टीडीई को ऑलवेजऑन उपलब्धता समूह के साथ कॉन्फ़िगर करना

"यह ब्लॉग ऑलवेजऑन उपलब्धता समूह के साथ पारदर्शी डेटा एन्क्रिप्शन स्थापित करने के लिए आवश्यक विस्तृत चरणों को प्रदर्शित करता है।"

परिचय

SQL सर्वर ग्राहक संवेदनशील डेटा की सुरक्षा के लिए भौतिक फ़ाइलों को एन्क्रिप्ट करने के लिए पारदर्शी डेटा एन्क्रिप्शन (TDE) प्रदान करता है। इसे SQL Server 2008 के साथ एंटरप्राइज़ संस्करण सुविधा के रूप में पेश किया गया था।

TDE निम्न SQL सर्वर संस्करणों के साथ उपलब्ध है:

• SQL सर्वर 2008, 2008 R2, 2012, 2014, 2016, 2017 (मूल्यांकन, डेवलपर, उद्यम)

  From SQL version 2019, TDE is available on most of the editions available. 

• SQL सर्वर 2019 - मानक, मूल्यांकन, डेवलपर, उद्यम

1. एजी समूह में टीडीई एन्क्रिप्टेड डेटाबेस जोड़ना।
2. TDE को उस डेटाबेस में कॉन्फ़िगर करें जो पहले से AG समूह में मौजूद है।
3. समाप्ति प्रमाणपत्र को घुमाना

परिदृश्य:AG समूह में TDE एन्क्रिप्टेड डेटाबेस जोड़ना।

हम टीडीई को स्थापित करने के लिए दो-नोड एजी का उपयोग कर रहे हैं और निम्नलिखित प्रक्रिया चरणों को विस्तार से बताती है। अपने प्रत्येक द्वितीयक प्रतिकृतियों पर द्वितीयक चरणों का पालन करें (यदि आपके पास 1 से अधिक माध्यमिक हैं)

• प्राथमिक प्रतिकृति:नोड1

• द्वितीयक प्रतिकृति:नोड2

• एजी समूह:TDE_AG

टिप: यह सुनिश्चित करने के लिए हमेशा DBCC CHECKDB चलाने की अनुशंसा की जाती है कि डेटाबेस त्रुटि मुक्त है और TDE को लागू करने से पहले डेटाबेस का नवीनतम पूर्ण बैकअप ले रहा है।

चरण 1:प्राथमिक उदाहरण - एक मास्टर कुंजी बनाएं

यदि आप पहली बार TDE को एन्क्रिप्ट कर रहे हैं, तो कोई मास्टर कुंजी नहीं होनी चाहिए और आप निम्न SQL का उपयोग कर सकते हैं जो कोई परिणाम सेट नहीं करेगा।

अब मजबूत पासवर्ड का उपयोग करके मास्टर डेटाबेस में एक मास्टर कुंजी बनाएं।

मास्टर कुंजी की पुष्टि करें:

सर्वोत्तम अभ्यास के रूप में किसी सुरक्षित स्थान पर मास्टर कुंजी का बैकअप लें। बैकअप के लिए पासवर्ड मास्टर कुंजी पासवर्ड से भिन्न हो सकता है।

चरण 2:प्राथमिक उदाहरण - एक प्रमाणपत्र बनाएं

डेटाबेस एन्क्रिप्शन कुंजियों को सुरक्षित करने के लिए एक प्रमाणपत्र बनाएँ। प्रमाणपत्र की डिफ़ॉल्ट समाप्ति तिथि 1 वर्ष है।युक्ति :समाप्ति तिथि को 5 वर्ष के लिए निर्धारित करना सबसे अच्छा अभ्यास है क्योंकि इसे एक वर्ष में समाप्त करना अच्छा नहीं है।

नीचे दिए गए TSQL का उपयोग करके पुष्टि करें कि प्रमाणपत्र बनाया गया है।

चरण 3:प्राथमिक इंस्टेंस - डेटाबेस एन्क्रिप्शन कुंजी (DEK) का निर्माण

DEK बनाएं जो वास्तविक डेटाबेस सामग्री को एन्क्रिप्ट करने के लिए एक सममित कुंजी है और आप उपलब्ध AES एल्गोरिदम का उपयोग करके बना सकते हैं।

चरण 4:प्राथमिक उदाहरण - प्रमाणपत्र का बैकअप लें

एक अच्छे अभ्यास के रूप में प्रमाणपत्र और निजी कुंजी का बैकअप लें। इसके साथ, आप डेटाबेस बैकअप फ़ाइलों को पुनर्स्थापित कर सकते हैं या डेटाबेस डेटा फ़ाइलों को किसी अन्य SQL सर्वर इंस्टेंस में संलग्न कर सकते हैं।

चरण 5:सेकेंडरी इंस्टेंस - एक मास्टर कुंजी बनाएं

यदि यह मौजूद नहीं है, तो आपको सभी माध्यमिक प्रतिकृतियों पर एक डेटाबेस मास्टर कुंजी बनानी चाहिए, यह प्राथमिक उदाहरण में चरण 1 की तरह है। मास्टर कुंजी पहले से ही चरण 1 में दोनों उदाहरणों पर बनाई गई थी।

चरण 6:सेकेंडरी इंस्टेंस - सेकेंडरी सर्टिफिकेट बनाएं

प्राथमिक प्रतिकृति से प्रमाणपत्र को सभी द्वितीयक प्रतिकृतियों में कॉपी करें और प्राथमिक प्रतिकृति प्रमाणपत्र का उपयोग करके द्वितीयक प्रतिकृति पर प्रमाणपत्र बनाएं।

आपको डिक्रिप्शन पासवर्ड निर्दिष्ट करने की आवश्यकता है जो पहले प्राथमिक प्रतिकृति पर बैकअप को एन्क्रिप्ट करने के लिए उपयोग किया गया था।

चरण 7:प्राथमिक इंस्टेंस - TDE एन्क्रिप्शन को सक्षम करना

आवश्यक डेटाबेस में TDE को सक्षम करने के लिए अंतिम चरण के रूप में निम्न कमांड को क्वेरी करें।

अब, एन्क्रिप्शन प्रक्रिया की प्रगति की निगरानी करते हैं और सुनिश्चित करते हैं कि राज्य 3 है जो बताता है कि एन्क्रिप्शन पूरा हो गया है।

निम्न क्वेरी डेटाबेस पर सक्षम TDE वाले डेटाबेस को सूचीबद्ध करती है।

उपरोक्त परिणाम से पता चलता है कि TDE_DB डेटाबेस पर TDE सक्षम है, और एन्क्रिप्शन स्थिति 3 का अर्थ है कि डेटाबेस पूरी तरह से एन्क्रिप्टेड है। डिफ़ॉल्ट रूप से, जब हम किसी उपयोगकर्ता डेटाबेस पर TDE का उपयोग करके एन्क्रिप्ट करते हैं तो tempdb स्वचालित रूप से एन्क्रिप्ट हो जाएगा।

चरण 8:उपलब्धता समूह में डेटाबेस जोड़ना

आइए एन्क्रिप्टेड डेटाबेस को AG समूह में जोड़ें।

नोट :उपलब्धता समूह में TDE एन्क्रिप्टेड डेटाबेस जोड़ना SSMS में GUI विकल्पों का समर्थन नहीं करता है।

डेटाबेस को AG समूह में जोड़ने के लिए आपको TSQL का उपयोग करने की आवश्यकता है। प्राथमिक प्रतिकृति पर, डेटाबेस TDE_Test डेटाबेस के लिए एक पूर्ण बैकअप, लेन-देन लॉग बैकअप लें और इसे कॉपी करें। फिर आपको इसे NORECOVERY . के साथ पुनर्स्थापित करना होगा माध्यमिक पर।

एक बार बैकअप और पुनर्स्थापना पूर्ण हो जाने पर, उपलब्धता समूह में डेटाबेस जोड़ने के लिए निम्न कमांड चलाएँ।

चरण 9:AG स्वास्थ्य सत्यापन

अब डैशबोर्ड के माध्यम से एजी स्वास्थ्य जांच की स्थिति को सत्यापित करें और यह सुनिश्चित करने के लिए मैन्युअल विफलता परीक्षण करें कि हमारा डेटाबेस, जिस पर टीडीई सक्षम है, ठीक काम कर रहा है।

परिदृश्य:डेटाबेस में टीडीई को कॉन्फ़िगर करें जो पहले से ही एजी समूह में मौजूद है।

जब डेटाबेस पहले से ही AG समूह में जोड़ा जाता है तो TDE को सक्षम करने के लिए चरणों का पालन करें (जिसकी चर्चा मैंने अपने पहले परिदृश्य में की थी)।

चरण 1:प्राथमिक उदाहरण - एक मास्टर कुंजी बनाएं

चरण 2:प्राथमिक उदाहरण - एक प्रमाणपत्र बनाएं

चरण 3:प्राथमिक उदाहरण - डेटाबेस एन्क्रिप्शन कुंजी (DEK) का निर्माण

चरण 4:प्राथमिक उदाहरण - प्रमाणपत्र का बैकअप लें

चरण 5:माध्यमिक उदाहरण - एक मास्टर कुंजी बनाएं

चरण 6:सेकेंडरी इंस्टेंस - सेकेंडरी सर्टिफिकेट बनाएं

चरण 7:प्राथमिक उदाहरण - टीडीई एन्क्रिप्शन सक्षम करना

चरण 9:एजी स्वास्थ्य सत्यापन

जैसा कि मैंने अपने पिछले परिदृश्यों में दोनों प्रतिकृतियों पर मास्टर कुंजी और प्रमाणपत्र पहले ही बना लिया था, हम चरण 1,2,4,5,6,7 को छोड़ सकते हैं। आपको केवल चरण 3 और 7 से DEK बनाने और TDE को सक्षम करने की आवश्यकता है।

• प्राथमिक प्रतिकृति:नोड1

• द्वितीयक प्रतिकृति:नोड2

• एजी समूह:TDE_AG

• AG डेटाबेस :Test_tde

• टीडीई प्रमाणपत्र :TDE_AG2021

चरण 3 और 7 - प्राथमिक उदाहरण पर

एन्क्रिप्शन प्रक्रिया की प्रगति की निगरानी करें और सुनिश्चित करें कि राज्य 3 है जो बताता है कि एन्क्रिप्शन पूरा हो गया है।

निम्न क्वेरी के साथ TDE सक्षम डेटाबेस की जाँच करें।

एजी स्वास्थ्य जांच की पुष्टि करें और यह सुनिश्चित करने के लिए एक विफलता परीक्षण करें कि सब कुछ ठीक चल रहा है।

परिदृश्य:समय सीमा समाप्त प्रमाणपत्र को घुमाना

जब आप देखते हैं कि टीडीई प्रमाणपत्र जल्द ही समाप्त हो रहा है, तो आपको प्रमाणपत्र को सर्वोत्तम अभ्यास के रूप में घुमाने की आवश्यकता है, भले ही समय सीमा समाप्त प्रमाणपत्र डेटाबेस नियमित संचालन पर कोई समस्या नहीं पैदा करेगा।

आप हमारे टीडीई प्रमाणपत्रों की समाप्ति तिथि की जांच कर सकते हैं और एसक्यूएल टीडीई प्रमाणपत्रों को घुमाने के लिए वर्णित चरणों का पालन कर सकते हैं

चरण 1:प्राथमिक उदाहरण - एक नया प्रमाणपत्र बनाएं

चरण 2:प्राथमिक उदाहरण - प्रमाणपत्र का बैकअप लें

चरण 3:सेकेंडरी इंस्टेंस - सेकेंडरी सर्टिफिकेट बनाएं

चरण 4:प्राथमिक उदाहरण - SQL TDE प्रमाणपत्र घुमाएँ

Test_tde डेटाबेस की समाप्ति तिथि सत्यापित करें:

चरण 5:एजी स्वास्थ्य सत्यापन:

किसी भी पुराने बैकअप को पुनर्स्थापित करने के लिए समय-सीमा समाप्त TDE प्रमाणपत्रों को कुछ समय के लिए सहेजें। नए प्रमाणपत्र का उपयोग केवल तब किया जाएगा जब आप उन डेटाबेस को पुनर्स्थापित कर रहे हैं जिनका कुंजी रोटेशन के बाद से बैकअप लिया गया था।

निष्कर्ष

SQL सर्वर ग्राहक की गोपनीय जानकारी की सुरक्षा के लिए भौतिक फ़ाइलों को एन्क्रिप्ट करने के लिए पारदर्शी डेटा एन्क्रिप्शन (TDE) प्रदान करता है। इस ब्लॉग में, मैंने ऑल्वेज़ऑन उपलब्धता समूह डेटाबेस के लिए टीडीई को कॉन्फ़िगर करने के लिए विभिन्न परिदृश्यों का वर्णन किया है।

कोई टिप्पणी करने या प्रश्न पूछने के लिए प्रतिक्रिया टैब का उपयोग करें। आप हमारे साथ बातचीत भी शुरू कर सकते हैं।