Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:✅Base de dados SQL em Microsoft Fabric
Importante
Este recurso está em pré-visualização.
O Microsoft Fabric encripta todos os dados em repouso usando chaves geridas pela Microsoft. Todos os dados da base de dados SQL são armazenados em contas remotas do Azure Storage. Para cumprir os requisitos de encriptação em repouso usando chaves geridas pela Microsoft, cada conta Azure Storage usada pela base de dados SQL está configurada com a encriptação do lado do serviço ativada.
Com chaves geridas pelo cliente para espaços de trabalho Fabric, pode usar as chaves Azure Key Vault para adicionar outra camada de proteção aos dados nos seus espaços de trabalho Microsoft Fabric, incluindo todos os dados na base de dados SQL no Microsoft Fabric. Uma chave gerenciada pelo cliente oferece maior flexibilidade, permitindo que você gerencie sua rotação, controle o acesso e a auditoria de uso. As chaves geridas pelo cliente também ajudam as organizações a cumprir as necessidades de governação de dados e a cumprir os padrões de proteção e encriptação de dados.
- Quando uma chave gerida pelo cliente é configurada para um espaço de trabalho no Microsoft Fabric, a encriptação transparente dos dados é automaticamente ativada para todas as bases de dados SQL (e
tempdb) dentro desse espaço de trabalho usando a chave gerida pelo cliente especificada. Este processo é totalmente fluido e não requer intervenção manual.- Embora o processo de encriptação comece automaticamente para todas as bases de dados SQL existentes, não é instantâneo; a duração depende do tamanho de cada base de dados SQL, sendo que bases de dados SQL maiores requerem mais tempo para completar a encriptação.
- Após a configuração da chave gerida pelo cliente, quaisquer bases de dados SQL criadas no espaço de trabalho também serão encriptadas usando a chave gerida pelo cliente.
- Se a chave gerida pelo cliente for removida, o processo de desencriptação é ativado para todas as bases de dados SQL no espaço de trabalho. Tal como a encriptação, a desencriptação também depende do tamanho da base de dados SQL e pode demorar algum tempo a ser concluída. Uma vez desencriptadas, as bases de dados SQL voltam a usar chaves geridas pela Microsoft para encriptação.
Como funciona a encriptação de dados transparente numa base de dados SQL no Microsoft Fabric
A encriptação de dados transparente realiza encriptação e desencriptação em tempo real da base de dados, backups associados e ficheiros de registo de transações em repouso.
- Este processo ocorre ao nível da página, o que significa que cada página é desencriptada quando lida na memória e reencriptada antes de ser escrita novamente no disco.
- A encriptação transparente de dados protege toda a base de dados usando uma chave simétrica conhecida como Chave de Encriptação da Base de Dados (DEK).
- Quando a base de dados arranca, o DEK encriptado é desencriptado e utilizado pelo motor de base de dados SQL Server para gerir operações de encriptação e desencriptação.
- O próprio DEK é protegido pelo protetor de encriptação de dados transparente, que é uma chave assimétrica gerida pelo cliente — especificamente, a chave gerida pelo cliente configurada ao nível do espaço de trabalho.
Backup e restauração
Uma vez que uma base de dados SQL é encriptada com uma chave gerida pelo cliente, quaisquer backups recém-gerados também são encriptados com a mesma chave.
Quando a chave é alterada, as antigas cópias de segurança da base de dados SQL não são atualizadas para usar a chave mais recente. Para restaurar um backup encriptado com uma chave gerida pelo cliente, certifique-se de que o material da chave está disponível no Azure Key Vault. Por isso, recomendamos que os clientes mantenham todas as versões antigas das chaves geridas pelo cliente no Azure Key Vault, para que os backups da base de dados SQL possam ser restaurados.
O processo de restauro da base de dados SQL irá sempre respeitar a definição de espaço de trabalho chave gerida pelo cliente. A tabela abaixo apresenta vários cenários de restauro com base nas definições de chave geridas pelo cliente e se o backup está encriptado.
| A cópia de segurança é... | Definição de espaço de trabalho chave gerida pelo cliente | Estado da encriptação após a restauração |
|---|---|---|
| Não encriptado | Disabled | A base de dados SQL não está encriptada |
| Não encriptado | Ativado(a) | A base de dados SQL é encriptada com chave gerida pelo cliente |
| Encriptado com chave gerida pelo cliente | Disabled | A base de dados SQL não está encriptada |
| Encriptado com chave gerida pelo cliente | Ativado(a) | A base de dados SQL é encriptada com chave gerida pelo cliente |
| Encriptado com chave gerida pelo cliente | Chave ativada mas diferente gerida pelo cliente | A base de dados SQL é encriptada com a nova chave gerida pelo cliente |
Verificar chave gerida pelo cliente com sucesso
Assim que ativar a encriptação de chaves gerida pelo cliente no espaço de trabalho, a base de dados existente será encriptada. Uma nova base de dados num espaço de trabalho também será encriptada quando a chave gerida pelo cliente estiver ativada. Para verificar se a sua base de dados está encriptada com sucesso, execute a seguinte consulta T-SQL:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Uma base de dados é encriptada se o
encryption_state_desccampo for exibidoENCRYPTEDcomASYMMETRIC_KEYcomo oencryptor_type. - Se o estado for
ENCRYPTION_IN_PROGRESS, apercent_completecoluna indicará o progresso da alteração do estado de encriptação. O valor será0se não houver mudança de estado em curso. - Se não estiver encriptada, uma base de dados não aparecerá nos resultados da consulta de
sys.dm_database_encryption_keys.
Resolução de problemas chave gerida pelo cliente inacessível
Quando uma chave gerida pelo cliente é configurada para um espaço de trabalho no Microsoft Fabric, é necessário acesso contínuo à chave para que a base de dados SQL se mantenha online. Se a base de dados SQL perder o acesso à chave no Azure Key Vault, em até 10 minutos a base de dados SQL começa a negar todas as ligações e altera o seu estado para Inacessível. Os utilizadores receberão uma mensagem de erro correspondente, como "A base de dados <database ID>.database.fabric.microsoft.com não é acessível devido a erro crítico do Azure Key Vault.".
- Se o acesso à chave for restaurado dentro de 30 minutos, a base de dados SQL irá curar-se automaticamente na próxima hora.
- Se o acesso à chave for restaurado após mais de 30 minutos, a recuperação automática da base de dados SQL não é possível. Recuperar a base de dados SQL requer passos adicionais e pode demorar bastante tempo, dependendo do tamanho da base de dados.
Use os seguintes passos para revalidar a chave gerida pelo cliente:
- No seu espaço de trabalho, clique com o botão direito na base de dados SQL ou no
...menu de contexto. Selecione Configurações. - Selecione Encriptação (pré-visualização).
- Para tentar revalidar a chave gerida pelo cliente, selecione o botão Revalidar chave gerida pelo cliente . Se a revalidação for bem-sucedida, restaurar o acesso à sua base de dados SQL pode demorar algum tempo.
Observação
Quando revalida a chave para uma base de dados SQL, a chave é automaticamente revalidada para todas as bases de dados SQL dentro do seu espaço de trabalho.
Limitações
Limitações atuais ao utilizar uma chave gerida pelo cliente para uma base de dados SQL no Microsoft Fabric:
- Chaves de 4.096 bits não são suportadas para a base de dados SQL no Microsoft Fabric. Os comprimentos de chave suportados são 2.048 bits e 3.072 bits.
- A chave gerida pelo cliente deve ser RSA ou RSA-HSM assimétrica.
- Atualmente, a encriptação de chaves gerida pelo cliente está disponível nas seguintes regiões:
- EUA: Leste da US 2, Norte Central dos EUA, Sul Central dos EUA
- Ásia: Austrália Este, Sudeste Asiático, Emirados Árabes Unidos Norte
- Europa: Norte da Europa, Europa Ocidental