使用 Azure Key Vault 托管 HSM 实现 SQL TDE 的跨区域复原
解决方案构想
本文介绍了一种解决方案构想。 云架构师可以通过本指南来帮助可视化此体系结构的典型实现的主要组件。 以本文为起点,设计一个符合工作负荷特定要求的架构合理的解决方案。
此解决方案介绍 Azure SQL 托管实例的安全且可复原的部署模式。 其中重点介绍了如何使用 Azure Key Vault 托管 HSM 来存储客户管理的透明数据加密(TDE)保护程序密钥。
建筑
下载此体系结构的 Visio 文件。
工作流程
以下工作流与上图相对应:
SQL 托管实例配置了辅助非对区域的可用性组,以复制数据以实现灾难恢复。
托管 HSM 配置了跨区域池。 此池会自动将密钥材料和权限复制到辅助非对等区域中的保管库。
来自 SQL 托管实例的数据平面流量流经托管 HSM 的专用终结点。
托管 HSM 使用 Azure 流量管理器将流量路由到最近的作保管库。
如果托管实例需要检查密钥的权限,它会通过 Azure 主干网络发送管理平面请求。
组件
SQL 托管实例 是一种平台即服务(PaaS)产品/服务,几乎与最新的 SQL Server Enterprise Edition 数据库引擎完全兼容。 它提供本机虚拟网络实现,可提高安全性,并为现有 SQL Server 客户提供有益的业务模型。 可以使用 SQL 托管实例将本地应用程序迁移到云,只需对应用程序和数据库进行最少修改。
SQL 托管实例还提供全面的 PaaS 功能,包括自动修补和版本更新、自动备份和高可用性。 这些功能大大减少了管理开销和总拥有成本。 在此体系结构中,SQL 托管实例是使用 TDE 保护程序密钥的数据库。
托管 HSM 是一项完全托管的云服务,可提供高可用性、单租户和符合行业标准。 托管 HSM 旨在保护云应用程序的加密密钥。 它使用联邦信息处理标准 140-2 级别 3 验证的 HSM。 托管 HSM 是 Azure 中多个关键管理解决方案之一。 在此体系结构中,托管 HSM 安全地存储 TDE 保护程序密钥,并提供跨区域复原能力。
Azure 专用终结点充当网络接口,通过专用 IP 地址安全地将 PaaS 服务(例如 Azure 存储、Azure SQL 数据库和 Azure Key Vault)连接到虚拟网络。 此功能消除了公共 Internet 公开的需求,通过保留 Azure 主干网络内的流量来提高安全性。 它还使用客户虚拟网络进行添加保护。 在此体系结构中,Azure 专用终结点可确保服务之间的流量流经专用虚拟网络。
Azure 专用 DNS 为专用终结点提供无缝名称解析,使虚拟网络中的资源能够以私密方式访问 Azure 服务。 它允许他们使用完全限定的域名,而不是公共 IP 地址,从而提高安全性和可访问性。 创建专用终结点时,会自动在链接的专用 DNS 区域中注册相应的域名系统(DNS)记录。 专用 DNS 区域可确保发到服务的流量保留在 Azure 主干网络中。 此方法通过避免公开公共 Internet 来提高安全性、性能和合规性。 如果发生区域性服务中断,Azure 专用 DNS 为托管 HSM 提供本机跨区域名称解析复原能力。 在此体系结构中,服务使用 Azure 专用 DNS 通过其专用网络地址相互通信。
方案详细信息
在此解决方案中,客户旨在满足其任务关键型系统的严格服务级别协议阈值,同时确保列出的服务的完整功能。 为了实现此目标,他们将 SQL 托管实例与客户管理的 TDE 保护程序密钥配合使用。 密钥存储在支持所选区域的保管库中,并满足所有符合性和安全性要求。 此外,还会强制实施专用终结点访问以增强保护。
可能的用例
客户使用两个配对或未经过修改的区域。 主 SQL 托管实例位于一个区域中,故障转移组配置为将其与次要区域中的 SQL 托管实例连接。
客户在主要区域中使用托管 HSM 实例,该实例在次要区域中具有跨区域副本。 启用跨区域副本后,将创建流量管理器实例。 如果两个保管库都正常运行,则流量管理器实例处理到本地保管库的路由;如果一个保管库不可用,则处理到保管库的作。
客户使用两个自定义 DNS 区域来支持每个区域中托管 HSM 实例的专用终结点。
在用户数据库中启用客户的 TDE 使用客户管理的密钥模型,并将保护程序密钥存储在托管 HSM 中。
客户使用此设计提供可能的最大复原能力。
供稿人
Microsoft维护本文。 以下参与者撰写了本文。
主要作者:
- 劳拉·格罗布 |首席云解决方案架构师
- Armen Kaleshian |首席云解决方案架构师
- Michael Piskorski |高级云解决方案架构师
若要查看非公开的LinkedIn个人资料,请登录LinkedIn。