Transparent Data Encryption

No post de hoje, vamos ver passo a passo, com se faz para habilitar o Transparent Data Encryption no seu banco e mantê-lo o mais seguro possível.

INICIANDO O PROCESSO

Como vimos no post anterior, o serviço de TDE precisa de uma master key para ser implementado, então, na base Master, criamos a Master key atribuindo-lhe uma senha de segurança.

Após criar a Master key, ainda no banco Master, vamos criar o certificado que será o mecanismo de segurança para a Database encryption key.

Com a chave e o certificado criado, crie um banco de dados de exemplo e o selecione pois é nele que vamos habilitar o T.D.E.

Com o banco selecionado, execute o comando de criação da chave de criptografia utilizando o certificado criado no banco Master para encriptação.

Depois de criado, o sistema irá avisar que não há backup das chaves nem do certificado, recomendando que seja feito por questões de segurança e manutenção do acesso àquele banco.

Todo o processo de backup deve ser feito no banco Master. Abaixo, o procedimento de como realizar o backup.

Depois que o backup das chaves e certificados terminarem de serem criados, podemos alterar o status do banco para o modo criptografado.

Dependendo do tamanho, volume de transação e uso do ambiente, o processo pode ser demorado; Assim sendo, é possível parar o procedimento e voltar em um momento onde as transações no sistema diminuam. Basta usar o SUSPEND & RESUME

É possível utilizar DMV’s para verificar o andamento da encriptação e se houver mais de um, quais bancos estão criptografados.

Repare que, ao criptografar qualquer banco na sua instância, automaticamente o TempDB será criptografado, como mencionado no post anterior, isso nem sempre é conveniente mas, o sistema faz isso de forma automática.

E não é possível descriptografar o TempDB após ele ser criptografado, é um caminho sem volta, infelizmente.

Abaixo, o uso de duas DMVs para verificar o status de criptografia do banco