Criptografia de dados no banco de dados SQL no Microsoft Fabric

Aplica-se a:✅banco de dados SQL do Microsoft Fabric

O Microsoft Fabric criptografa todos os dados em repouso usando chaves gerenciadas pela Microsoft. Todos os dados do banco de dados SQL são armazenados em contas remotas do Armazenamento do Azure. Para atender aos requisitos de criptografia em repouso usando chaves gerenciadas pela Microsoft, cada conta de Armazenamento do Azure usada pelo banco de dados SQL é configurada com a criptografia do lado do serviço habilitada.

Com chaves gerenciadas pelo cliente para workspaces do Fabric, você pode usar suas chaves do Azure Key Vault para adicionar outra camada de proteção aos dados em seus workspaces do Microsoft Fabric, incluindo todos os dados no banco de dados SQL no Microsoft Fabric. Uma chave gerenciada pelo cliente oferece maior flexibilidade, permitindo que você gerencie sua rotação, controle o acesso e a auditoria de uso. As chaves gerenciadas pelo cliente também ajudam as organizações a atender às necessidades de governança de dados e a cumprir os padrões de proteção de dados e criptografia.

• Quando uma chave gerenciada pelo cliente é configurada para um workspace no Microsoft Fabric, a criptografia de dados transparente é habilitada automaticamente para todos os bancos de dados SQL (e tempdb) dentro desse workspace usando a chave gerenciada pelo cliente especificada. Esse processo é totalmente contínuo e não requer nenhuma intervenção manual.
  • Embora o processo de criptografia comece automaticamente para todos os bancos de dados SQL existentes, ele não é instantâneo; a duração depende do tamanho de cada banco de dados SQL, com bancos de dados SQL maiores exigindo mais tempo para concluir a criptografia.
  • Depois que a chave gerenciada pelo cliente for configurada, todos os bancos de dados SQL criados no workspace também serão criptografados usando a chave gerenciada pelo cliente.
• Se a chave gerenciada pelo cliente for eliminada, o processo de descriptografia será iniciado para todos os bancos de dados SQL no espaço de trabalho. Assim como a criptografia, a descriptografia também depende do tamanho do banco de dados SQL e pode levar tempo para ser concluída. Depois de descriptografados, os bancos de dados SQL serão revertidos para o uso de chaves gerenciadas pela Microsoft para criptografia.

Como a criptografia de dados transparente funciona no banco de dados SQL no Microsoft Fabric

A criptografia de dados transparente realiza, em tempo real, a criptografia e a descriptografia do banco de dados, dos backups associados e dos arquivos de log de transações quando em repouso.

• Esse processo ocorre no nível da página, o que significa que cada página é descriptografada quando lida na memória e criptografada novamente antes de ser gravada novamente em disco.
• A criptografia de dados transparente protege todo o banco de dados usando uma chave simétrica conhecida como DEK (Chave de Criptografia de Banco de Dados).
• Quando o banco de dados é iniciado, o DEK criptografado é descriptografado e usado pelo mecanismo de banco de dados do SQL Server para gerenciar operações de criptografia e descriptografia.
• O próprio DEK é protegido pelo protetor de criptografia de dados transparente, que é uma chave assimétrica gerenciada pelo cliente—especificamente, a chave sob gestão do cliente configurada no nível do espaço de trabalho.

Backup e restauração

Depois que um banco de dados SQL é criptografado com uma chave gerenciada pelo cliente, todos os backups recém-gerados também são criptografados com a mesma chave.

Quando a chave é alterada, backups antigos do banco de dados SQL não são atualizados para usar a chave mais recente. Para restaurar um backup criptografado com uma chave gerenciada pelo cliente, verifique se o material da chave está disponível no Azure Key Vault. Portanto, recomendamos que os clientes mantenham todas as versões antigas das chaves gerenciadas pelo cliente no Azure Key Vault, para que os backups do banco de dados SQL possam ser restaurados.

O processo de restauração do banco de dados SQL sempre respeitará a configuração do espaço de trabalho da chave gerenciada pelo cliente. A tabela a seguir descreve vários cenários de restauração com base nas configurações de chave gerenciada pelo cliente e se o backup está criptografado.

Verificar a chave gerenciada pelo cliente bem-sucedida

Depois de habilitar a criptografia de chave gerenciada pelo cliente no workspace, o banco de dados existente será criptografado. Um novo banco de dados em um workspace também será criptografado quando a chave gerenciada pelo cliente estiver habilitada. Para verificar se o banco de dados foi criptografado com êxito, execute a seguinte consulta T-SQL:

SELECT DB_NAME(database_id) as DatabaseName, * 
FROM sys.dm_database_encryption_keys 
WHERE database_id <> 2;

• Um banco de dados será criptografado se o encryption_state_desc campo for ENCRYPTEDASYMMETRIC_KEY exibido como .encryptor_type
• Se o estado estiver ENCRYPTION_IN_PROGRESS, a percent_complete coluna indicará o progresso da alteração do estado de criptografia. Isso será 0 se não houver nenhuma alteração de estado em andamento.
• Se não estiver criptografado, um banco de dados não aparecerá nos resultados da consulta .sys.dm_database_encryption_keys

Solucionar problemas de chave inacessível gerenciada pelo cliente

Quando uma chave gerenciada pelo cliente é configurada para um workspace no Microsoft Fabric, o acesso contínuo à chave é necessário para que o banco de dados SQL permaneça online. Se o banco de dados SQL perder o acesso à chave no Azure Key Vault, em até 10 minutos o banco de dados SQL começará a negar todas as conexões e alterará seu estado para Inacessível. Os usuários receberão uma mensagem de erro correspondente, como "O banco de <database ID>.database.fabric.microsoft.com dados não está acessível devido a um erro crítico do Azure Key Vault".

• Se o acesso à chave for restaurado dentro de 30 minutos, o banco de dados SQL será automaticamente recuperado na próxima hora.
• Se o acesso à chave for restaurado após mais de 30 minutos, a recuperação automática do banco de dados SQL não será possível. Trazer de volta o banco de dados SQL requer etapas extras e pode levar um tempo significativo, dependendo do tamanho do banco de dados SQL.

Use as seguintes etapas para validar novamente a chave gerenciada pelo cliente:

1. No workspace, clique com o botão direito do mouse no banco de dados SQL ou no menu de ... contexto. Selecione Configurações.
2. Selecione Criptografia (versão prévia).
3. Para tentar revalidar a chave gerenciada pelo cliente, selecione o botão Revalidar chave gerenciada pelo cliente . Se a revalidação for bem-sucedida, restaurar o acesso ao banco de dados SQL poderá levar algum tempo.

Limitações

Limitações atuais ao usar a chave gerenciada pelo cliente para um banco de dados SQL no Microsoft Fabric:

• Não há suporte para chaves de 4.096 bits para o Banco de Dados SQL no Microsoft Fabric. Os comprimentos de chave com suporte são de 2.048 bits e 3.072 bits.
• A chave gerenciada pelo cliente deve ser uma RSA ou RSA-HSM chave assimétrica.
• Atualmente, a criptografia de chave gerenciada pelo cliente está disponível nas seguintes regiões:
  • EUA: Leste dos EUA 2, Centro-Norte dos EUA, Centro-Sul dos EUA
  • Ásia: Leste da Austrália, Sudeste da Ásia, Norte dos Emirados Árabes Unidos
  • Europa: Norte da Europa, Oeste da Europa

Conteúdo relacionado

• Chaves gerenciadas pelo cliente para espaços de trabalho do Fabric
• Restaure de um backup no banco de dados SQL no Microsoft Fabric