“Blog này trình bày các bước chi tiết cần thiết để thiết lập Mã hóa dữ liệu minh bạch với Nhóm tính sẵn sàng AlwaysOn.”
Giới thiệu
Máy chủ SQL cung cấp Mã hóa dữ liệu minh bạch (TDE) để mã hóa các tệp vật lý nhằm bảo vệ dữ liệu nhạy cảm của khách hàng. Nó đã được giới thiệu cùng với SQL Server 2008 như một tính năng của Phiên bản Doanh nghiệp.
TDE khả dụng với các Phiên bản SQL Server sau:
• SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 (Đánh giá, Nhà phát triển, Doanh nghiệp)
From SQL version 2019, TDE is available on most of the editions available.
• SQL Server 2019 - Tiêu chuẩn, Đánh giá, Nhà phát triển, Doanh nghiệp
Hãy cùng khám phá cách Định cấu hình TDE với AlwaysOn Av sẵn sàng trong phần sau các tình huống.
- Thêm cơ sở dữ liệu được mã hóa TDE vào nhóm AG.
- Định cấu hình TDE cho cơ sở dữ liệu đã tồn tại trong nhóm AG.
- Xoay vòng Chứng chỉ đã hết hạn
Tình huống:Thêm cơ sở dữ liệu được mã hóa TDE vào nhóm AG.
Chúng tôi đang sử dụng AG hai nút để thiết lập TDE và quy trình sau giải thích các bước chi tiết. Thực hiện theo các bước phụ trên mỗi bản sao phụ của bạn (nếu bạn có nhiều hơn 1 bản sao phụ)
• Bản sao chính:node1
• Bản sao thứ cấp:node2
• Nhóm AG:TDE_AG
Mẹo: Bạn nên chạy DBCC CHECKDB để đảm bảo rằng cơ sở dữ liệu không có lỗi và thực hiện bản sao lưu đầy đủ mới nhất của cơ sở dữ liệu trước khi triển khai TDE.
Bước 1:Phiên bản chính - Tạo khóa chính
Nếu bạn đang mã hóa TDE lần đầu tiên thì sẽ không có khóa chính và bạn có thể sử dụng SQL sau sẽ không đưa ra tập hợp kết quả nào.
Bây giờ, hãy tạo một khóa chính trong cơ sở dữ liệu chính bằng cách sử dụng mật khẩu mạnh.
Xác thực khóa chính:
Sao lưu Master Key vào một vị trí an toàn là phương pháp hay nhất. Mật khẩu cho bản sao lưu có thể khác với mật khẩu Master Key.
Bước 2:Phiên bản chính - Tạo chứng chỉ
Tạo chứng chỉ để bảo mật các khóa mã hóa cơ sở dữ liệu. Ngày hết hạn mặc định của chứng chỉ là 1 năm. Mẹo :Cách tốt nhất là đặt thời hạn sử dụng trong 5 năm vì sẽ không tốt nếu thời hạn này hết hạn sau một năm.
Xác thực bằng cách sử dụng TSQL bên dưới để xác nhận rằng chứng chỉ đã được tạo.
Bước 3:Phiên bản Chính - Tạo Khóa Mã hóa Cơ sở dữ liệu (DEK)
Tạo DEK là khóa đối xứng để mã hóa nội dung cơ sở dữ liệu thực và bạn có thể tạo bằng các thuật toán AES có sẵn.
Bước 4:Phiên bản chính - Sao lưu chứng chỉ
Sao lưu chứng chỉ và khóa riêng là một phương pháp hay. Với điều này, bạn có thể khôi phục tệp sao lưu cơ sở dữ liệu hoặc đính kèm tệp dữ liệu cơ sở dữ liệu vào phiên bản SQL Server khác.
Bước 5:Phiên bản phụ - Tạo khóa chính
Bạn nên tạo một khóa chính cơ sở dữ liệu trên tất cả các bản sao thứ cấp nếu nó không tồn tại, điều này giống như bước 1 trong trường hợp chính. Khóa chính đã được tạo trên cả hai phiên bản ở bước 1.
Bước 6:Phiên bản phụ - Tạo chứng chỉ phụ
Sao chép chứng chỉ từ bản sao chính sang tất cả các bản sao thứ cấp và tạo chứng chỉ trên bản sao thứ cấp bằng cách sử dụng chứng chỉ bản sao chính.
Bạn cần chỉ định mật khẩu giải mã đã được sử dụng trước đó để mã hóa bản sao lưu trên bản sao chính.
Bước 7:Phiên bản chính - Bật mã hóa TDE
Truy vấn lệnh sau như một bước cuối cùng để kích hoạt TDE trong cơ sở dữ liệu được yêu cầu.
Bây giờ, hãy theo dõi tiến trình của quá trình mã hóa và đảm bảo rằng trạng thái là 3 mô tả quá trình mã hóa đã hoàn tất.
Truy vấn sau liệt kê các cơ sở dữ liệu có bật TDE trên cơ sở dữ liệu.
Kết quả trên cho thấy TDE được kích hoạt trên cơ sở dữ liệu TDE_DB và trạng thái mã hóa 3 có nghĩa là cơ sở dữ liệu được Mã hóa hoàn toàn. Theo mặc định, tempdb sẽ được mã hóa tự động khi chúng tôi mã hóa bằng TDE trên bất kỳ cơ sở dữ liệu người dùng nào.
Bước 8:Thêm Cơ sở dữ liệu vào Nhóm Khả dụng
Hãy thêm cơ sở dữ liệu được mã hóa vào nhóm AG.
Lưu ý :Việc thêm cơ sở dữ liệu được mã hóa TDE vào Nhóm khả dụng không hỗ trợ các tùy chọn GUI trong SSMS.
Bạn cần sử dụng TSQL để thêm cơ sở dữ liệu vào nhóm AG. Trên Bản sao chính, hãy sao lưu toàn bộ, sao lưu nhật ký giao dịch cho cơ sở dữ liệu TDE_Test cơ sở dữ liệu và sao chép nó. Sau đó, bạn cần khôi phục nó bằng NORECOVERY
trên phụ.
Sau khi sao lưu và khôi phục hoàn tất, hãy chạy các lệnh sau để thêm cơ sở dữ liệu vào Nhóm khả dụng.
Bước 9:Xác thực tình trạng AG
Bây giờ, hãy xác thực trạng thái kiểm tra tình trạng AG thông qua trang tổng quan và thực hiện kiểm tra chuyển đổi dự phòng thủ công để đảm bảo rằng cơ sở dữ liệu của chúng tôi, với TDE được bật trên đó đang hoạt động tốt.
Tình huống:Định cấu hình TDE cho cơ sở dữ liệu đã tồn tại trong nhóm AG.
Làm theo các bước (mà tôi đã thảo luận trong kịch bản đầu tiên của chúng ta) để bật TDE khi cơ sở dữ liệu đã được thêm vào nhóm AG.
Bước 1:Phiên bản chính - Tạo khóa chính
Bước 2:Phiên bản chính - Tạo chứng chỉ
Bước 3:Phiên bản chính - Tạo khóa mã hóa cơ sở dữ liệu (DEK)
Bước 4:Phiên bản chính - Sao lưu chứng chỉ
Bước 5:Phiên bản phụ - Tạo khóa chính
Bước 6:Phiên bản phụ - Tạo chứng chỉ phụ
Bước 7:Phiên bản chính - Bật mã hóa TDE
Bước 9:Xác thực sức khỏe AG
Vì tôi đã tạo khóa chính và chứng chỉ trên cả hai bản sao trong các kịch bản trước của chúng tôi, chúng ta có thể bỏ qua các bước 1,2,4,5,6,7. Bạn chỉ cần tạo DEK và bật TDE từ bước 3 và 7.
• Bản sao chính:node1
• Bản sao thứ cấp:node2
• Nhóm AG:TDE_AG
• Cơ sở dữ liệu AG:Test_tde
• Chứng chỉ TDE:TDE_AG2021
Bước 3 và 7 - Trên Phiên bản Chính
Theo dõi tiến trình của quá trình mã hóa và đảm bảo rằng trạng thái là 3 mô tả quá trình mã hóa đã hoàn tất.
Kiểm tra cơ sở dữ liệu đã bật TDE bằng truy vấn sau.
Xác thực kiểm tra tình trạng AG và thực hiện kiểm tra chuyển đổi dự phòng để đảm bảo mọi thứ đều hoạt động tốt.
Tình huống:Xoay vòng Chứng chỉ đã hết hạn
Khi bạn nhận thấy rằng chứng chỉ TDE sắp hết hạn, bạn cần phải xoay chứng chỉ như một phương pháp hay nhất mặc dù chứng chỉ hết hạn sẽ không gây ra bất kỳ sự cố nào đối với các hoạt động thường xuyên của Cơ sở dữ liệu.
Bạn có thể kiểm tra ngày hết hạn cho các chứng chỉ TDE của chúng tôi và làm theo các bước được mô tả để xoay các chứng chỉ TDE SQL
Bước 1:Phiên bản chính - Tạo chứng chỉ mới
Bước 2:Phiên bản chính - Sao lưu chứng chỉ
Bước 3:Phiên bản phụ - Tạo chứng chỉ phụ
Bước 4:Phiên bản chính - Xoay chứng chỉ SQL TDE
Xác thực Ngày hết hạn cho cơ sở dữ liệu Test_tde:
Bước 5:Xác thực sức khỏe AG:
Lưu các chứng chỉ TDE đã hết hạn trong một thời gian để khôi phục mọi bản sao lưu cũ hơn. Chứng chỉ mới sẽ chỉ được sử dụng khi bạn đang khôi phục cơ sở dữ liệu đã được sao lưu kể từ khi xoay khóa.
Kết luận
Máy chủ SQL cung cấp Mã hóa dữ liệu minh bạch (TDE) để mã hóa các tệp vật lý nhằm bảo vệ thông tin bí mật của khách hàng. Trong blog này, tôi đã mô tả các tình huống khác nhau để định cấu hình TDE cho cơ sở dữ liệu nhóm tính khả dụng AlwaysOn.
Sử dụng tab Phản hồi để đưa ra bất kỳ nhận xét hoặc đặt câu hỏi nào. Bạn cũng có thể bắt đầu cuộc trò chuyện với chúng tôi.