En esta página se describe el encriptado de datos transparente (TDE) en Cloud SQL para SQL Server.
Cloud SQL para SQL Server admite el uso de TDE para cifrar los datos almacenados en tus instancias de Cloud SQL para SQL Server. TDE cifra automáticamente los datos antes de que se escriban en el almacenamiento y los descifra automáticamente cuando se leen del almacenamiento.
El TDE se usa en situaciones en las que se requiere otra capa de cifrado además de la oferta predeterminada de Google de cifrado de datos en reposo y de la oferta opcional de Google de claves de cifrado gestionadas por el cliente (CMEK). En concreto, puedes usar TDE para cumplir los requisitos de cumplimiento normativo, como la normativa de seguridad de datos del sector de las tarjetas de pago (PCI DSS), o al importar o exportar copias de seguridad cifradas.
Cómo funciona TDE
El encriptado de datos transparente de Cloud SQL para SQL Server proporciona gestión de claves de cifrado mediante una arquitectura de claves de dos niveles. Se usa un certificado, que se genera a partir de la clave principal de la base de datos, para proteger las claves de cifrado de datos. La clave de cifrado de la base de datos cifra y descifra los datos de la base de datos del usuario. Cloud SQL gestiona tanto la clave principal de la base de datos como el certificado TDE.
Cada instancia apta de Cloud SQL para SQL Server se aprovisiona con un certificado TDE único que tiene una validez de un año. Cloud SQL para SQL Server rota automáticamente este certificado cada año.
Puedes importar certificados TDE externos a la instancia, pero debes rotarlos manualmente.
Si la instancia tiene réplicas, todos los certificados de TDE, incluidos los gestionados por Cloud SQL y los que hayas importado manualmente, se distribuyen automáticamente entre todas las réplicas.
Las instancias con TDE habilitado generan una base de datos interna llamada
gcloud_cloudsqladmin. Esta base de datos se reserva para procesos internos de Cloud SQL, no es accesible para los usuarios, almacena datos mínimos y tiene un coste de almacenamiento insignificante.Cloud SQL para SQL Server usa el prefijo de nombre
gcloud_tde_system_al aprovisionar un certificado TDE.Los certificados importados usan el prefijo de nombre
gcloud_tde_user_CERT_NAME_UUID.Después de importar o rotar un certificado en una instancia que tenga habilitadas tanto la recuperación a un momento dado (PITR) como el cifrado de datos en reposo (TDE), la instancia crea una copia de seguridad. De esta forma, se reduce el riesgo de perder el certificado si quieres restaurar una base de datos cifrada a un momento anterior a que la instancia pudiera acceder al certificado.
Limitaciones
Solo está disponible en instancias de Cloud SQL para SQL Server con las siguientes versiones de la base de datos:
- SQL Server Enterprise
- SQL Server 2019 o versiones posteriores (edición Standard)
Si se usa TDE en una instancia con réplicas y se habilitan los Controles de Servicio de VPC, debes asegurarte de que la instancia principal y todas las réplicas estén dentro del mismo perímetro de servicio.
Para obtener más información, consulte Configurar Controles de Servicio de VPC y Descripción general de Controles de Servicio de VPC.
No puedes eliminar un certificado TDE gestionado por Cloud SQL.
No puedes eliminar un certificado de TDE mientras esté en uso.
No puedes importar directamente certificados TDE externos a instancias de réplica.
Puedes importar hasta diez certificados de TDE por instancia. Si necesitas importar más, elimina los certificados innecesarios con el procedimiento almacenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.