Suporte para criptografia de dados transparente no SQL Server

O Amazon RDS suporta o uso de Criptografia de Dados Transparente (TDE) para criptografar dados armazenados em suas instâncias de banco de dados executando o Microsoft SQL Server. O TDE criptografa os dados automaticamente antes de gravá-los no armazenamento e os descriptografa automaticamente quando os são lidos.

O Amazon RDS oferece suporte a TDE para as seguintes versões e edições do SQL Server:

• SQL Server 2022 Standard e Enterprise Editions

• SQL Server 2019 Standard e Enterprise Edition

• SQL Server 2017 Enterprise Edition

• SQL Server 2016 Enterprise Edition

A criptografia de dados transparente para o SQL Server permite o gerenciamento de chaves de criptografia usando uma arquitetura de chave de duas camadas. Um certificado, que é gerado a partir da chave mestre do banco de dados, é usado para proteger as chaves de criptografia de dados. A chave de criptografia do banco de dados executa a criptografia e a decodificação reais dos dados no banco de dados do usuário. O Amazon RDS faz backup e gerencia a chave primária do banco de dados e o certificado TDE.

A criptografia de dados transparente é usada em cenários em que você precisa criptografar dados confidenciais. Por exemplo, você pode querer fornecer arquivos de dados e backups a terceiros ou abordar problemas de conformidade regulatórios relacionados à segurança. Não é possível criptografar os bancos de dados do sistema para o SQL Server, como os bancos de dados model ou master.

Uma discussão detalhada sobre a Transparent Data Encryption não está no escopo deste guia, mas você deve entender os pontos fortes e fracos de segurança de cada algoritmo e chave de criptografia. Para obter informações sobre a criptografia de dados transparente para o SQL Server, consulte o tópico sobre a Transparent Data Encryption (TDE) no site da Microsoft.

Tópicos

• Ativar o TDE para o RDS para SQL Server

• Criptografar dados no RDS para SQL Server

• Fazer backup e restaurar certificados TDE no RDS para SQL Server

• Fazer backup e restaurar certificados TDE para bancos de dados on-premises

• Desativar o TDE para o RDS para SQL Server

Ativar o TDE para o RDS para SQL Server

Para ativar a Transparent Data Encryption para uma instância de banco de dados do RDS para SQL Server, especifique a opção TDE em um grupo de opções do RDS associado a essa instância de banco de dados.

1. Determine se a instância de banco de dados já está associada a um grupo de opções que tenha a opção TDE. Para visualizar o grupo de opções ao qual uma instância de banco de dados está associada, use o console do RDS, o comando describe-db-instance da AWS CLI ou a operação DescribeDBInstances da API.

2. Se a instância de banco de dados não estiver associada a um grupo de opções que tenha o TDE ativado, você terá duas opções. Você pode criar um grupo de opções e adicionar a opção TDE ou pode modificar o grupo de opções associado para adicioná-lo.

   nota

   No console do RDS, a opção é chamada TRANSPARENT_DATA_ENCRYPTION. Na AWS CLI e na API do RDS, ele é chamado TDE.

   Para obter informações sobre como criar ou modificar um grupo de opções, consulte Trabalhar com grupos de opções. Para obter informações sobre como adicionar uma opção a um grupo de opções, consulte Adicionar uma opção a um grupo de opções.

3. Associe a instância de banco de dados ao grupo de opções com a opção TDE. Para obter informações sobre como associar uma instância de banco de dados a um grupo de opções, consulte Modificar uma instância de banco de dados do Amazon RDS.

Considerações de grupos de opções

A opção TDE é uma opção persistente. Não é possível removê-lo de um grupo de opções, a menos que todas as instâncias e backups de banco de dados não estejam mais associados ao grupo de opções. Quando você adiciona a opção TDE a um grupo de opções, o grupo de opções só pode ser associado a instâncias de banco de dados que usam TDE. Para mais informações sobre opções persistentes em um grupo de opções, consulte Visão geral de grupos de opções.

Como a opção TDE é uma opção persistente, você pode ter um conflito entre o grupo de opções e uma instância de banco de dados associada. Pode haver um conflito nas seguintes situações:

• O grupo de opções atual tem a opção TDE, e você o substitui por um grupo de opções sem a opção TDE.

• Faça uma restauração a partir de um snapshot de banco de dados para uma nova instância de banco de dados sem um grupo de opções que contenha a opção TDE. Para ter mais informações sobre esse cenário, consulte Considerações sobre grupos de opções.

Considerações de performance do SQL Server

O uso da Transparent Data Encryption pode afetar a performance de uma instância de banco de dados do SQL Server.

O performance de bancos de dados descriptografados também pode ser degradado se os bancos de dados estiverem em uma instância de banco de dados que tenha pelo menos um banco de dados criptografado. Como resultado, recomendamos que você mantenha bancos de dados criptografados e descriptografados em instâncias de banco de dados separadas.