Esta página descreve a encriptação de dados transparente (TDE) no Cloud SQL para SQL Server.
O Cloud SQL para SQL Server suporta a utilização da TDE para encriptar dados armazenados nas suas instâncias do Cloud SQL para SQL Server. A TDE encripta automaticamente os dados antes de serem escritos no armazenamento e desencripta automaticamente os dados quando são lidos do armazenamento.
A TDE é usada em cenários em que é necessária outra camada de encriptação, além da oferta predefinida da Google de encriptação para dados em repouso e da oferta opcional da Google de chaves de encriptação geridas pelo cliente (CMEK). Em concreto, pode usar a TDE para ajudar a cumprir os requisitos de conformidade regulamentar, como a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), ou quando importa ou exporta cópias de segurança encriptadas.
Como funciona a TDE
A TDE para o Cloud SQL para SQL Server oferece gestão de chaves de encriptação através de uma arquitetura de chaves de dois níveis. É usado um certificado, que é gerado a partir da chave principal da base de dados, para proteger as chaves de encriptação de dados. A chave de encriptação da base de dados faz a encriptação e a desencriptação de dados na base de dados do utilizador. O Cloud SQL gere a chave principal da base de dados e o certificado TDE.
Cada instância elegível do Cloud SQL para SQL Server é aprovisionada com um certificado TDE exclusivo válido durante um ano. O Cloud SQL para SQL Server faz a rotação automática deste certificado anualmente.
Pode importar certificados TDE externos para a instância, mas tem de os rodar manualmente.
Se a instância tiver réplicas, todos os certificados TDE, incluindo os geridos pelo Cloud SQL e os que importou manualmente, são distribuídos automaticamente por todas as réplicas.
As instâncias com a TDE ativada geram uma base de dados interna denominada
gcloud_cloudsqladmin. Esta base de dados está reservada para processos internos do Cloud SQL, não está acessível aos utilizadores, armazena dados mínimos e tem um custo de armazenamento insignificante.O Cloud SQL para SQL Server usa o prefixo de nomenclatura
gcloud_tde_system_quando aprovisiona um certificado TDE.Todos os certificados importados usam o prefixo de nomenclatura
gcloud_tde_user_CERT_NAME_UUID.Depois de importar ou rodar um certificado numa instância que tenha a TDE e a recuperação pontual (PITR) ativadas, a instância cria uma nova cópia de segurança. Isto ajuda a reduzir o risco de perda de certificados se e quando quiser restaurar uma base de dados encriptada para um ponto no tempo antes de o certificado estar acessível à instância.
Limitações
Disponível apenas em instâncias do Cloud SQL para SQL Server com as seguintes versões da base de dados:
- SQL Server Enterprise
- SQL Server 2019 ou posterior (edição Standard)
Se a TDE for usada para uma instância com réplicas e os VPC Service Controls estiverem ativados, tem de garantir que a instância principal e todas as réplicas estão dentro do mesmo perímetro de serviço.
Para mais informações, consulte os artigos Configure o VPC Service Controls e Vista geral do VPC Service Controls.
Não pode eliminar um certificado TDE gerido pelo Cloud SQL.
Não pode eliminar um certificado TDE enquanto estiver a ser usado.
Não pode importar diretamente certificados TDE externos para instâncias de réplica.
Pode importar até dez certificados de TDE por instância. Se precisar de importar mais, elimine todos os certificados desnecessários através do procedimento armazenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.