Neste post falaremos sobre a criptografia TDE e responderemos as seguintes questões:
– Como funciona a criptografia TDE?
– Para quais versões do SQL Server a TDE está disponível?
– Como habilitar a TDE?
Como funciona a criptografia TDE?
O Transparente Data Encryption (TDE), em português Criptografia de Dados Transparente, trata-se da criptografia dos arquivos de dados (mdf) e de log (ldf) de um banco de dados. Esta criptografia acontece à nível de página, antes de elas serem gravadas em disco. Outra característica interessante é que, com a criptografia TDE habilitada, não será possível que o banco de dados seja restaurado em outro ambiente, sem que haja, também, a restauração do certificado de segurança.
No entanto, é importante ressaltar que as páginas são descriptografadas quando lidas em memória. Qualquer usuário que tenha permissão de System Administrator (SA) na instância ou Database Owner (dbo) no banco de dados, poderá visualizar os dados.
Para quais versões do SQL Server a TDE está disponível?
A TDE está disponível desde o SQL Server 2008 para as versões Enterprise. No SQL Server 2019, a TDE está disponível também na versão Standard.
Como habilitar a TDE?
A TDE é habilitada a nível de banco de dados. Para habilitá-la, precisamos seguir 5 passos:
1- Criar uma master key;
2- Criar um certificado;
3- Criar uma chave de criptografia;
4- Realizar o backup do certificado;
5- Habilitar a criptografia.
Vamos fazer uma desmonstração usando como exemplo a criptografia do banco de dados “AdventureWorks2019”.
- Criando uma master key, com a senha ‘pass123’, que protegerá o nosso certificado:
2. Criando um certificado com o nome ”CertificadoTeste” e descrição “Certificado de Criptografia”:
3. Criando a chave de criptografia para o banco de dados “AdventureWorks2019”:
Após a criação de chave de criptografia, o SQL Server retornará um aviso para que seja realizado, imediatamente, o backup do certificado, pois, sem o certificado, a restauração dos dados não será possível.
4. Realizando o backup do nosso certificado:
Após a execução de todos os passos anteriores, podemos habilitar a criptografia. Lembrando que a criptografia TDE é a nível de banco de dados.
5. Habilitando a criptografia em nosso banco de dados:
Mas como eu faço para desabilitar a criptografia?
É muito simples. É só executar o seguinte comando (ainda seguindo o nosso exemplo):
A criptografia de arquivos é um dos pilares da segurança dos dados.
Desejamos que este post tenha ilustrado como funciona esta importante feature do SQL Server.
Até a próxima! 😊