Esta página descreve a criptografia de dados transparente (TDE, na sigla em inglês) no Cloud SQL para SQL Server.
O Cloud SQL para SQL Server oferece suporte ao uso da TDE para criptografar dados armazenados nas instâncias do Cloud SQL para SQL Server. A TDE criptografa automaticamente os dados antes que eles sejam gravados no armazenamento e descriptografa automaticamente os dados quando eles são lidos do armazenamento.
A TDE é usada em cenários em que outra camada de criptografia é necessária além da oferta padrão de criptografia de dados em repouso e a oferta opcional de chaves de criptografia gerenciadas pelo cliente (CMEK) do Google. Especificamente, você pode usar o TDE para atender aos requisitos de conformidade regulamentar, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, na sigla em inglês), ou ao importar ou exportar backups criptografados.
Como a TDE funciona
A TDE para o Cloud SQL para SQL Server oferece gerenciamento de chaves de criptografia usando uma arquitetura de chaves de dois níveis. Um certificado, gerado a partir da chave primária do banco de dados, é usado para proteger as chaves de criptografia de dados. A chave de criptografia do banco de dados realiza a criptografia e a descriptografia de dados no banco de dados do usuário. O Cloud SQL gerencia a chave primária do banco de dados e o certificado do TDE.
Cada instância qualificada do Cloud SQL para SQL Server é provisionada com um certificado TDE exclusivo válido por um ano. O Cloud SQL para SQL Server alterna esse certificado automaticamente a cada ano.
É possível importar certificados TDE externos para a instância, mas eles precisam ser alternados manualmente.
Se a instância tiver réplicas, todos os certificados do TDE, incluindo os gerenciados pelo Cloud SQL e os importados manualmente, serão distribuídos automaticamente entre todas as réplicas.
As instâncias com TDE ativado geram um banco de dados interno chamado
gcloud_cloudsqladmin. Esse banco de dados é reservado para processos internos do Cloud SQL, não é acessível para usuários, armazena dados mínimos e tem custo de armazenamento desprezível.
Limitações
Disponível apenas em instâncias do Cloud SQL para SQL Server com a versão do banco de dados SQL Server Enterprise.
Se o TDE for usado para uma instância com réplicas e o VPC Service Controls estiver ativado, verifique se a instância principal e todas as réplicas estão no mesmo perímetro de serviço.
Para mais informações, consulte Configurar o VPC Service Controls e Visão geral do VPC Service Controls.
Não é possível excluir um certificado TDE gerenciado pelo Cloud SQL.
Não é possível excluir um certificado de TDE enquanto ele está em uso.
Não é possível importar certificados TDE externos diretamente para instâncias de réplica.
É possível importar até 10 certificados de TDE por instância. Se você precisar importar mais, exclua os certificados desnecessários usando o procedimento armazenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.