GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

SQL Server TDE: Transparent Data Encryption


Transparent Data Encryption (TDE) es una tecnología disponible desde SQL Server 2008, que permite encriptar los ficheros de Datos y Log de una Base de Datos (así como sus ficheros de Backup) en lugar de encriptar los propios datos de las tablas, de tal modo, que en caso de pérdida, un tercero no sea capaz de acceder a nuestra información (ni restaurar un fichero de Backup, ni adjuntar los ficheros MDF y LDF en otra Instancia de SQL Server). Sin embargo, para nosotros el acceso a nuestra base de datos es completamente transparente y normal, como con cualquier otra base de datos.

Transparent Data Encryption (TDE) realiza un encriptado de los ficheros de Datos y Log en tiempo real, de tal modo que SQL Server al almacenar una página de un fichero desde memoria (Buffer Pool) a disco, la encriptará y la guardará ya encriptada, y posteriormente cuando sea accedida será desencriptada automáticamente antes de cargarla en el Buffer Pool. Se trata de un mecanismo de cifrado realizado durante el acceso a disco. Sin más.

Casos de Uso de Transparent Data Encryption (TDE)

¿Para qué puedo necesitar utilizar Transparent Data Encryption (TDE)? Buena pregunta.

El caso típico, es el que ya hemos comentado, simplemente para proteger nuestros datos: Encriptar nuestros ficheros de Datos y Log, así como nuestros ficheros de Backup, de tal modo que en caso se pérdida, un tercero no pueda acceder a nuestra información.

Sin embargo, un poco de creatividad nos puede ayudar a visualizar otros escenarios bastante útiles, como es el caso de tener que entregar una Base de Datos con información sensible a un tercero: En este escenario, podemos encriptar nuestra Base de Datos utilizando TDE, realizar un Backup de la misma, y entregárselo al tercero utilizando un medio físico (DVD, Disco USB, etc). Posteriormente, podremos enviarle por otro medio (correo electrónico) el Certificado utilizado para cifrar nuestra Base de Datos (incluyendo la Clave Privada), y también tendremos que facilitarles por otro medio (teléfono u otro correo electrónico) la contraseña utilizada para cifrar la Clave Privada, para que finalmente puedan restaurar dicho Certificado y así poder restaurar la Base de Datos en sus sistemas.

Asimismo, también puede resultar de gran utilidad para cifrar los Backup que vamos a almacenar fuera de nuestras oficinas, igualmente, por motivos evidentes de seguridad, teniendo en cuenta que también será necesario realizar un Backup del Certificado utilizado.

Alternativas y otras tecnologías complementarias a Transparente Data Encryption (TDE)

Es importante no confundir Transparente Data Encryption (TDE) con la encriptación a nivel de celda (AKA encriptación a nivel de columna). La encriptación a nivel de celda está disponible desde SQL Server 2005, en cualquiera de sus ediciones (incluyendo SQL Express), y requiere modificar el esquema de nuestra base de datos así como las consultas, para utilizar las correspondientes funciones de cifrado y descifrado. Es decir, las funciones de cifrado y descifrado utilizan el tipo de dato VARBINARY, por lo que deberemos alterar el esquema de nuestras tablas para cambiar a VARBINARY las columnas que deseemos cifrar, y además, al hacer un INSERT deberemos cifrar (utilizando la correspondiente función T-SQL en nuestra consulta), mientras que al hacer una SELECT deberemos descifrar (igualmente, utilizando la correspondiente función T-SQL en nuestra consulta).

Adicionalmente, es posible habilitar SSL para encriptar las comunicaciones de SQL Server utilizando un certificado digital, de tal modo que cuando un usuario o aplicación se conecte a nuestra Instancia SQL Server, el tráfico de información entre ambos a través de la red se realice de manera encriptada, evitando que un tercero pueda acceder a nuestra información (Man in the Middle).

La utilización de SSL para encriptar las comunicaciones de SQL Server requiere de la realización de una configuración adicional en SQL Server, pudiendo también optar por utilizar IPSec a nivel de Sistema Operativo para encriptar las comunicaciones de SQL Server.

Otra alternativa a Transparente Data Encryption (TDE) es la utilización de Encrypting File Systems (EFS), una funcionalidad del Sistema de Archivos NTFS, disponible desde Windows 2000, que permite que los ficheros se cifren automáticamente al ser guardados en el Sistema de Archivos.

Algunas consideraciones previas a la utilización de Transparente Data Encryption (TDE)

Antes de plantearse utilizar TDE, es interesante tener en cuenta algunos detalles como:

  • Transparente Data Encryption (TDE) sólo está disponible en la edición Enterprise de SQL Server 2008 (o versiones superiores).
  • El impacto en el rendimiento al habilitar Transparent Data Encryption (TDE) es mínimo, tan sólo de un 3% ó 5% aproximadamente, aunque este dato puede variar en función del Hardware, el volumen de datos y la actividad de la Base de Datos, por lo que es conveniente realizar un mínimo de pruebas de carga antes de su puesta en producción.
  • Transparente Data Encryption (TDE) ofrece mejor rendimiento que la encriptación a nivel de celda, debido a que con TDE no se cifra el dato en sí, por lo que afecta a los índices. Por el contrario, con la encriptación a nivel de Celda, al encriptar una columna de una tabla, se está introduciendo cierta aleatoriedad (utilizaremos funciones no-deterministas) que implica que la creación de un índice sobre la misma no tenga ningún sentido. En consecuencia, se estima que la encriptación a nivel de celda penalice el rendimiento sobre un 20% ó 28%, frente al 3% ó 5% de penalización de TDE.
  • Transparente Data Encryption (TDE) es transparente: no es necesario alterar el esquema de la base de datos, ni sus consultas, al contrario que ocurre con la encriptación a nivel de Celda. Se habilita TDE y listo.
  • No podemos habilitar TDE sobre las bases de datos del sistema.
  • La base de datos TEMPDB será encriptada automáticamente si cualquier otra base de datos de la Instancia se configura para utilizar TDE, lo que podría penalizar al rendimiento global de la Instancia. Esto lo podemos comprobar al consultar la Vista Dinámica sys.dm_database_encryption_keys.
  • Al habilitar la encriptación de la base de datos (TDE) utilizando Database Mirroring, se encriptarán ambas bases de datos, la del Principal y la del Mirror. De hecho, deberemos tener en ambos servidores (Principal y Mirror) el mismo Certificado o Clave Asimétrica que utilicemos para cifrar la Clave de Encriptación de Base de Datos (Database Encryption Key), ya que de lo contrario, al crear en el Servidor Principal la Clave de Encriptación de la Base de Datos (Database Encryption Key), la sesión del Mirror se Suspendará (aunque podremos Reanudarla manualmente después de restaurar en el servidor Mirror dicho Certificado o Clave Asimétrica).
  • En el caso de utilizar Replicación, Transparent Data Encryption (TDE) deberá habilitarse independientemente en cada una de las bases de datos (Publicador y Suscriptores).
  • Los datos FILESTREAM no son encriptados con TDE.
  • No se recomienda realizar Backups Comprimidos sobre una Base de Datos encriptada con TDE, ya que los datos encriptados se comprimen mucho menos.
  • Durante la encriptación inicial, la desencriptación o el cambio de clave, no pueden realizarse ciertas operaciones en la Base de Datos, como por ejemplo quitar un archivo o un grupos de archivos, quitar la Base de Datos, poner OffLine la Base de Datos, etc.

Introducción a la Jerarquía de Encriptación de SQL Server y al funcionamiento de Transparent Data Encryption (TDE)

Sin entrar en un profundo detalle, voy a intentar explicar cómo funciona la tecnología Transparent Data Encryption (TDE), lo cual, está bastante relacionado con la Jerarquía de Encriptación de SQL Server.

Básicamente, TDE realiza una encriptación de los ficheros de Datos y de Log en tiempo real. Viendo el caso típico del fichero de datos, el cual sabemos que está organizado en páginas de datos de 8KB, SQL Server mantendrá descifradas dichas páginas en memoria (Buffer Pool), de tal modo que al escribirlas a disco (CheckPoint) las encriptará, y al cargarlas desde el disco a memoria (Buffer Pool) las tendrá que desencriptar. Para estas operaciones de encriptación y desencriptación (cifrado y descifrado) se utilizará una clave simétrica, denominada Database Encryption Key (DEK), que deberemos crear con un comando CREATE DATABASE ENCRYPTION KEY dentro de la Base de Datos que deseamos encriptar con TDE, antes de poder habilitar la encriptación de la Base de Datos con el correspondiente comando ALTER DATABASE SET ENCRYPTION ON.

La Database Encryption Key (DEK) es almacenada en la propia Base de Datos, en particular, en la Boot Page. La Boot Page es la Página 9 del fichero 1, por si deseamos consultarla con DBCC PAGE, o quizás con DBCC DBINFO (después de haber activado la traza 3606 para redirigir la salida de ejecución del comando DBCC al cliente desde donde ha sido ejecutada, muy probablemente el SSMS).

La Boot Page no se almacena encriptada, por lo tanto,  la Database Encryption Key debe estar encriptada por motivos evidentes de seguridad, ya sea por un Certificado almacenado en MASTER (cuya Clave Privada debe estar protegida por la Database Master Key) o por una Clave Asimétrica almacenada en un módulo EKM (Extensible Key Management).

Quizás el caso más típico, sea utilizar un Certificado para proteger/encriptar la Database Encryption Key (DEK). En este caso, como comentamos, deberemos crear un Certificado en la Base de Datos MASTER cuya Clave Privada debe estar protegida por la Database Master Key (DMK), es decir, no vale un Certificado con una Clave Privada protegida por contraseña. Esto es debido a que SQL Server debe ser capaz de acceder a la Clave Privada de dicho Certificado. En cualquier caso, no se trata más que de ejecutar un comando CREATE CERTIFICATE sobre MASTER.

Como consecuencia de esto, deberemos crear la Database Master Key (DMK) sobre la Base de Datos MASTER (si no estaba creada de antes), para que proteja la Clave Privada de nuestro Certificado (también creado sobre MASTER). Recordemos que la Database Master Key (DMK) es una Clave Simétrica que existe a nivel de cada Base de Datos, que a su vez está protegida por la Service Master Key (SMK), otra Clave Simétrica que existe a nivel de la Instancia de SQL Server (creada automáticamente durante la propia Instalación de SQL Server). Es algo tan sencillo como ejecutar un comando CREATE MASTER KEY sobre la Base de Datos MASTER.

¿Cómo configurar Transparent Data Encryption (TDE)?

En el caso típico, para poder habilitar Transparent Data Encryption (TDE) sobre una Base de Datos, deberemos seguir los siguientes pasos:

  • Sobre la Base de Datos MASTER, crearemos la Database Master Key (DMK) y un Certificado.
  • Sobre la Base de Datos que queremos encriptar, crearemos una Database Encryption Key (DEK) y habilitaremos TDE con el correspondiente comando ALTER DATABASE.

Para nuestro Plan de Recuperación ó Disaster Recovery, deberemos incluir tanto el Backup de las Bases de Datos, como el Backup de los Certificados (incluyendo su Clave Privada), por si necesitásemos recuperar la Base de Datos en otra Instancia de SQL. Además, también es conveniente incluir el Backup tanto de la Service Master Key (SMK) como de la Database Master Key (DMK) de MASTER.

Si necesitamos restaurar sobre otra Instancia una Base de Datos encriptada con Transparent Data Encryption (TDE), deberemos seguir los siguientes pasos:

  • Sobre la Base de Datos MASTER, crearemos la Database Master Key (DMK), si no existía de antes.
  • Restauraremos un Backup del Certificado utilizado en la Instancia SQL original, que recuperaremos sobre la Base de Datos MASTER.
  • Restauraremos un Backup de la Base de Datos (o bien, adjuntaremos los ficheros). 

A continuación, puede descargarse un ZIP con un par de ficheros SQL de ejemplo, donde podemos observar los pasos y comandos T-SQL para habilitar Transparent Data Encryption (TDE) sobre una Base de Datos, así como también los pasos y comandos T-SQL para recuperar una Base de Datos encriptada con TDE sobre otra Instancia de SQL Server.

Descargar Ejemplos creación y recuperación de una Base de Datos cifrada con TDE (GuilleSQL_TDE.zip)

Despedida y Cierre

Como hemos podido ver, Transparent Data Encryption (TDE) es una interesante característica de la edición Enterprise de SQL Server, disponible a partir de SQL Server 2008. Es probable, que en más de una ocasión podamos necesitar utilizar TDE, o bien discutir con nuestros clientes, si realmente TDE es o no la mejor opción para resolver una necesidad de negocio concreta. 

Antes de finalizar, quería aprovechar para incluir algunos enlaces de interés, para quien desee ampliar más información:

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


]
[Autor: GuilleSQL]


Comentarios

Antonio Morales - 20/05/2014 (UTC)
Hola, ¿Esto es válido para versiones Sql Server Express?. Por ejemplo la 2012 Express.

Gracias

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!


Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)



Copyright © 2007 GuilleSQL, todos los derechos reservados.