Support per la crittografia trasparente dei dati nel SQL server

Amazon RDS supporta l'utilizzo di Transparent Data Encryption (TDE) per crittografare i dati archiviati sulle istanze DB che eseguono Microsoft SQL Server. TDEcrittografa automaticamente i dati prima che vengano scritti sullo storage e decripta automaticamente i dati quando i dati vengono letti dallo storage.

Amazon RDS supporta TDE le seguenti versioni ed edizioni SQL del server:

• SQLEdizioni Server 2022 Standard ed Enterprise

• SQLEdizioni Server 2019 Standard ed Enterprise

• SQLServer 2017 Enterprise Edition

• SQLEdizione Enterprise Server 2016

Transparent Data Encryption for SQL Server fornisce la gestione delle chiavi di crittografia utilizzando un'architettura a due livelli. Un certificato, generato dalla chiave master del database, viene utilizzato per proteggere le chiavi di crittografia dei dati. La chiave di crittografia del database esegue la crittografia e la decrittografia effettive dei dati nel database utente. Amazon RDS esegue il backup e gestisce la chiave master del database e il TDE certificato.

Transparent Data Encryption è utilizzata negli scenari in cui occorre crittografare i dati sensibili. Ad esempio, potresti dover fornire file di dati e backup a una terza parte o risolvere problemi di conformità relativi a norme di sicurezza. Non puoi crittografare i database di sistema per SQL Server, come i master database model or.

Una descrizione dettagliata di Transparent Data Encryption non rientra nell'ambito di questa guida, ma assicurati di comprendere i vantaggi e gli svantaggi in termini di sicurezza di ciascuna chiave e ciascun algoritmo di crittografia. Per informazioni su Transparent Data Encryption for SQL Server, vedere Transparent Data Encryption (TDE) nella documentazione Microsoft.

Argomenti

• Attivazione TDE per RDS for SQL Server
• Crittografia dei dati su RDS for Server SQL
• Backup e ripristino dei TDE certificati su for Server RDS SQL
• Backup e ripristino dei TDE certificati per i database locali
• Disattivazione TDE per RDS for SQL Server

Attivazione TDE per RDS for SQL Server

Per attivare Transparent Data Encryption RDS per un'istanza DB for SQL Server, specifica l'TDEopzione in un gruppo di RDS opzioni associato a quell'istanza DB:

1. Determina se la tua istanza DB è già associata a un gruppo di opzioni che dispone dell'TDEopzione. Per visualizzare il gruppo di opzioni a cui è associata un'istanza DB, usa la RDS console, il describe-db-instance AWS CLI comando o l'APIoperazione escribeDBInstancesD.

2. Se l'istanza DB non è associata a un gruppo di opzioni TDE attivato, hai due scelte. È possibile creare un gruppo di opzioni e aggiungere l'TDEopzione oppure modificare il gruppo di opzioni associato per aggiungerlo.

   Nota

   Nella RDS console, l'opzione è denominataTRANSPARENT_DATA_ENCRYPTION. Nella AWS CLI mano RDSAPI, si chiamaTDE.

   Per informazioni sulla creazione o la modifica di un gruppo di opzioni, consulta Uso di gruppi di opzioni. Per informazioni sull'aggiunta di un'opzione a un gruppo di opzioni, consulta Aggiunta di un'opzione a un gruppo di opzioni.

3. Associa l'istanza DB al gruppo di opzioni che include l'TDEopzione. Per informazioni su come associare un'istanza database con un gruppo di opzioni, consulta Modifica di un'istanza Amazon RDS DB.

Considerazioni su gruppi di opzioni

L'TDEopzione è un'opzione persistente. Non può essere rimossa da un gruppo di opzioni, a meno che tutte le istanze database e i backup non siano più associati gruppo di opzioni. Dopo aver aggiunto l'TDEopzione a un gruppo di opzioni, il gruppo di opzioni può essere associato solo alle istanze DB che utilizzanoTDE. Per ulteriori informazioni sulle opzioni persistenti in un gruppo di opzioni, consulta Panoramica dei gruppi di opzioni.

Poiché l'TDEopzione è un'opzione persistente, è possibile che si verifichi un conflitto tra il gruppo di opzioni e un'istanza DB associata. Nelle seguenti situazioni si può verificare un conflitto:

• Il gruppo di opzioni corrente dispone dell'TDEopzione e voi lo sostituite con un gruppo di opzioni che non dispone dell'TDEopzione.

• Si esegue il ripristino da un'istantanea del database su una nuova istanza DB che non dispone di un gruppo di opzioni che contenga l'TDEopzione. Per ulteriori informazioni su questo scenario, consulta Considerazioni per i gruppi di opzioni.

SQLConsiderazioni sulle prestazioni del server

L'utilizzo di Transparent Data Encryption può influire sulle prestazioni di un'istanza di SQL Server DB.

Le prestazioni dei database non crittografati possono anche essere ridotte se i database si trovano su un'istanza database con almeno un database crittografato. Ti consigliamo pertanto di mantenere i database crittografati e non crittografati su istanze database separate.