En esta página, se describe la encriptación de datos transparente (TDE) en Cloud SQL para SQL Server.
Cloud SQL para SQL Server admite el uso de TDE para encriptar los datos almacenados en tus instancias de Cloud SQL para SQL Server. La TDE encripta los datos automáticamente antes de que se escriban en el almacenamiento y los desencripta automáticamente cuando se leen desde el almacenamiento.
La TDE se usa en situaciones en las que se requiere otra capa de encriptación, además de la oferta predeterminada de Google de encriptación para datos en reposo y la oferta opcional de Google de claves de encriptación administradas por el cliente (CMEK). Específicamente, puedes usar la TDE para ayudarte a cumplir con los requisitos de cumplimiento normativo, como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), o cuando importas o exportas copias de seguridad encriptadas.
Cómo funciona TDE
La TDE de Cloud SQL para SQL Server proporciona administración de claves de encriptación mediante una arquitectura de claves de dos niveles. Se usa un certificado, que se genera a partir de la clave primaria de la base de datos, para proteger las claves de encriptación de datos. La clave de encriptación de la base de datos realiza la encriptación y desencriptación de los datos en la base de datos del usuario. Cloud SQL administra la clave primaria de la base de datos y el certificado de la TDE.
Cada instancia apta de Cloud SQL para SQL Server se aprovisiona con un certificado de TDE único que es válido por un año. Cloud SQL para SQL Server rota este certificado de forma automática todos los años.
Puedes importar certificados de TDE externos a la instancia, pero debes rotar estos manualmente.
Si la instancia tiene réplicas, todos los certificados de TDE, incluidos los que administra Cloud SQL y los que importaste de forma manual, se distribuyen automáticamente entre todas las réplicas.
Las instancias con TDE habilitado generan una base de datos interna llamada
gcloud_cloudsqladmin. Esta base de datos está reservada para procesos internos de Cloud SQL, no es accesible para los usuarios, almacena datos mínimos y tiene un costo de almacenamiento insignificante.
Limitaciones
Solo está disponible en las instancias de Cloud SQL para SQL Server que tienen la versión de base de datos SQL Server Enterprise.
Si se usa TDE para una instancia con réplicas y están habilitados los Controles del servicio de VPC, debes asegurarte de que la instancia principal y todas las réplicas estén dentro del mismo perímetro de servicio.
Para obtener más información, consulta Configura los Controles del servicio de VPC y Descripción general de los Controles del servicio de VPC.
No puedes borrar un certificado de TDE que administra Cloud SQL.
No puedes borrar un certificado de TDE mientras esté en uso.
No puedes importar directamente certificados de TDE externos a instancias de réplica.
Puedes importar hasta diez certificados de TDE por instancia. Si necesitas importar más, borra los certificados innecesarios con el procedimiento almacenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.