En esta página, se describe la encriptación de datos transparente (TDE) en Cloud SQL para SQL Server.
Cloud SQL para SQL Server admite el uso de TDE para encriptar los datos almacenados en tus instancias de Cloud SQL para SQL Server. La TDE encripta automáticamente los datos antes de que se escriban en el almacenamiento y los desencripta automáticamente cuando se leen del almacenamiento.
La TDE se usa en situaciones en las que se requiere otra capa de encriptación además de la oferta predeterminada de Google de encriptación para los datos en reposo y la oferta opcional de Google de claves de encriptación administradas por el cliente (CMEK). Específicamente, puedes usar TDE para cumplir con los requisitos de cumplimiento normativo, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), o cuando importes o exportes copias de seguridad encriptadas.
Cómo funciona el TDE
La TDE para Cloud SQL para SQL Server proporciona administración de claves de encriptación con una arquitectura de claves de dos niveles. Se usa un certificado, que se genera a partir de la clave primaria de la base de datos, para proteger las claves de encriptación de datos. La clave de encriptación de la base de datos encripta y desencripta los datos de la base de datos del usuario. Cloud SQL administra tanto la clave primaria de la base de datos como el certificado de TDE.
Cada instancia apta de Cloud SQL para SQL Server se aprovisiona con un certificado TDE único que es válido por un año. Cloud SQL para SQL Server rota automáticamente este certificado todos los años.
Puedes importar certificados TDE externos a la instancia, pero debes rotarlos manualmente.
Si la instancia tiene réplicas, todos los certificados de TDE, incluidos los que administra Cloud SQL y los que importaste de forma manual, se distribuyen automáticamente en todas las réplicas.
Las instancias con TDE habilitado generan una base de datos interna llamada
gcloud_cloudsqladmin. Esta base de datos está reservada para los procesos internos de Cloud SQL, no es accesible para los usuarios, almacena datos mínimos y tiene un costo de almacenamiento insignificante.Cloud SQL para SQL Server usa el prefijo de nombres
gcloud_tde_system_cuando aprovisiona un certificado de TDE.Todos los certificados importados usan el prefijo de nomenclatura
gcloud_tde_user_CERT_NAME_UUID.Después de importar o rotar un certificado en una instancia que tiene habilitadas la TDE y la recuperación de un momento determinado (PITR), la instancia crea una copia de seguridad nueva. Esto ayuda a reducir el riesgo de pérdida del certificado si deseas restablecer una base de datos encriptada a un momento anterior a que la instancia pudiera acceder al certificado.
Limitaciones
Solo está disponible en instancias de Cloud SQL para SQL Server con las siguientes versiones de bases de datos:
- SQL Server Enterprise
- SQL Server 2019 o posterior (edición Standard)
Si se usa TDE para una instancia con réplicas y se habilitan los Controles del servicio de VPC, debes asegurarte de que la instancia principal y todas las réplicas estén dentro del mismo perímetro de servicio.
Para obtener más información, consulta Configura los Controles del servicio de VPC y Descripción general de los Controles del servicio de VPC.
No puedes borrar un certificado de TDE administrado por Cloud SQL.
No puedes borrar un certificado de TDE mientras esté en uso.
No puedes importar directamente certificados TDE externos a instancias de réplica.
Puedes importar hasta diez certificados de TDE por instancia. Si necesitas importar más, borra los certificados innecesarios con el procedimiento almacenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.