Configuración de la función TDE
La encriptación transparente de datos (TDE) cifra los archivos de datos y los archivos de copia de respaldo mediante certificados para implementar la encriptación y la desencriptación de E/S en tiempo real. Esta función protege eficazmente la seguridad de bases de datos y archivos de datos.
TDE solo está disponible para determinadas ediciones de RDS for SQL Server. Para obtener más información, consulte Tabla 1.
Tipo de instancia de base de datos |
Soporte de ediciones para TDE |
---|---|
Primario/de espera |
|
Única |
|
Clúster |
|
Restricciones
- Si TDE se ha habilitado para una única instancia de base de datos, la instancia no se puede cambiar a instancias de base de datos primarias/en espera.
- RDS for SQL Server actualmente no admite la descarga de certificados TDE. Para restaurar datos sin conexión utilizando el archivo cifrado .bak, realice las siguientes operaciones:
- Desactive TDE para la base de datos. Para obtener más información, consulte Configuración de TDE a nivel de base de datos.
- Cree una copia de respaldo manual para la base de datos.
- Restaure datos de la copia de respaldo manual.
- Habilite TDE para la base de datos según sea necesario.
- Habilitar TDE mejora la seguridad de los datos, pero afecta al rendimiento de lectura y escritura de las bases de datos cifradas. Tenga cuidado al habilitar TDE.
- Para migrar bases de datos cifradas locales a instancias de base de datos de RDS SQL Server, primero debe deshabilitar TDE a nivel de base de datos.
- Las instancias de base de datos con la función TDE a nivel de instancia habilitada no se pueden restaurar desde copias de seguridad a instancias de base de datos existentes.
- Al habilitar la función TDE a nivel de instancia o utilizar el procedimiento almacenado rds_tde para habilitar o deshabilitar TDE a nivel de base de datos, se recomienda no realizar las siguientes operaciones:
- Eliminar archivos de grupos de archivos en bases de datos.
- Eliminar bases de datos.
- Desconectar las bases de datos
- Separar bases de datos.
- Convertir bases de datos o grupos de archivos al estado READ ONLY.
- Ejecutar el comando ALTER DATABASE.
- Crear copias de respaldo.
- Iniciar copia de respaldo de bases de datos o archivos de base de datos.
- Iniciar la restauración de bases de datos o archivos de base de datos.
Habilitación de TDE a nivel de instancia
- Inicie sesión en la consola de gestión.
- Haga clic en en la esquina superior izquierda y seleccione una región y un proyecto.
- Haga clic en en la esquina superior izquierda de la página y seleccione Databases > Relational Database Service.
- En la página Instances, haga clic en la instancia de base de datos de destino.
- En el área DB Information, haga clic en en el campo TDE para habilitar TDE.
Figura 1 Habilitación de TDE a nivel de instancia
- En el cuadro de diálogo que se muestra, haga clic en Yes.
Una vez habilitada, la función TDE a nivel de instancia no se puede deshabilitar. Tenga cuidado al decidir habilitar TDE a nivel de instancia.
Figura 2 Confirmación
Configuración de TDE a nivel de base de datos
Antes de habilitar la función TDE a nivel de base de datos, asegúrese de que se ha habilitado la función TDE a nivel de instancia.
- Conéctese a la instancia de base de datos de destino.
Para obtener más información, consulte Conexión a una instancia de base de datos a través de una red pública, Conexión a una instancia de base de datos a través de una red privada y Conexión a una instancia de base de datos a través de DAS (recomendado).
- Utilice el procedimiento almacenado rds_tde para habilitar, deshabilitar o consultar el estado TDE de nivel de base de datos.
exec master.dbo.rds_tde DatabaseName,TDE_Action
- DatabaseName indica el nombre de la base de datos de destino, que puede ser null.
- TDE_Action:
- El valor -1 indica que se consulta el estado de encriptación de la base de datos.
Si DatabaseName tiene un valor null se devuelve el estado de encriptación de todas las bases de datos.
- El valor 0 indica que la función TDE está deshabilitada.
- El valor 1 indica que la función TDE está activada.
- El valor -1 indica que se consulta el estado de encriptación de la base de datos.
- Habilite TDE para la base de datos db1.
exec master.dbo.rds_tde db1, 1
Figura 3 Habilitación de TDE
- Deshabilite TDE para la base de datos db1.
exec master.dbo.rds_tde db1, 0
Figura 4 Deshabilitación de TDE
- Consulte el estado TDE de la base de datos db1.
exec master.dbo.rds_tde db1, -1
Figura 5 Consulta del estado TDE (Habilitado)
Figura 6 Consulta del estado TDE (Deshabilitado)
- Consultar el estado TDE de todas las bases de datos.
exec master.dbo.rds_tde null, -1
Figura 7 Consulta del estado TDE de todas las bases de datos