Compartilhar via

Criptografia Transparente de Dados com o Azure SQL Database

A criptografia de dados transparente do Banco de Dados SQL do Azure (versão prévia) ajuda a proteger contra a ameaça de atividade mal-intencionada executando criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações em repouso sem a necessidade de alterações no aplicativo.

O TDE criptografa o armazenamento de um banco de dados inteiro usando uma chave simétrica chamada chave de criptografia de banco de dados. No Banco de Dados SQL, a chave de criptografia do banco de dados é protegida por um certificado de servidor interno. O certificado de servidor interno é exclusivo para cada servidor do Banco de Dados SQL. Se um banco de dados estiver em uma relação GeoDR, ele será protegido por uma chave diferente em cada servidor. Se dois bancos de dados estiverem conectados ao mesmo servidor, eles compartilharão o mesmo certificado interno. A Microsoft gira automaticamente esses certificados pelo menos a cada 90 dias. Para obter uma descrição geral do TDE, consulte Transparent Data Encryption (TDE).

O Banco de Dados SQL do Azure não dá suporte à integração do Azure Key Vault ao TDE. O SQL Server em execução em uma máquina virtual do Azure pode usar uma chave assimétrica do Key Vault. Para obter mais informações, consulte o exemplo A: Transparent Data Encryption usando uma chave assimétrica do Key Vault.
Aplica-se a: Banco de Dados SQL V12 (versão prévia em algumas regiões).

Importante

Atualmente, esse é um recurso de visualização. Reconheço e concordo que a implementação da criptografia de dados transparentes do Banco de Dados SQL em meus bancos de dados está sujeita aos termos de visualização no meu contrato de licença (por exemplo, o Contrato Enterprise, o Contrato do Microsoft Azure ou o Contrato de Assinatura do Microsoft Online), bem como quaisquer Termos de Uso Complementares aplicáveis para o Microsoft Azure Preview.

A visualização do status do TDE se aplica mesmo no subconjunto de regiões geográficas em que a família de versões V12 do Banco de Dados SQL é anunciada como estando em status de disponibilidade geral. O TDE para Banco de Dados SQL não se destina a ser usado em bancos de dados de produção até que a Microsoft anuncie que o TDE é promovido da versão de prévia para disponibilidade geral. Para obter mais informações sobre o Banco de Dados SQL V12, confira as novidades no Banco de Dados SQL do Azure.

Permissões

Para se inscrever na versão prévia e configurar o TDE por meio do portal do Azure, usando a API REST ou usando o PowerShell, você deve estar conectado como o Proprietário, Colaborador ou SqL Security Manager do Azure.

Para configurar o TDE usando Transact-SQL requer o seguinte:

  • Você já deve estar inscrito na versão prévia do TDE.

  • Para criar a chave de criptografia do banco de dados, você deve ser um administrador do Banco de Dados SQL ou deve ser membro da função dbmanager no banco de dados mestre e ter a permissão CONTROL no banco de dados.

  • Para executar a instrução ALTER DATABASE com a opção SET, basta associar-se à função dbmanager .

Inscrever-se para a visualização do TDE e habilitar o TDE em um banco de dados

  1. Visite o Portal https://portal.azure.com do Azure e entre com sua conta de Administrador ou Colaborador do Azure.

  2. Na faixa à esquerda, clique em PROCURAR e clique em Bancos de Dados SQL.

  3. Com os bancos de dados SQL selecionados no painel esquerdo, clique no banco de dados do usuário.

  4. Na folha do banco de dados, clique em Todas as configurações.

  5. Na folha Configurações, clique na parte Criptografia de dados transparente (versão prévia) para abrir a folha Criptografia de dados transparente versão prévia. Se você ainda não se inscreveu para a versão prévia do TDE, as configurações de criptografia de dados serão desabilitadas até que você conclua a inscrição.

  6. Clique em TERMOS DE VISUALIZAÇÃO.

  7. Leia os termos da visualização e, se concordar com os termos, marque a caixa de seleção Transparent Data encryptionPreview terms e clique em OK na parte inferior da página. Retornando ao painel Data encryptionPREVIEW, onde o botão Data encryption agora deve estar habilitado.

  8. Na folha VISUALIZAÇÃO de criptografia de dados , mova o botão de criptografia de dados para Ativar e clique em Salvar (na parte superior da página) para aplicar a configuração. O status de criptografia aproximará o progresso da criptografia de dados transparente.

    SQLDB_TDE_TermsNewUI

    Você também pode monitorar o progresso da criptografia conectando-se ao Banco de Dados SQL usando uma ferramenta de consulta como o SQL Server Management Studio como um usuário de banco de dados com a permissão VIEW DATABASE STATE . Consulte a coluna encryption_state da visão sys.dm_database_encryption_keys.

Habilitando o TDE no Banco de Dados SQL usando Transact-SQL

As etapas a seguir pressupõem que você já se inscreveu para a versão prévia.

  1. Conecte-se ao banco de dados usando um logon que seja um administrador ou membro da função dbmanager no banco de dados mestre.

  2. Execute as instruções a seguir para criar uma chave de criptografia de banco de dados e criptografar o banco de dados.

    -- Create the database encryption key that will be used for TDE.
CREATE DATABASE ENCRYPTION KEY 
WITH ALGORITHM = AES_256 
ENCRYPTION BY SERVER CERTIFICATE ##MS_TdeCertificate##;

-- Enable encryption
ALTER DATABASE [AdventureWorks] SET ENCRYPTION ON;
GO

  3. Para monitorar o progresso da criptografia no Banco de Dados SQL, os usuários do banco de dados com a permissão VIEW DATABASE STATE podem consultar a coluna encryption_state na visualização sys.dm_database_encryption_keys.

Habilitando o TDE no Banco de Dados SQL usando o PowerShell

Usando o Azure PowerShell, você pode executar o comando a seguir para ativar/desativar o TDE. Você precisa conectar sua conta à janela PS antes de executar o comando. As etapas a seguir pressupõem que você já se inscreveu para a versão prévia. Para obter informações adicionais sobre o PowerShell, consulte Como instalar e configurar o Azure PowerShell.

  1. Para habilitar o TDE, retorne o status do TDE e exiba a atividade de criptografia.

    Switch-AzureMode -Name AzureResourceManager
Set-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1" -State "Enabled"

Get-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1"
Get-AzureSqlDatabaseTransparentDataEncryptionActivity -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1"

  2. Para desabilitar o TDE:

    Set-AzureSqlDatabaseTransparentDataEncryption -ServerName "myserver" -ResourceGroupName "Default-SQL-WestUS" -DatabaseName "database1" -State "Disabled"
Switch-AzureMode -Name AzureServiceManagement

Descriptografar um banco de dados protegido por TDE em um banco de dados SQL

Para desabilitar o TDE usando o Portal do Azure

  1. Visite o Portal https://portal.azure.com do Azure e entre com sua conta de Administrador ou Colaborador do Azure.

  2. Na faixa à esquerda, clique em PROCURAR e clique em Bancos de Dados SQL.

  3. Com os bancos de dados SQL selecionados no painel esquerdo, clique no banco de dados do usuário.

  4. Na folha do banco de dados, clique em Todas as configurações.

  5. Na lâmina Configurações, clique na parte Criptografia de dados transparente (previsão) para abrir a lâmina Previsão de criptografia de dados transparente.

  6. Na folha VISUALIZAÇÃO de criptografia de dados transparente , mova o botão de criptografia de dados para Desativar e clique em Salvar (na parte superior da página) para aplicar a configuração. O status de criptografia indicará o progresso da criptografia transparente.

    Você também pode monitorar o progresso da descriptografia conectando-se ao Banco de Dados SQL usando uma ferramenta de consulta como o Management Studio como um usuário de banco de dados com a permissão VIEW DATABASE STATE . Consulte a coluna encryption_state da visualização sys.dm_database_encryption_keys.

Para desabilitar o TDE usando Transact-SQL

  1. Conecte-se ao banco de dados usando um logon que seja um administrador ou membro da função dbmanager no banco de dados mestre.

  2. Execute as instruções a seguir para descriptografar o banco de dados.

    -- Enable encryption
ALTER DATABASE [AdventureWorks] SET ENCRYPTION OFF;
GO

  3. Para monitorar o progresso da criptografia no Banco de Dados SQL, os usuários do banco de dados com a permissão VIEW DATABASE STATE podem consultar a coluna encryption_state da visão sys.dm_database_encryption_keys.

Trabalhando com bancos de dados protegidos por TDE no Banco de Dados SQL

Você não precisa descriptografar bancos de dados para operações no Azure. As configurações de TDE no banco de dados de origem ou banco de dados primário são herdadas de forma transparente no destino. Isso inclui operações que envolvem:

  • Restauração Geográfica

  • Restauração por ponto no tempo Self-Service

  • Restaurar um banco de dados excluído

  • Geo_Replication ativo

  • Criando uma cópia de banco de dados

Como mover um banco de dados protegido por TDE usando arquivos .bacpac

Ao exportar um banco de dados protegido por TDE usando a função Exportar Banco de Dados no Portal do Banco de Dados SQL do Azure ou no Assistente de Importação e Exportação do SQL Server, o conteúdo do banco de dados não é criptografado. O conteúdo é armazenado em arquivos .bacpac que não são criptografados. Certifique-se de proteger os arquivos .bacpac adequadamente e habilitar o TDE depois que a importação do novo banco de dados for concluída.

Habilitar TDE usando EKM

Consulte Também

Transparent Data Encryption (TDE)CREATE CREDENTIAL (Transact-SQL)CREATE ASYMMETRIC KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL)

  • Last updated on