Cifrado de copia de seguridad
Este tema proporciona información general sobre las opciones de cifrado para las copias de seguridad de SQL Server . Incluye detalles del uso, los beneficios y las prácticas recomendadas para el cifrado durante la copia de seguridad.
Información general
A partir de SQL Server 2014, SQL Server tiene la capacidad de cifrar los datos al crear una copia de seguridad. Al especificar el algoritmo y el sistema de cifrado (un certificado o una clave asimétrica) al crear una copia de seguridad, puede crear un archivo de copia de seguridad cifrado. Todos los destinos de almacenamiento: se admite el almacenamiento de Windows Azure y local. Además, las opciones de cifrado se pueden configurar para SQL Server copia de seguridad administrada en operaciones de Microsoft Azure, una nueva característica introducida en SQL Server 2014.
Para cifrar durante la copia de seguridad, debe especificar un algoritmo y un sistema cifrado para proteger la clave de cifrado. A continuación se exponen las opciones admitidas de cifrado:
Algoritmo de cifrado: los algoritmos de cifrado admitidos son: AES 128, AES 192, AES 256 y Triple DES
Sistema de cifrado: un certificado o clave asimétrica
Precaución
Es muy importante realizar una copia de seguridad del certificado o la clave asimétrica, y preferiblemente en una ubicación diferente de la que se usó para cifrar el archivo de copia de seguridad. Sin el certificado o la clave asimétrica, no puede restaurar la copia de seguridad, lo que deja inutilizable el archivo de copia de seguridad.
Restaurar la copia de seguridad cifrada: la restauración de SQL Server no necesita que se especifiquen parámetros de cifrado durante la restauración. Requiere que el certificado o la clave simétrica utilizada para cifrar el archivo de copia de seguridad esté disponible en la instancia en la que está realizando la restauración. La cuenta de usuario que realiza la restauración debe tener permisos de VIEW DEFINITION en el certificado o la clave. Si restaura la copia de seguridad cifrada en una instancia diferente, debe asegurarse de que el certificado esté disponible en esa instancia.
Si va a restaurar una copia de seguridad desde una base de datos cifrada TDE, el certificado TDE debe estar disponible en la instancia en la que va a restaurar.
Ventajas
Cifrar las copias de seguridad de la base de datos ayuda a proteger los datos: SQL Server proporciona la opción de cifrar los datos de copia de seguridad al crear una copia de seguridad.
El cifrado se puede utilizar también para las bases de datos que se cifran mediante TDE.
El cifrado se admite para las copias de seguridad realizadas por Copia de seguridad administrada de SQL Server en Microsoft Azure, lo que proporciona una seguridad adicional para las copias de seguridad fuera de las instalaciones.
Esta característica admite varios algoritmos de cifrado, hasta AES de 256 bits. Esto ofrece la opción de seleccionar un algoritmo que se adapte a sus requisitos.
Puede integrar las claves de cifrado con los proveedores de Administración extensible de claves (EKM).
Requisitos previos
Estos son los requisitos previos para cifrar una copia de seguridad:
Creación de una clave maestra de base datos para la base de datos maestra: La clave maestra de base de datos es una clave simétrica que se utiliza para proteger las claves privadas de certificados y las claves asimétricas presentes en la base de datos. Para obtener más información, vea SQL Server y claves de cifrado de base de datos (motor de base de datos).
Cree un certificado o clave asimétrica para utilizarla en el cifrado de copia de seguridad. Para obtener más información sobre cómo crear un certificado, vea CREATE CERTIFICATE (Transact-SQL). Para obtener más información sobre cómo crear una clave asimétrica, vea CREATE ASYMMETRIC KEY (Transact-SQL).
Importante
Solo se admiten las claves asimétricas que residan en una Administración extensible de claves (EKM).
Restricciones
A continuación se exponen las restricciones que se aplican a las opciones de cifrado:
Si utiliza una clave asimétrica para cifrar los datos de copia de seguridad, solo se admiten las claves asimétricas que residan en el proveedor EKM.
SQL Server Express y SQL Server Web no admiten el cifrado durante la copia de seguridad. Sin embargo, sí se admite la restauración de una copia de seguridad cifrada en una instancia de SQL Server Express o SQL Server Web.
Las versiones anteriores de SQL Server no pueden leer copias de seguridad cifradas.
La opción de anexar a un conjunto de copia de seguridad existente no se admite para las copias de seguridad cifradas.
Permisos
Para cifrar una copia de seguridad o restaurarla desde una copia de seguridad cifrada:
El permiso VIEW DEFINITION en el certificado o la clave asimétrica que se usa para cifrar la copia de seguridad de la base de datos.
Nota
El acceso al certificado TDE no es necesario para realizar una copia de seguridad o restaurar una base de datos protegida por TDE.
Métodos de cifrado de copia de seguridad
Las secciones siguientes proporcionan una introducción breve a los pasos para cifrar los datos durante la copia de seguridad. Para ver un tutorial completo de los diferentes pasos para cifrar la copia de seguridad mediante Transact-SQL, vea Crear una copia de seguridad cifrada.
Uso de SQL Server Management Studio
Puede cifrar una copia de seguridad al crear la copia de seguridad de una base de datos en alguno de los siguientes cuadros de diálogo:
Copia de seguridad de la base de datos (página Opciones de copia de seguridad) En la página Opciones de copia de seguridad , puede seleccionar Cifrado y especificar el algoritmo de cifrado y el certificado o la clave asimétrica que se usará para el cifrado.
Usar el Asistente para planes de mantenimiento Al seleccionar una tarea de copia de seguridad, en la pestaña Opciones de la página Definir la tarea de copia de seguridad , puede seleccionar Cifrado de copia de seguridady especificar el algoritmo de cifrado y el certificado o la clave que se usarán para el cifrado.
Usar Transact SQL:
La siguiente es una instrucción Transact-SQL de ejemplo para cifrar el archivo de copia de seguridad:
BACKUP DATABASE [MYTestDB]
TO DISK = N'C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION
(
ALGORITHM = AES_256,
SERVER CERTIFICATE = BackupEncryptCert
),
STATS = 10
GO
Para obtener la sintaxis completa de la instrucción Transact-SQL, vea BACKUP (Transact-SQL).
Usar PowerShell
En este ejemplo se crean las opciones de cifrado y se usan como valor de parámetro en el cmdlet Backup-SqlDatabase para crear una copia de seguridad cifrada.
$encryptionOption = New-SqlBackupEncryptionOption -Algorithm Aes256 -EncryptorType ServerCertificate -EncryptorName "BackupCert"
Backup-SqlDatabase -ServerInstance . -Database "MyTestDB" -BackupFile "MyTestDB.bak" -CompressionOption On -EncryptionOption $encryptionOption
Prácticas recomendadas
Cree una copia de seguridad del certificado de cifrado y las claves en una ubicación distinta del equipo local donde la instancia esté instalada. Para tener en cuenta escenarios de recuperación de desastres, considere almacenar una copia de seguridad del certificado o la clave en una ubicación fuera de las instalaciones. No puede restaurar una copia de seguridad cifrada sin el certificado usado para cifrarla.
Para restaurar una copia de seguridad cifrada, el certificado original utilizado cuando se realizó la copia de seguridad con la huella digital coincidente debe estar disponible en la instancia en la que va a realizar la restauración. Por consiguiente, el certificado no debe renovarse al caducar ni cambiarse de forma alguna. La renovación puede provocar la actualización el certificado, lo que desencadenaría el cambio de la huella digital y, por consiguiente, invalidaría el certificado para el archivo de copia de seguridad. La cuenta que realiza la restauración debe tener los permisos VIEW DEFINITION en el certificado o la clave simétrica utilizada para cifrar durante la copia de seguridad.
Las copias de seguridad de bases de datos del grupo de disponibilidad se suelen realizar en la réplica de copia de seguridad preferida. Si va a restaurar una copia de seguridad en una réplica distinta de aquella en la que se creó la copia de seguridad, asegúrese de que el certificado original usado para la copia de seguridad está disponible en la réplica donde va a realizar la restauración.
Si la base de datos está habilitada para usar TDE, elija distintos certificados o claves asimétricas para cifrar la base de datos y la copia de seguridad a fin de aumentar la seguridad.
Related Tasks
| Tema y tarea | Descripción |
|---|---|
| Crear una copia de seguridad cifrada | Describe los pasos básicos necesarios para crear una copia de seguridad cifrada |
| Copia de seguridad administrada de SQL Server en Azure: configuración de la retención y el almacenamiento | Describe los pasos básicos necesarios para configurar SQL Server Copia de seguridad administrada en Microsoft Azure con las opciones de cifrado especificadas. |
| Administración extensible de claves con Azure Key Vault (SQL Server) | Proporciona un ejemplo de creación de una copia de seguridad cifrada protegida por claves en el almacén de claves de Azure. |