TDE

Segurança na informação é uma questão amplamente discutida. Você pode tomar várias precauções para proteger suas informações, tais como firewalls, certificados e ect. No entanto, quando uma midia (HD, DVD ou Fita de backup) é roubada, a pessoa mal intencionada, pode facilmente recuperar essa informações. Como um administrador de banco de dados(DBA), a segurança dos dados é uma das áreas mais importantes a considerar quando se trata de proteger os seus bancos de dados. Uma das soluções é criptografar os dados confidenciais no banco de dados e proteger as chaves que são usadas para criptografar os dados com um certificado. Isso impede que qualquer pessoa sem as chaves usadas para criptografar, de usar esses dados. Este tipo de proteção deve ser planejado com muita cautela e antecedencia.

SQL Server 2008 introduz um novo recurso que protege o banco de dados chamado Transparent Data Encryption – TDE, que oferece proteção para o banco de dados inteiro. TDE é criptografia de nível pleno de banco de dados que não está limitado às colunas e linhas, mas protege os arquivos de dados e arquivos de log assim como os arquivos de backup e a melhor parte é que NÃO exige quaisquer alterações às aplicações existentes. Dessa forma o pessoal de desenvolvimento não precisa nem ficar sabendo!

Depois que o TDE estiver habilitado em um banco de dados, para executar o restore de um backup para outra instância do SQL Server ou o attach para outra instância do SQL Server não será permitido até que o certificado que foi usado para proteger a chave de criptografia de dados seja restaurado na nova instância SQL Server.

O recurso de criptografia da TDE é aplicada no nível da página. As páginas de um banco de dados criptografado são criptografadas antes de serem escritas no disco e descodificada quando é lido na memória. TDE não aumenta o tamanho do banco de dados criptografado. Transparent Data Encryption utiliza uma Database Encryption Key (DEK) para criptografar o banco de dados que é armazenado no registro de inicialização do banco de dados. A DEK é uma chave simétrica protegida usando um certificado armazenado no banco de dados master do servidor ou uma chave assimétrica protegida por um módulo de Extensible Key Management (EKM).

Embora o certificado pode ser garantido por uma senha, TDE requer que o certificado é garantido pela Database Master Key que é protegida pela Master Key Service que é protegido pelo Data Protection API. A TDE fornece a capacidade para cumprir muitas leis, regulamentos e diretrizes estabelecidas em diversos setores.

Obs: É importante lembrar que o canal de comunicação entre o SQL Server e o aplicativo não serão criptografados via TDE.

 

Muito Importante!

Quando TDE for habilitado, você deve imediatamente fazer o backup da MASTER KEY e do seu CERTIFICADO.

A ilustração (retirada do site da MSDN) a seguir mostra a arquitetura de criptografia TDE:

clip_image001

Os arquivos de backup da base de dados em que o TDE foi habilitado também são criptografados usando a chave de criptografia do banco de dados. Quando você restaurar esses backups, o certificado que protege a chave de criptografia de banco de dados deve estar disponível, isto significa que, além de fazer o backup do banco de dados, você tem que ter certeza que você mantenha cópias de segurança dos certificados do servidor para evitar perda de dados. A perda de dados irá ocorrer se o certificado não está mais disponível. No TDE, todos os files e filegroups do banco de dados são criptografados. Se algum algum filegroups estiver marcado como READ ONLY, a operação de criptografia do banco de dados irá falhar.

Se o banco de dados que você pretende utilizar o TDE estiver habilitado para mirroring ou log shipping não se preocupe os dados serão criptografados quando forem enviados.

Um recurso a mais para você deixar seus dados seguros!

Até a próxima!

Maníaco, entusiasta, fascinado, fanático por SQL Server e nas horas vagas um DBA que adora o que faz! Também possui certificações como: MCT, MCSE - Data Management and Analystics, MCSE - Data Plataform e MCSA - SQL Server 2016/2014/2012

Responda