-SQL

Les étapes suivantes supposent que vous êtes déjà inscrit à l'aperçu.

1. Connectez-vous à la base de données en utilisant un login qui est administrateur ou membre du rôle dbmanager dans la base de données master.

2. Exécutez les instructions suivantes pour créer une clé de chiffrement de base de données et chiffrer la base de données.

   -- Create the database encryption key that will be used for TDE.
   CREATE DATABASE ENCRYPTION KEY 
   WITH ALGORITHM = AES_256 
   ENCRYPTION BY SERVER CERTIFICATE ##MS_TdeCertificate##;
   
   -- Enable encryption
   ALTER DATABASE [AdventureWorks] SET ENCRYPTION ON;
   GO
   

3. Pour surveiller la progression du chiffrement sur SQL Database, les utilisateurs de base de données disposant de l’autorisation VIEW DATABASE STATE peuvent interroger la encryption_state colonne de la vue sys.dm_database_encryption_keys .

Activation de TDE sur SQL Database à l’aide de PowerShell

À l’aide d’Azure PowerShell, vous pouvez exécuter la commande suivante pour activer/désactiver TDE. Vous devez connecter votre compte à la fenêtre PS avant d’exécuter la commande. Les étapes suivantes supposent que vous êtes déjà inscrit à la version d'essai. Pour plus d’informations sur PowerShell, consultez Comment installer et configurer Azure PowerShell.

1. Pour activer TDE, retournez l’état TDE et affichez l’activité de chiffrement.

   Switch-AzureMode -Name AzureResourceManager
   Set-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1" -State "Enabled"
   
   Get-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1"
   Get-AzureSqlDatabaseTransparentDataEncryptionActivity -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1"
   

2. Pour désactiver TDE :

   Set-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1" -State "Disabled"
   Switch-AzureMode -Name AzureServiceManagement
   

Déchiffrement d’une base de données protégée par TDE sur SQL Database

Pour désactiver TDE à l’aide du portail Azure

1. Visitez le portail Azure à l’adresse https://portal.azure.com et connectez-vous à l’aide de votre compte Administrateur ou Contributeur Azure.

2. Dans la bannière de gauche, cliquez sur Parcourir, puis sur Bases de données SQL.

3. Une fois les bases de données SQL sélectionnées dans le volet gauche, cliquez sur votre base de données utilisateur.

4. Dans le panneau de base de données, cliquez sur Tous les paramètres.

5. Dans le panneau Paramètres , cliquez sur La partie Chiffrement transparent des données (préversion) pour ouvrir le panneau Aperçu du chiffrement transparent des données .

6. Dans le panneau Aperçu du chiffrement transparent des données, déplacez le bouton Chiffrement des données sur Désactivé, puis cliquez sur Enregistrer (en haut de la page) pour appliquer le paramètre. L’état de chiffrement indique approximativement la progression du déchiffrement transparent des données.

   Vous pouvez également surveiller la progression du déchiffrement en vous connectant à SQL Database à l’aide d’un outil de requête tel que Management Studio en tant qu’utilisateur de base de données avec l’autorisation VIEW DATABASE STATE . Interrogez la encryption_state colonne de la vue sys.dm_database_encryption_keys.

Pour désactiver TDE à l’aide de Transact-SQL

1. Connectez-vous à la base de données à l'aide d'un identifiant qui est administrateur ou membre du rôle dbmanager dans la base de données maître.

2. Exécutez les instructions suivantes pour déchiffrer la base de données.

   -- Enable encryption
   ALTER DATABASE [AdventureWorks] SET ENCRYPTION OFF;
   GO
   

3. Pour surveiller la progression du chiffrement sur SQL Database, les utilisateurs de base de données disposant de l’autorisation VIEW DATABASE STATE peuvent interroger la encryption_state colonne de la vue sys.dm_database_encryption_keys .

Utilisation de bases de données protégées par TDE sur SQL Database

Vous n’avez pas besoin de déchiffrer les bases de données pour les opérations dans Azure. La base de données cible hérite de façon transparente des paramètres de TDE sur la base de données source ou sur la base de données principale. Cela inclut les opérations impliquant :

• La géo-restauration

• Self-Service restauration à un moment précis

• Restaurer une base de données supprimée

• Réplication Géographique Active

• Création d’une copie de base de données

Déplacement d’une base de données protégée par TDE à l’aide de fichiers .bacpac

Lors de l’exportation d’une base de données protégée par TDE à l’aide de la fonction Export Database dans le portail Azure SQL Database ou de l’Assistant Importation et Exportation SQL Server, le contenu de la base de données n’est pas chiffré. Le contenu est stocké dans des fichiers .bacpac qui ne sont pas chiffrés. Veillez à protéger correctement les fichiers .bacpac et à activer TDE une fois l’importation de la nouvelle base de données terminée.

Rubrique RELATIVE à SQL Server

Activer TDE à l’aide d’EKM

Voir aussi

Chiffrement de Données Transparent (TDE)CRÉER IDENTIFIANT (Transact-SQL)CRÉER CLÉ ASYMÉTRIQUE (Transact-SQL)CRÉER CLÉ DE CHIFFREMENT DE BASE DE DONNÉES (Transact-SQL)MODIFIER BASE DE DONNÉES (Transact-SQL)MODIFIER OPTIONS DE BASE DE DONNÉES (Transact-SQL)