Entendendo o TDE no SQL Server

Autores: Fernanda Stedile e Oberdan Schaider

Olá, pessoal!

Hoje vamos entender um pouco mais sobre Transparent Data Encryption, o TDE, no SQL Server. Vamos ver como ele pode ser utilizado e se é a melhor opção de criptografia para você, assim como os seus benefícios e como ele protege os seus dados.

Quando desejamos criptografar nossos dados no SQL temos diversas opções, sendo uma delas o TDE, até no SQL 2017 ele está disponível apenas na edição Enterprise. Já no 2019 ele passa a estar disponível na edição Standard também.

Fonte:https://docs.microsoft.com/pt-br/sql/sql-server/editions-and-components-of-sql-server-version-15?view=sql-server-ver15

O TDE criptografa os dados “em repouso”, ou seja, os arquivos de dados e logs. Para isso é necessário criar uma chave simétrica e um certificado. Assim, um banco de dados com o TDE ativo poderá apenas ser restaurado em outro servidor, caso haja uma cópia do certificado. Neste caso, o TDE atua como um backup encryption, embora não tenha sido criado para isso.

Assim como qualquer feature, ele tem seus prós e contras. Acompanhe abaixo quais são eles:

Prós

Criptografia dos arquivos de bancos de dados, logs e backups sem modificar as aplicações existentes;
A criptografia é transparente às aplicações, não havendo a necessidade de modificá-las.

Contras

O TDE não criptografa os dados a nível de buffer pool, o que significa que qualquer um com permissões suficientes pode acessar os dados;
Em alguns casos pode consumir mais processador;
Os dados de FILESTREAM não são criptografados;
Você não poderá mais acessar o banco se o certificado e a chave forem perdidos.

Como vou saber que o TDE é a melhor opção?
Se você estiver pensando em aplicar um TDE em seus bancos de dados, leve em consideração as seguintes questões:

Você precisa criptografar seus bancos de dados, mas não quer alterar suas aplicações;
Você quer prevenir que usuários mal-intencionados façam backup dos seus dados e restaurem em outro local;
Você quer ter certeza de que seus arquivos de dados não sejam desatachados, roubados e atachados em outro SQL.

Se você respondeu “sim” para a maioria dessas perguntas, o TDE é a opção certa de criptografia para você!
Futuramente abordaremos as outras opções de criptografia oferecidas pelo SQL, mas por hoje pudemos aprender um pouco mais sobre o TDE.

Agora, com um pouco mais de conhecimento: é inegável que o TDE é uma excelente ferramenta de criptografia do SQL Server. Entretanto, é sempre bom ressaltar que para obter o máximo de segurança ao guardar seus dados, o melhor a se fazer é combinar o TDE às outras ferramentas de criptografia disponíveis no SQL, como Always encrypted, por exemplo.

Até a próxima!

REFERÊNCIAS:
– TDE (Transparent Data Encryption) – SQL Server | Microsoft Docs
– Edições e recursos com suporte do SQL Server 2019 – SQL Server | Microsoft Docs
– ISAKOV, V. Exam Ref 70-764: Administering a SQL Database InfraStructure, Person Education, INC, United States of America, 2018.