Nesta página, descrevemos a criptografia de dados transparente (TDE, na sigla em inglês) no Cloud SQL para SQL Server.
O Cloud SQL para SQL Server oferece suporte ao uso da TDE para criptografar dados armazenados nas instâncias do Cloud SQL para SQL Server. A TDE criptografa automaticamente os dados antes de serem gravados no armazenamento e descriptografa automaticamente os dados quando são lidos do armazenamento.
A TDE é usada em cenários em que outra camada de criptografia é necessária além da oferta padrão do Google de criptografia para dados em repouso e da oferta opcional do Google de chaves de criptografia gerenciadas pelo cliente (CMEK). Especificamente, é possível usar a TDE para atender aos requisitos de conformidade regulatória, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), ou ao importar ou exportar backups criptografados.
Como a TDE funciona
A TDE para Cloud SQL para SQL Server oferece gerenciamento de chaves de criptografia usando uma arquitetura de chaves de dois níveis. Um certificado, que é gerado da chave primária do banco de dados, é usado para proteger as chaves de criptografia de dados. A chave de criptografia do banco de dados criptografa e descriptografa os dados no banco de dados do usuário. O Cloud SQL gerencia a chave primária do banco de dados e o certificado TDE.
Cada instância qualificada do Cloud SQL para SQL Server é provisionada com um certificado TDE exclusivo válido por um ano. O Cloud SQL para SQL Server gira automaticamente esse certificado anualmente.
É possível importar certificados TDE externos para a instância, mas é necessário fazer a rotação deles manualmente.
Se a instância tiver réplicas, todos os certificados de TDE, incluindo os gerenciados pelo Cloud SQL e os importados manualmente, serão distribuídos automaticamente entre todas as réplicas.
As instâncias com TDE ativado geram um banco de dados interno chamado
gcloud_cloudsqladmin. Esse banco de dados é reservado para processos internos do Cloud SQL, não é acessível aos usuários, armazena dados mínimos e tem um custo de armazenamento insignificante.O Cloud SQL para SQL Server usa o prefixo de nomenclatura
gcloud_tde_system_ao provisionar um certificado TDE.Todos os certificados importados usam o prefixo de nomenclatura
gcloud_tde_user_CERT_NAME_UUID.Depois de importar ou girar um certificado em uma instância que tem TDE e recuperação pontual (PITR) ativados, a instância cria um novo backup. Isso ajuda a reduzir o risco de perda de certificado se e quando você quiser restaurar um banco de dados criptografado para um momento antes que o certificado estivesse acessível à instância.
Limitações
Disponível apenas em instâncias do Cloud SQL para SQL Server com as seguintes versões de banco de dados:
- SQL Server Enterprise
- SQL Server 2019 ou mais recente (edição Standard)
Se a TDE for usada em uma instância com réplicas e o VPC Service Controls estiver ativado, verifique se a instância principal e todas as réplicas estão no mesmo perímetro de serviço.
Para mais informações, consulte Configurar o VPC Service Controls e Visão geral do VPC Service Controls.
Não é possível excluir um certificado TDE gerenciado pelo Cloud SQL.
Não é possível excluir um certificado TDE enquanto ele está em uso.
Não é possível importar diretamente certificados TDE externos para instâncias de réplica.
É possível importar até dez certificados de TDE por instância. Se você precisar importar mais, exclua os certificados desnecessários usando o procedimento armazenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.