微软通过 Azure Key Vault 托管身份增强 SQL Server 2022 安全性
微软发布了针对部署在 Azure Linux 虚拟机上的 SQL Server 2022 CU18 及更高版本的重要更新。此新功能引入了对托管身份的支持,从而简化了访问 Azure Key Vault 的身份验证过程,从而增强了管理加密密钥的安全措施。
了解托管身份和 Azure Key Vault
托管身份是一项创新服务,它允许 Azure 资源使用 Microsoft Entra ID 进行身份验证,而无需使用硬编码凭据。Azure Key Vault 在该生态系统中扮演着至关重要的角色,因为它是关键数据类型(包括加密密钥、机密和证书)的安全存储解决方案。这种集成有助于为依赖敏感信息的应用程序提供更安全的工作流程。
简化透明数据加密 (TDE) 配置
此次更新的一大优势在于它简化了 SQL 数据库的透明数据加密 (TDE) 配置。TDE 对于保护磁盘上存储的数据至关重要,有助于防止未经授权的敏感文件访问。此功能采用页面级别的实时 I/O 加密和解密,以确保数据完整性。
增强安全性并简化流程
随着 Azure Key Vault 身份验证的托管标识的引入,创建 TDE 凭据的过程已显著简化。用户不再需要提供 SECRET 参数,无需直接处理敏感机密,从而增强了整体安全性。
实施要求
此创新适用于任何运行 SQL Server 2022 CU18 或更高版本的 Azure Linux VM,前提是已创建用户分配的托管标识并将其链接到 Azure Linux VM。此外,用户必须设置包含必要密钥的 Azure Key Vault 才能正常运行。
操作托管身份
为了方便使用托管身份,微软强调了分配 Key Vault Crypto Service Encryption User 角色的必要性,以便有效地执行密钥包装和解包操作。此外,该mssql-conf工具有助于将托管身份指定为在 Linux VM 上运行的 SQL Server 实例的主要身份。有关完整步骤,请参阅微软公告中的官方设置指南。
发表回复