En esta página, se describe la encriptación de datos transparente (TDE) en Cloud SQL para SQL Server.
Cloud SQL para SQL Server admite el uso de TDE para encriptar los datos almacenados en tus instancias de Cloud SQL para SQL Server. TDE encripta automáticamente los datos antes de que se escriban en el almacenamiento y los desencripta automáticamente cuando se leen del almacenamiento.
TDE se usa en situaciones en las que se requiere otra capa de encriptación, además de la oferta predeterminada de Google de encriptación para datos en reposo y la oferta opcional de Google de claves de encriptación administradas por el cliente (CMEK). En particular, puedes usar TDE para ayudarte a cumplir con los requisitos de cumplimiento de reglamentaciones, como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), o cuando importas o exportas copias de seguridad encriptadas.
Cómo funciona TDE
TDE para Cloud SQL para SQL Server proporciona la administración de claves de encriptación mediante una arquitectura de claves de dos niveles. Se usa un certificado, que se genera a partir de la clave primaria de la base de datos, para proteger las claves de encriptación de datos. La clave de encriptación de la base de datos realiza la encriptación y desencriptación de los datos en la base de datos del usuario. Cloud SQL administra la clave primaria de la base de datos y el certificado TDE.
Cada instancia apta de Cloud SQL para SQL Server se aprovisiona con un certificado TDE único que es válido por un año. Cloud SQL para SQL Server rota automáticamente este certificado anualmente.
Puedes importar certificados TDE externos a la instancia, pero debes rotarlos de forma manual.
Si la instancia tiene réplicas, todos los certificados TDE, incluidos los que administra Cloud SQL y los que importaste de forma manual, se distribuyen automáticamente en todas las réplicas.
Las instancias con TDE habilitado generan una base de datos interna llamada
gcloud_cloudsqladmin. Esta base de datos está reservada para los procesos internos de Cloud SQL, no es accesible para los usuarios, almacena datos mínimos y tiene un costo de almacenamiento insignificante.Cloud SQL para SQL Server usa el prefijo de nombres
gcloud_tde_system_cuando aprovisiona un certificado TDE.Cualquier certificado importado usa el
gcloud_tde_user_CERT_NAME_UUID prefijo de nombres.Después de importar o rotar un certificado en una instancia que tiene habilitadas TDE y la recuperación de un momento determinado (PITR), la instancia crea una copia de seguridad nueva. Esto ayuda a reducir el riesgo de pérdida de certificados si deseas restablecer una base de datos encriptada a un momento determinado antes de que la instancia pudiera acceder al certificado.
Limitaciones
Solo está disponible en instancias de Cloud SQL para SQL Server con las siguientes versiones de bases de datos:
- SQL Server Enterprise
- SQL Server 2019 o versiones posteriores (edición Standard)
Si se usa TDE para una instancia con réplicas y se habilitan los Controles del servicio de VPC, debes asegurarte de que la instancia principal y todas las réplicas estén dentro del mismo perímetro de servicio.
Para obtener más información, consulta Configura los Controles del servicio de VPC y Descripción general de los Controles del servicio de VPC.
No puedes borrar un certificado TDE que administra Cloud SQL.
No puedes borrar un certificado TDE mientras está en uso.
No puedes importar directamente certificados TDE externos a instancias de réplica.
Puedes importar hasta diez certificados TDE por instancia. Si necesitas importar más, borra los certificados innecesarios con el procedimiento almacenado
msdb.dbo.gcloudsql_drop_tde_user_certificate.