Quando preciso fazer backup da Chave Mestra de Serviço?

14

Estou lendo alguma documentação e white paper sobre criptografia de dados transparente. Alguma documentação menciona também para fazer backup da Chave Mestra de Serviço (para esclarecimento, não estou falando da Chave Mestra do Banco de Dados). Só não entendo exatamente por que isso é necessário, porque consegui fazer backup / restaurar um banco de dados com criptografia TDE do servidor A (backup) para o servidor B (restauração) sem usar nenhuma chave mestra de serviço.

Em que cenário eu preciso restaurar a Chave Mestra de Serviço?

sql-server encryption transparent-data-encryption gsharp
fonte
Tem certeza de que ativou a criptografia no seu banco de dados? Além disso, você criou o backup do banco de dados após a ativação da TDE?
22812 Thomas Stringer
Sim eu fiz. Eu precisava do certificado e da chave para restaurá-lo no servidor B. (fiz um backup do certificado e da chave). No entanto, no BI, criei uma nova chave mestra (não restaurada a do servidor A) e foi capaz de restaurar meu banco de dados.
precisa saber é
Se você restaurou o certificado TDE e a chave privada no servidor B, ele poderá descriptografar o banco de dados TDE. Você pode apontar para o documento em que leu o requisito para SMK? Talvez seja algo mais matizado ...
Remus Rusanu
Eu concordo com @RemusRusanu. O certificado é o que impulsiona a criptografia. Quanto à Chave Mestre de Serviço, é apenas uma prática recomendada geral de backup (algo que deveria ter sido feito inicialmente) para DR, eu acredito.
22812 Thomas Stringer
1
@gsharp: que documenta como fazer backup do SMK. Eu estava interessado em uma documentação que explica por que o backup SMK é necessário ao transferir um banco de dados criptografado pelo TDE.
Remus Rusanu

Respostas:

6

Se você está falando sobre a chave mestra do serviço SQL, há uma ocorrência rara em que você realmente precisa restaurá-la.

Estou pensando em alguns cenários em que você precisa restaurar o SMK ...

  1. De alguma forma, foi corrompido.

  2. Você está reconstruindo seu servidor SQL e planejando restaurar todos os bancos de dados, incluindo bancos de dados do sistema a partir do backup. Normalmente, também neste caso, talvez você não precise restaurar o SMK se estiver usando a mesma conta e senha de serviço SQL.

No TDE, você não precisa restaurar o SMK. Como todos disseram, você só precisa do certificado e da chave privada. Você não precisa ter a mesma chave mestra do banco de dados; também, ao criar o certificado a partir do backup, ele é criptografado pelo DMK da máquina de destino.

Arijit
fonte
2

Ao mover um banco de dados TDE para uma nova instância, o que você precisa garantir é que o certificado adequado (ou chave assimétrica) também esteja no masterbanco de dados de destino . Se você não conseguir fazer isso, receberá o seguinte erro:

Msg 33111, Nível 16, Estado 3, Linha 2 Não é possível encontrar o certificado do servidor com impressão digital '0xA085414434DB4A36B29 ..................'.

Não é a chave mestra de serviço que precisa ser movida com o backup do banco de dados habilitado para TDE, mas seria o certificado. Por exemplo, digamos que você criou sua DEK (chave de criptografia do banco de dados) com um certificado masterchamado MyTDECert . Sem esse certificado na instância de destino, você não poderá restaurar seu banco de dados.

Thomas Stringer
fonte
Sim, está claro. Minha pergunta é mais por que é necessário (ou com que finalidade) fazer backup da chave mestra do Serviço. Consulte technet.microsoft.com/pt-br/library/aa337561
gsharp
-1

Um caso em que você precisa fazer backup e restaurar o SMK é quando você está atualizando uma topologia de replicação.

JYatesDBA
fonte