Habilitar TDE mediante EKM

En este tema se describe cómo habilitar el cifrado de datos transparente (TDE) en SQL Server 2014 para proteger una clave de cifrado de base de datos mediante una clave asimétrica almacenada en un módulo de administración extensible de claves (EKM) con Transact-SQL.

TDE cifra el almacenamiento de toda una base de datos mediante una clave simétrica denominada clave de cifrado de base de datos. La clave de cifrado de base de datos también se puede proteger mediante un certificado protegido por la clave maestra de base de datos de la base de datos maestra. Para obtener más información sobre cómo proteger la clave de cifrado de base de datos mediante la clave maestra de base de datos, consulte Cifrado de datos transparente (TDE). Para obtener información sobre cómo configurar TDE cuando SQL Server se ejecuta en una máquina virtual de Azure, consulte Administración extensible de claves mediante Azure Key Vault (SQL Server).

En este tema

• Antes de comenzar:

  limitaciones y restricciones

  Seguridad

• Para habilitar TDE con EKM usando Transact-SQL

Antes de empezar

Limitaciones y restricciones

• Debe ser un usuario con privilegios elevados (como un administrador del sistema) para crear una clave de cifrado de base de datos y cifrar una base de datos. Ese usuario debe poder ser autenticado por el módulo EKM.

• Al iniciar el motor de base de datos, debe abrir la base de datos. Para ello, debe crear una credencial que será autenticada por EKM y agregarla a un inicio de sesión que se basa en una clave asimétrica. Los usuarios no pueden iniciar sesión con ese inicio de sesión, pero el motor de base de datos podrá autenticarse con el dispositivo EKM.

• Si se pierde la clave asimétrica almacenada en el módulo EKM, SQL Server no podrá abrir la base de datos. Si el proveedor EKM le permite realizar una copia de seguridad de la clave asimétrica, debe crear una copia de seguridad y almacenarla en una ubicación segura.

• Las opciones y los parámetros requeridos por el proveedor de EKM pueden diferir de lo que se proporciona en el ejemplo de código siguiente. Para obtener más información, consulte al proveedor de EKM.

Seguridad

Permisos

En este tema se usan los permisos siguientes:

• Para cambiar una opción de configuración y ejecutar la instrucción RECONFIGURE, se le debe conceder el permiso alter SETTINGS de nivel de servidor. El permiso ALTER SETTINGS está implícitamente en poder de los roles de servidor fijo sysadmin y serveradmin.

• Requiere el permiso ALTER ANY CREDENTIAL.

• Requiere el permiso ALTER ANY LOGIN.

• Requiere el permiso CREATE ASYMMETRIC KEY.

• Requiere el permiso CONTROL en la base de datos para cifrar la base de datos.

Uso de Transact-SQL

Para habilitar TDE mediante EKM

1. Copie los archivos proporcionados por el proveedor EKM en una ubicación adecuada en el equipo con SQL Server. En este ejemplo, usamos la carpeta C:\EKM .

2. Instale certificados en el ordenador conforme a lo indicado por su proveedor de EKM.

   Nota:

   SQL Server no suministra ningún proveedor EKM. Cada proveedor de EKM puede tener procedimientos diferentes para instalar, configurar y autorizar a los usuarios. Consulte la documentación del proveedor de EKM para completar este paso.

3. En el Explorador de objetos, conéctese a una instancia del Motor de base de datos.

4. En la barra de Estándar, haga clic en Nueva consulta.

5. Copie y pegue el siguiente ejemplo en la ventana de consulta y haga clic en Ejecutar.

   -- Enable advanced options.  
   sp_configure 'show advanced options', 1 ;  
   GO  
   RECONFIGURE ;  
   GO  
   -- Enable EKM provider  
   sp_configure 'EKM provider enabled', 1 ;  
   GO  
   RECONFIGURE ;  
   GO  
   -- Create a cryptographic provider, which we have chosen to call "EKM_Prov," based on an EKM provider  
   
   CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov   
   FROM FILE = 'C:\EKM_Files\KeyProvFile.dll' ;  
   GO  
   
   -- Create a credential that will be used by system administrators.  
   CREATE CREDENTIAL sa_ekm_tde_cred   
   WITH IDENTITY = 'Identity1',   
   SECRET = 'q*gtev$0u#D1v'   
   FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ;  
   GO  
   
   -- Add the credential to a high privileged user such as your   
   -- own domain login in the format [DOMAIN\login].  
   ALTER LOGIN Contoso\Mary  
   ADD CREDENTIAL sa_ekm_tde_cred ;  
   GO  
   -- create an asymmetric key stored inside the EKM provider  
   USE master ;  
   GO  
   CREATE ASYMMETRIC KEY ekm_login_key   
   FROM PROVIDER [EKM_Prov]  
   WITH ALGORITHM = RSA_512,  
   PROVIDER_KEY_NAME = 'SQL_Server_Key' ;  
   GO  
   
   -- Create a credential that will be used by the Database Engine.  
   CREATE CREDENTIAL ekm_tde_cred   
   WITH IDENTITY = 'Identity2'   
   , SECRET = 'jeksi84&sLksi01@s'   
   FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ;  
   
   -- Add a login used by TDE, and add the new credential to the login.  
   CREATE LOGIN EKM_Login   
   FROM ASYMMETRIC KEY ekm_login_key ;  
   GO  
   ALTER LOGIN EKM_Login   
   ADD CREDENTIAL ekm_tde_cred ;  
   GO  
   
   -- Create the database encryption key that will be used for TDE.  
   USE AdventureWorks2012 ;  
   GO  
   CREATE DATABASE ENCRYPTION KEY  
   WITH ALGORITHM  = AES_128  
   ENCRYPTION BY SERVER ASYMMETRIC KEY ekm_login_key ;  
   GO  
   
   -- Alter the database to enable transparent data encryption.  
   ALTER DATABASE AdventureWorks2012   
   SET ENCRYPTION ON ;  
   GO  
   

Para obtener más información, consulte lo siguiente:

• sp_configure (Transact-SQL)

• CREAR PROVEEDOR CRIPTOGRÁFICO (Transact-SQL)

• CREAR CREDENCIAL (Transact-SQL)

• CREATE ASYMMETRIC KEY (Transact-SQL)

• CREATE LOGIN (Transact-SQL)

• CREAR CLAVE DE CIFRADO DE BASE DE DATOS (Transact-SQL)

• ALTER LOGIN (Transact-SQL)

• ALTER DATABASE (Transact-SQL)

• Administración extensible de claves con Azure Key Vault (SQL Server)

• Cifrado de datos transparente con Azure SQL Database