Tutorial: migrar os bancos de dados habilitados para TDE (pré-visualização) para o SQL do Azure no Azure Data Studio

  • Artigo

Para proteger um banco de dados do SQL Server, você pode tomar precauções como projetar um sistema seguro, criptografar ativos confidenciais e criar um firewall. No entanto, o roubo físico de mídia como unidades ou fitas ainda pode comprometer os dados.

A TDE fornece uma solução para esse problema, com criptografia/descriptografia de E/S em tempo real de dados inativos (dados e arquivos de log) usando uma chave de criptografia de banco de dados simétrica (DEK) protegida por um certificado. Para obter mais informações sobre a migração manual dos certificados TDE, confira Mover um banco de dados protegido pela TDE para outro SQL Server.

Quando você migra um banco de dados protegido por TDE, o certificado (chave assimétrica) utilizado para abrir a chave de criptografia do banco de dados (DEK) também precisa ser movido junto com o banco de dados de origem. Portanto, você precisa recriar o certificado do servidor no banco de dados master do SQL Server de destino dessa instância para acessar os arquivos do banco de dados.

Você pode usar a extensão Migração do SQL do Azure para o Azure Data Studio para ajudar você a migrar bancos de dados habilitados para TDE (pré-visualização) de uma instância local do SQL Server para o SQL do Azure.

O processo de migração dos banco de dados habilitado para TDE automatiza tarefas manuais, como fazer backup das chaves de certificado do banco de dados (DEK), copiar os arquivos de certificado do SQL Server local para o destino do SQL do Azure e reconfigurar a TDE para o banco de dados de destino novamente.

Importante

  1. Atualmente, apenas os destinos de Instância Gerenciada de SQL do Azure são suportados.
  2. Além disso, não há suporte para backups criptografados.

Neste tutorial, você aprenderá a migrar o exemplo de banco de dados criptografado AdventureWorksTDE de uma instância local do SQL Server para uma instância gerenciada do SQL do Azure.

  • Abrir o assistente Migrar para o SQL do Azure no Azure Data Studio
  • Executar uma avaliação de seus bancos de dados do SQL Server de origem
  • Configurar sua migração de certificados TDE
  • Conecte-se ao seu destino do SQL do Azure
  • Inicie sua migração de certificados TDE e monitore o progresso até a conclusão

Pré-requisitos

Antes de começar o tutorial:

  • Baixe e instale o Azure Data Studio.

  • Instale a extensão de Migração do SQL do Azure do Marketplace do Azure Data Studio.

  • Execute o Azure Data Studio como Administrador.

  • Tenha uma conta do Azure atribuída a uma das seguintes funções internas:

    • Colaborador da instância gerenciada de destino (e da Conta de Armazenamento para carregar seus backups dos arquivos de certificado TDE do compartilhamento de rede SMB).
    • Função de leitor dos Grupos de Recursos do Azure que contêm a instância gerenciada de destino ou a conta de armazenamento do Azure.
    • Função Proprietário ou Colaborador para a assinatura do Azure (necessária ao criar um serviço DMS).
    • Como alternativa ao uso das funções internas acima, você pode atribuir uma função personalizada. Para saber mais, confira Funções personalizadas: Migrações do SQL Server Online para a Instância Gerenciada de SQL usando ADS.

  • Crie uma instância de destino da Instância Gerenciada de SQL do Azure.

  • Certifique-se de que o logon que você utiliza para se conectar à origem do SQL Server seja um membro da função de servidor sysadmin.

  • O computador no qual o Azure Data Studio executa a migração de banco de dados habilitado para TDE deve ter conectividade com os servidores SQL de origem e de destino.

Abrir o assistente Migrar para o SQL do Azure no Azure Data Studio

Para abrir o assistente Migrar para o SQL do Azure:

  1. No Azure Data Studio, acesse Conexões. Conecte-se à sua instância local do SQL Server. Você também pode se conectar ao SQL Server em uma máquina virtual do Azure.

  2. Clique com o botão direito do mouse na conexão de servidor e selecione Gerenciar.

    Captura de tela que mostra uma conexão de servidor e a opção Gerenciar no Azure Data Studio.

  3. No menu do servidor, em Geral, selecione Migração de SQL do Azure.

    Captura de tela que mostra o menu do servidor do Azure Data Studio.

  4. No painel da Migração de SQL do Azure, selecione Migrar para o SQL do Azure para abrir o assistente de migração.

    Captura de tela que mostra o assistente Migrar para o SQL do Azure.

  5. Na primeira página do assistente, inicie uma nova sessão ou retome uma sessão salva anteriormente.

Execute a avaliação do banco

  1. Na Etapa 1: Bancos de dados para avaliação no assistente Migrar para o SQL do Azure, selecione os bancos de dados que deseja avaliar. Em seguida, selecione Avançar.

    Captura de tela que mostra a seleção de um banco de dados para avaliação.

  2. Na Etapa 2: resultados da avaliação , conclua as seguintes etapas:

    1. Em Escolher seu destino de SQL do Azure, selecione Instância Gerenciada de SQL do Azure.

      Captura de tela mostrando a seleção do destino da Instância Gerenciada de SQL do Azure.

    2. Selecione Exibir/Selecionar para exibir os resultados da avaliação.

      Captura de tela que mostra como exibir/selecionar os resultados da avaliação.

    3. Nos resultados da avaliação, selecione o banco de dados e revise os resultados da avaliação. Neste exemplo, você pode ver que o banco de dados AdventureWorksTDE está protegido com a Transparent Data Encryption (TDE). A avaliação recomenda migrar o certificado TDE antes de migrar o banco de dados de origem para o destino da instância gerenciada.

      Captura de tela mostrando o relatório de resultados da avaliação.

    4. Escolha Selecione para abrir o painel de configuração da migração TDE.

Definir as configurações da migração TDE

  1. Na seção Banco de dados criptografado selecionado, selecione Exportar meus certificados e chave privada para o destino.

    Captura de tela mostrando a configuração da migração TDE.

    Importante

    A seção Caixa de informações descreve as permissões necessárias para exportar os certificados DEK.

    Certifique-se de que a conta do serviço SQL Server tenha acesso de gravação ao caminho do compartilhamento de rede que você usará para fazer backup dos certificados DEK. Além disso, o usuário atual precisa ter privilégios de administrador no computador em que esse caminho de rede existe.

  2. Digite o caminho da rede.

    Captura de tela mostrando a configuração da migração TDE para um compartilhamento de rede.

    Em seguida, marque Dou consentimento para usar minhas credenciais para acessar os certificados. Com essa ação, você está permitindo que o assistente de migração de banco de dados faça backup do seu certificado DEK no compartilhamento da rede.

  3. Se não quiser o assistente de migração, ajude-o a migrar os bancos de dados habilitados para TDE. Selecione Não desejo que o Azure Data Studio exporte os certificados. para ignorar esta etapa.

    Captura de tela mostrando como recusar a migração TDE.

    Importante

    Você precisa migrar os certificados antes de prosseguir com a migração, caso contrário, a migração falhará. Para obter mais informações sobre a migração manual dos certificados TDE, confira Mover um banco de dados protegido pela TDE para outro SQL Server.

  4. Se você quiser continuar com a migração da certificação TDE, selecione Aplicar.

    Captura de tela mostrando como aplicar a configuração da migração TDE.

    O painel de configuração da migração TDE será fechado, mas você pode selecionar Editar para modificar sua configuração de compartilhamento de rede a qualquer momento. Selecione Avançar para continuar o processo de migração.

    Captura de tela mostrando como editar a configuração da migração TDE.

Definir as configurações de migração

Na Etapa 3: destino SQL do Azure no assistente Migrar para o SQL do Azure, conclua estas etapas para sua instância gerenciada de destino:

  1. Selecione sua conta do Azure, assinatura do Azure, a região ou o local do Azure e o grupo de recursos que contém a instância gerenciada.

    Captura de tela que mostra os detalhes da conta do Azure.

  2. Quando estiver pronto, selecione Migrar certificados para iniciar a migração dos certificados TDE.

Iniciar e monitorar a migração do certificado TDE

  1. No Passo 3: Status da Migração, o painel Migração de Certificados será aberto. Os detalhes do progresso da migração dos certificados TDE são mostrados na tela.

    Captura de tela mostrando como o processo de migração TDE inicia.

  2. Quando a migração do TDE for concluída (ou se houver falhas), a página exibirá as atualizações relevantes.

    Captura de tela mostrando como o processo de migração TDE continua.

  3. Caso você precise repetir a migração, selecione Repetir a migração.

    Captura de tela mostrando como tentar novamente a migração TDE.

  4. Quando estiver pronto, selecione Concluído para continuar o assistente de migração.

    Captura de tela mostrando como concluir a migração TDE.

  5. Você pode monitorar o processo de cada certificado TDE selecionando Migrar certificados.

  6. Selecione Avançar para continuar o assistente de migração até concluir a migração do banco de dados.

    Captura de tela mostrando como continuar a migração do banco de dados.

    Verifique os seguintes tutoriais passo a passo para obter mais informações sobre a migração de bancos de dados online ou offline para destinos de Instância Gerenciada de SQL do Azure:

Etapas pós-migração

Sua instância gerenciada de destino agora precisa ter os bancos de dados e seus respectivos certificados migrados. Para verificar o status atual do banco de dados migrado recentemente, copie e cole o exemplo a seguir em uma nova janela de consulta no Azure Data Studio enquanto estiver conectado ao seu destino de instância gerenciada. Em seguida, selecione Executar.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

A consulta retorna as informações sobre o banco de dados, o status da criptografia e a porcentagem pendente de conclusão. Neste caso, é zero porque o certificado TDE já foi concluído.

Captura de tela mostrando os resultados retornados pela consulta TDE fornecida nesta seção.

Para obter mais informações sobre a criptografia com o SQL Server, confira TDE (Transparent Data Encryption).

Limitações

A tabela a seguir descreve o status atual do suporte a migrações de bancos de dados habilitados para TDE pelo destino do SQL do Azure:

Destino Suporte Status
Banco de Dados SQL do Azure Não
Instância Gerenciada do Azure SQL Sim Versão Prévia
SQL Server na VM do Azure Não

Conteúdo relacionado