Partilhar via

Tutorial: Migrar bancos de dados habilitados para TDE (visualização) para o SQL do Azure no Azure Data Studio

  • Artigo

Para proteger um banco de dados do SQL Server, você pode tomar precauções como projetar um sistema seguro, criptografar ativos confidenciais e criar um firewall. No entanto, o roubo físico de mídia, como unidades ou fitas, ainda pode comprometer os dados.

A TDE fornece uma solução para esse problema, com criptografia/descriptografia de E/S em tempo real de dados em repouso (dados e arquivos de log) usando uma chave de criptografia de banco de dados simétrica (DEK) protegida por um certificado. Para obter mais informações sobre como migrar certificados TDE manualmente, consulte Mover um banco de dados protegido por TDE para outro SQL Server.

Quando você migra um banco de dados protegido por TDE, o certificado (chave assimétrica) usado para abrir a chave de criptografia do banco de dados (DEK) também deve ser movido junto com o banco de dados de origem. Portanto, você precisa recriar o master certificado do servidor no banco de dados do SQL Server de destino para essa instância para acessar os arquivos de banco de dados.

Você pode usar a extensão de migração SQL do Azure para o Azure Data Studio para ajudá-lo a migrar bancos de dados habilitados para TDE (visualização) de uma instância local do SQL Server para o Azure SQL.

O processo de migração de banco de dados habilitado para TDE automatiza tarefas manuais, como fazer backup das chaves de certificado de banco de dados (DEK), copiar os arquivos de certificado do SQL Server local para o destino SQL do Azure e, em seguida, reconfigurar o TDE para o banco de dados de destino novamente.

Importante

Atualmente, apenas os destinos da Instância Gerenciada SQL do Azure são suportados. Não há suporte para backups criptografados.

Neste tutorial, você aprenderá a migrar o banco de dados criptografado de exemplo AdventureWorksTDE de uma instância local do SQL Server para uma instância gerenciada do SQL do Azure.

  • Abra o assistente Migrar para o Azure SQL no Azure Data Studio
  • Executar uma avaliação dos bancos de dados SQL Server de origem
  • Configurar a migração de certificados TDE
  • Conectar-se ao seu destino SQL do Azure
  • Inicie a migração do certificado TDE e monitore o progresso até a conclusão

Pré-requisitos

Antes de começar o tutorial:

  • Baixe e instale o Azure Data Studio.

  • Instale a extensão de migração SQL do Azure a partir do Azure Data Studio Marketplace.

  • Execute o Azure Data Studio como Administrador.

  • Ter uma conta do Azure atribuída a uma das seguintes funções internas:

    • Colaborador da instância gerenciada de destino (e Conta de Armazenamento para carregar seus backups dos arquivos de certificado TDE do compartilhamento de rede SMB).
    • Função de leitor para os Grupos de Recursos do Azure que contêm a instância gerenciada de destino ou a conta de armazenamento do Azure.
    • Função de Proprietário ou Colaborador para a subscrição do Azure (necessária se estiver a criar um novo serviço DMS).
    • Como alternativa ao uso das funções internas acima, você pode atribuir uma função personalizada. Para obter mais informações, consulte Funções personalizadas: migrações online do SQL Server para instância gerenciada do SQL usando ADS.

  • Crie uma instância de destino da Instância Gerenciada SQL do Azure.

  • Verifique se o logon que você usa para se conectar à fonte do SQL Server é membro da função de servidor sysadmin .

  • A máquina na qual o Azure Data Studio executa a migração de banco de dados habilitada para TDE deve ter conectividade com os servidores SQL de origem e de destino.

Abra o assistente Migrar para o Azure SQL no Azure Data Studio

Para abrir o assistente Migrar para o Azure SQL:

  1. No Azure Data Studio, vá para Conexões. Conecte-se à sua instância local do SQL Server. Você também pode se conectar ao SQL Server em uma máquina virtual do Azure.

  2. Clique com o botão direito do mouse na conexão do servidor e selecione Gerenciar.

    Captura de tela que mostra uma conexão de servidor e a opção Gerenciar no Azure Data Studio.

  3. No menu do servidor em Geral, selecione Migração SQL do Azure.

    Captura de ecrã que mostra o menu do servidor do Azure Data Studio.

  4. No painel de Migração do SQL do Azure, selecione Migrar para o Azure SQL para abrir o assistente de migração.

    Captura de tela que mostra o assistente Migrar para o SQL do Azure.

  5. Na primeira página do assistente, inicie uma nova sessão ou retome uma sessão salva anteriormente.

Executar avaliação de banco de dados

  1. Em Etapa 1: Bancos de dados para avaliação no assistente Migrar para o Azure SQL, selecione os bancos de dados que você deseja avaliar. Em seguida, selecione Seguinte.

    Captura de tela que mostra a seleção de um banco de dados para avaliação.

  2. Na Etapa 2: Resultados da avaliação, conclua as seguintes etapas:

    1. Em Escolha seu destino SQL do Azure, selecione Instância Gerenciada SQL do Azure.

      Captura de tela que mostra a seleção do destino da Instância Gerenciada SQL do Azure.

    2. Selecione Exibir/Selecionar para visualizar os resultados da avaliação.

      Captura de ecrã que mostra os resultados da avaliação.

    3. Nos resultados da avaliação, selecione o banco de dados e revise os resultados da avaliação. Neste exemplo, você pode ver que o AdventureWorksTDE banco de dados está protegido com criptografia de dados transparente (TDE). A avaliação recomenda migrar o certificado TDE antes de migrar o banco de dados de origem para o destino da instância gerenciada.

      Captura de tela que mostra o relatório de resultados da avaliação.

    4. Escolha Select (Selecionar ) para abrir o painel de configuração de migração TDE.

Definir configurações de migração TDE

  1. Na seção Banco de dados criptografado selecionado, selecione Exportar meus certificados e chave privada para o destino.

    Captura de tela que mostra a configuração de migração TDE.

    A seção Caixa de informações descreve as permissões necessárias para exportar os certificados DEK.

    Você deve garantir que a conta de serviço do SQL Server tenha acesso de gravação ao caminho de compartilhamento de rede usado para fazer backup dos certificados DEK. Além disso, o usuário atual deve ter privilégios de administrador no computador onde esse caminho de rede existe.

  2. Insira o caminho de rede.

    Captura de tela que mostra a configuração de migração TDE para um compartilhamento de rede.

    Em seguida, verifique se dou consentimento para usar minhas credenciais para acessar os certificados. Com essa ação, você está permitindo que o assistente de migração de banco de dados faça backup do seu certificado DEK no compartilhamento de rede.

  3. Se você não quiser o assistente de migração, ajude a migrar bancos de dados habilitados para TDE. Selecione Não quero que o Azure Data Studio exporte os certificados. para ignorar esta etapa.

    Captura de tela que mostra como recusar a migração TDE.

    Importante

    Você deve migrar os certificados antes de prosseguir com a migração, caso contrário, a migração falhará. Para obter mais informações sobre como migrar certificados TDE manualmente, consulte Mover um banco de dados protegido por TDE para outro SQL Server.

  4. Se quiser prosseguir com a migração da certificação TDE, selecione Aplicar.

    Captura de tela que mostra como aplicar a configuração de migração TDE.

    O painel de configuração de migração TDE será fechado, mas você pode selecionar Editar para modificar sua configuração de compartilhamento de rede a qualquer momento. Selecione Avançar para continuar o processo de migração.

    Captura de tela que mostra como editar a configuração de migração TDE.

Configurar as definições da migração

Na Etapa 3: Destino SQL do Azure no assistente Migrar para o Azure SQL, conclua estas etapas para sua instância gerenciada de destino:

  1. Selecione sua conta do Azure, a assinatura do Azure, a região ou local do Azure e o grupo de recursos que contém a instância gerenciada.

    Captura de ecrã que mostra os detalhes da conta do Azure.

  2. Quando estiver pronto, selecione Migrar certificados para iniciar a migração de certificados TDE.

Iniciar e monitorar a migração do certificado TDE

  1. Na Etapa 3: Status da migração, o painel Migração de certificados será aberto. Os detalhes do progresso da migração de certificados TDE são mostrados na tela.

    Captura de tela que mostra como o processo de migração TDE é iniciado.

  2. Quando a migração TDE for concluída (ou se tiver falhas), a página exibirá as atualizações relevantes.

    Captura de tela que mostra como o processo de migração TDE continua.

  3. Caso precise repetir a migração, selecione Repetir migração.

    Captura de tela que mostra como repetir a migração TDE.

  4. Quando estiver pronto, selecione Concluído para continuar o assistente de migração.

    Captura de tela que mostra como concluir a migração TDE.

  5. Você pode monitorar o processo para cada certificado TDE selecionando Migrar certificados.

  6. Selecione Avançar para continuar o assistente de migração até concluir a migração do banco de dados.

    Captura de tela que mostra como continuar a migração do banco de dados.

    Verifique os seguintes tutoriais passo a passo para obter mais informações sobre como migrar bancos de dados online ou offline para destinos da Instância Gerenciada SQL do Azure:

Passos pós-migração

Sua instância gerenciada de destino agora deve ter os bancos de dados e seus respetivos certificados migrados. Para verificar o status atual do banco de dados migrado recentemente, copie e cole o exemplo a seguir em uma nova janela de consulta no Azure Data Studio enquanto estiver conectado ao destino da instância gerenciada. Em seguida, selecione Executar.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

A consulta retorna as informações sobre o banco de dados, o status da criptografia e a porcentagem pendente concluída. Neste caso, é zero porque o certificado TDE já foi concluído.

Captura de tela que mostra os resultados retornados pela consulta TDE fornecida nesta seção.

Para obter mais informações sobre criptografia com o SQL Server, consulte Criptografia de dados transparente (TDE).

Limitações

A tabela a seguir descreve o status atual do suporte a migrações de banco de dados habilitadas para TDE pelo destino SQL do Azure:

Destino Suporte Status
Base de Dados SQL do Azure Não
Instância Gerida do Azure SQL Sim Pré-visualizar
SQL Server numa VM do Azure Não

Conteúdos relacionados