Compatibilidad con el Cifrado de datos transparente en SQL Server - Amazon Relational Database Service

Compatibilidad con el Cifrado de datos transparente en SQL Server

Amazon RDS admite el Cifrado de datos transparente (TDE) para cifrar los datos almacenados en las instancias de base de datos en las que se ejecuta Microsoft SQL Server. La característica TDE cifra automáticamente los datos antes de que se escriban en el sistema de almacenamiento y los descifra también automáticamente cuando se leen.

Amazon RDS admite TDE para las siguientes versiones y ediciones de SQL Server:

  • SQL Server 2022: Standard y Enterprise Editions

  • SQL Server 2019: Standard y Enterprise Editions

  • SQL Server 2017 Enterprise Edition

  • SQL Server 2016 Enterprise Edition

Con el cifrado de datos transparente para SQL Server se ofrece administración de claves de cifrado mediante el uso de una arquitectura de claves de dos niveles. Para proteger las claves de cifrado de datos se usa un certificado generado desde la clave maestra de la base de datos. La clave de cifrado de base de datos efectúa el cifrado y descifrado real de los datos en la base de datos del usuario. Amazon RDS crea copias de seguridad y administra la clave maestra de la base de datos y el certificado de TDE

El cifrado de datos transparente se usa en situaciones en las que es necesario cifrar información confidencial. Por ejemplo, es posible que desee proporcionar archivos de datos y copias de seguridad a un tercero, o bien solucionar problemas de cumplimiento normativo relacionados con la seguridad. No puede cifrar las bases de datos del sistema para SQL Server, por ejemplo las bases de datos model o master.

Ofrece una descripción detallada del cifrado de datos transparente va más allá del alcance de esta guía, pero asegúrese de conocer los puntos fuertes y débiles de cada algoritmo y cada clave de cifrado. Para obtener información sobre el cifrado transparente de datos para SQL Server, consulte Transparent Data Encryption (TDE) (Cifrado transparente de datos) en la documentación de Microsoft.

Activación de TDE en RDS para SQL Server

A fin de activar el cifrado de datos transparente para una instancia de base de datos de SQL Server de RDS, especifique la opción de TDE en un grupo de opciones de RDS que esté asociado con esa instancia de base de datos:

  1. Determine si la instancia de base de datos ya está asociada con un grupo de opciones que tiene la opción TDE. Para ver el grupo de opciones al que está asociada una instancia de base de datos, utilice la consola de RDS, el comando describe-db-instance de la AWS CLI o la operación DescribeDBInstances de la API.

  2. Si la instancia de base de datos no está asociada a un grupo de opciones con TDE activado, dispone de dos alternativas: Puede crear un grupo de opciones o añadir la opción TDE, o bien modificar el grupo de opciones asociado para añadirla.

    nota

    En la consola de RDS, la opción se denomina TRANSPARENT_DATA_ENCRYPTION. En la AWS CLI y la API de RDS, se denomina TDE.

    Para obtener información acerca de cómo crear o modificar un grupo de opciones, consulte Trabajo con grupos de opciones. Para obtener información acerca de cómo añadir una opción a un grupo de opciones, consulte Agregar una opción a un grupo de opciones.

  3. Asocie la instancia de base de datos al grupo de opciones que tiene la opción TDE. Para obtener información acerca de cómo asociar una instancia de base de datos a un grupo de opciones, consulte Modificación de una instancia de base de datos de Amazon RDS.

Consideraciones relativas al grupo de opciones

La opción TDE es persistente. No se puede eliminar de un grupo de opciones a menos que todas las instancias de base de datos y las copias de seguridad dejen de estar asociadas al grupo de opciones. Una vez que la opción TDE se agrega a un grupo de opciones, este solo se puede asociar a instancias de base de datos que usan TDE. Para obtener más información acerca de las opciones persistentes de un grupo de opciones, use Información general sobre grupos de opciones.

Como TDE es una opción persistente, puede producirse un conflicto entre el grupo de opciones y una instancia de base de datos asociada. Puede tener un conflicto en las siguientes situaciones:

  • El grupo de opciones actual tiene la opción TDE y lo reemplaza por un grupo de opciones que no la tiene.

  • Restaura desde una instantánea de base de datos a una nueva instancia de base de datos que no tiene un grupo de opciones que contenga la opción TDE. Para obtener más información acerca de esta situación, consulte Aspectos a tener en cuenta sobre los grupos de opciones.

Consideraciones sobre el rendimiento de SQL Server

El uso del cifrado de datos transparente puede afectar al rendimiento de una instancia de base de datos de SQL Server.

El desempeño de las bases de datos sin cifrar puede reducirse también si están en una instancia de base de datos que tenga al menos una base de datos cifrada. Como resultado, es recomendable mantener las bases de datos cifradas y sin cifrar en instancias de base de datos diferentes.