Quando devo eseguire il backup della chiave master del servizio?

14

Sto leggendo alcuni documenti e white paper sulla Trascrizione dei dati trasparenti. Alcuni documenti citano anche il backup della chiave master del servizio (per chiarimenti non sto parlando della chiave master del database). Non capisco esattamente perché sia ​​necessario, perché sono stato in grado di eseguire il backup / ripristino di un database con crittografia TDE dal server A (backup) al server B (ripristino) senza utilizzare alcuna chiave master di servizio.

In quale scenario è necessario ripristinare la chiave master del servizio?

sql-server  encryption  transparent-data-encryption 
gsharp
fonte
Sei sicuro di aver abilitato la crittografia nel tuo database? Inoltre, hai creato il backup del database dopo l'attivazione di TDE?
Thomas Stringer,
Si l'ho fatto. Avevo bisogno del certificato e della chiave per ripristinarlo sul Server B. (Ho fatto un backup del certificato e della chiave). Tuttavia su BI ha creato una nuova chiave master (non ripristinata quella dal server A) ed è stata in grado di ripristinare il mio database.
gsharp,
Se hai ripristinato il certificato TDE e la chiave privata sul server B, dovrebbe essere in grado di decrittografare il database TDE. Puoi indicare il documento in cui hai letto i requisiti per SMK? Forse è qualcosa di più sfumato ...
Remus Rusanu,
Sono d'accordo con @RemusRusanu. Il certificato è ciò che guida la crittografia. Per quanto riguarda la chiave master del servizio, è solo una buona pratica amministrativa generale eseguire il backup (qualcosa che avrebbe dovuto essere fatto inizialmente) per DR, credo.
Thomas Stringer,
1
@gsharp: che documenta come eseguire il backup di SMK. Ero interessato a una documentazione che spiega perché è necessario il backup SMK quando si trasferisce un DB crittografato TDE.
Remus Rusanu,

Risposte:

6

Se si parla della chiave master del servizio SQL, si verifica un caso raro in cui è necessario ripristinarla.

Sto pensando a un paio di scenari in cui è necessario ripristinare SMK ...

  1. In qualche modo è stato corrotto.

  2. Stai ricostruendo il tuo server SQL e stai pianificando di ripristinare dal backup tutti i database, inclusi i database di sistema. Di solito, in questo caso, potrebbe non essere necessario ripristinare SMK se si utilizzano lo stesso account del servizio SQL e la stessa password.

In TDE non è necessario ripristinare SMK. Come tutti hanno detto, hai solo bisogno del certificato e della chiave privata. Non è necessario disporre della stessa chiave master del database, anche quando si crea il certificato dal backup che viene crittografato dal DMK del computer di destinazione.

Arijit
fonte
2

Quando si sposta un database TDE in una nuova istanza, è necessario assicurarsi che il certificato corretto (o chiave asimmetrica) si trovi anche nel masterdatabase di destinazione . Se non lo fai, riceverai il seguente errore:

Messaggio 33111, livello 16, stato 3, riga 2 Impossibile trovare il certificato del server con l'identificazione personale "0xA085414434DB4A36B29 ..................".

Non è la chiave master del servizio che deve essere spostata con il backup del database abilitato per TDE, ma sarebbe il certificato. Per esempio, diciamo che hai creato il tuo DEK (chiave di crittografia del database) con un certificato masterdi nome MyTDECert . Senza quel certificato sull'istanza di destinazione, non sarà possibile ripristinare il database.

Thomas Stringer
fonte
Sì, è chiaro. La mia domanda è più perché è necessario (o per quale scopo) eseguire il backup della chiave master del servizio. Vedi technet.microsoft.com/en-us/library/aa337561
gsharp
-1

Un caso in cui è necessario eseguire il backup e il ripristino di SMK è quando si aggiorna una topologia di replica.

JYatesDBA
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.