Migration zu Column Level Encryption Enterprise

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Regelmäßige Aufgaben migrieren Ihre Schlüssel und verschlüsselten Daten vom Verschlüsselungssupport zu Verschlüsselung auf Spaltenebene Enterprise.

    Sie können die geplanten Aufgaben überprüfen, indem Sie zu navigieren Systemsicherheit > Strenge Sicherheitseinstellungen > Security-Aufträge:

    • autoKeyMigration: Migriert Verschlüsselungskontextschlüssel zu kryptografischen Modulschlüsseln von Key Management Framework (KMF).
    • autoDataMigration: Migriert Daten, die Sie bereits verschlüsselt haben, zur Verwendung des kryptografischen Modulschlüssels KMF.

    Sie können ändern, wann diese regelmäßigen Aufgaben ausgeführt werden, und sie jederzeit anhalten oder neu starten.

    Stellen Sie sicher, dass die verschlüsselten Feldkonfigurationen Ihre neu migrierten Modulschlüssel verwenden, indem Sie zu navigieren Systemsicherheit > Feldverschlüsselung > Verschlüsselungsfeld-Konfigurationen. Suchen Sie nach den folgenden Elementen:
    • Das Feld Methode ist Einzelmodul.
    • Das Feld Krypto-Modul wird mit dem Namen des Kryptografiemoduls ausgefüllt, das das System automatisch erstellt. Sie können dieses Modul und die Modulzugriffsrichtlinie überprüfen, die beide aktiv und veröffentlicht sind.

    Column Level Encryption Enterprise- und Systemklone

    Wenn Verschlüsselung auf Spaltenebene Enterprise in Ihrer Instanz installiert ist, wird als Teil des Klonvorgangs automatisch ein neuer Verschlüsselungsschlüssel für das Feldverschlüsselungsmodul in der Zielklon-Instanz generiert. Diese Schlüssel werden für alle Module generiert, auf die der Benutzer Zugriff hat und die noch keinen Schlüssel haben.

    Aus diesem Grund können in Feldverschlüsselungsmodulen in der Zielkloninstanz zwei Modulverschlüsselungsschlüssel vorhanden sein:

    • Ein aktiver Modulverschlüsselungsschlüssel. Dies ist der neue Schlüssel, der nach dem Klonen generiert wird, solange der Benutzer auf das Modul zugreifen kann und keine vorherigen Schlüssel hat.
    • Ein deaktivierter Verschlüsselungsmodulschlüssel (aus der automatisierten Schlüsselaustauschübertragung).

      Der aktive Modulverschlüsselungsschlüssel wird verwendet, um eingefügte Daten nach Bedarf in der Zielklon-Instanz zu verschlüsseln. Das deaktivierte Modul wird verwendet, um vorhandene Daten zu entschlüsseln, die als Teil des Systemklons geklont wurden.

      Um einen einzigen Schlüssel zum Entschlüsseln und Verschlüsseln aller Daten zu verwenden, können Sie einen Modul-Rekeying-Auftrag ausführen. Weitere Informationen zu Neuschlüsselungsaufträgen für Module finden Sie unter Massenverschlüsselungs-, entschlüsselungs- und Neuschlüsselungsaufträge planen.