Tutorial: Migración de bases de datos habilitadas para TDE (versión preliminar) a Azure SQL en Azure Data Studio

  • Artículo

Para proteger una base de datos de SQL Server, puede tomar precauciones como diseñar un sistema seguro, cifrar recursos confidenciales y crear un firewall. Sin embargo, el robo físico de medios como unidades o cintas todavía puede poner en peligro los datos.

TDE proporciona una solución a este problema, mediante el cifrado o descifrado de datos en reposo (datos y archivos de registro) en tiempo real al usar una clave de cifrado de base de datos simétrica (DEK) protegida por un certificado. Para obtener más información sobre cómo migrar certificados TDE manualmente, consulte Mover una base de datos protegida por TDE a otro SQL Server.

Al migrar una base de datos protegida por TDE, el certificado (clave asimétrica) que se usa para abrir la clave de cifrado de base de datos (DEK) también debe moverse junto con la base de datos de origen. Por lo tanto, debe volver a crear el certificado de servidor en la base de datos master de la instancia de SQL Server de destino para que esta tenga acceso a los archivos de base de datos.

Puede usar la extensión de migración de Azure SQL para Azure Data Studio para facilitar la migración de bases de datos habilitadas para TDE (versión preliminar) desde una instancia local de SQL Server a Azure SQL.

El proceso de migración de bases de datos habilitadas para TDE automatiza las tareas manuales, como realizar copias de seguridad de las claves de certificado de base de datos (DEK), copiar los archivos de certificado desde la instancia de SQL Server local al destino de Azure SQL y volver a configurar TDE para la base de datos de destino de nuevo.

Importante

  1. Actualmente solo se admiten los destinos de Azure SQL Managed Instance.
  2. Y no se admiten copias de seguridad cifradas.

En este tutorial, aprenderá a migrar la base de datos cifrada de ejemplo AdventureWorksTDE desde una instancia local de SQL Server a una instancia administrada de Azure SQL.

  • Abrir el Asistente para migrar a Azure SQL en Azure Data Studio.
  • Ejecutar una evaluación de las bases de datos de origen de SQL Server de origen.
  • Configuración de la migración de certificados TDE
  • Conexión al destino de Azure SQL
  • Iniciar la migración del certificado TDE y supervisar el progreso hasta su finalización

Requisitos previos

Antes de comenzar el tutorial:

  • Descargue e instale Azure Data Studio.

  • Instale la extensión Azure SQL Migration desde el marketplace de Azure Data Studio.

  • Ejecute Azure Data Studio como administrador.

  • Debe tener una cuenta de Azure que esté asignada a uno de los siguientes roles integrados:

    • Colaborador de la instancia administrada de destino (y cuenta de almacenamiento para cargar las copias de seguridad de los archivos de certificado TDE desde el recurso compartido de red a través de SMB).
    • Rol de Lector de los grupos de recursos de Azure que contienen la instancia administrada de destino o la cuenta de almacenamiento de Azure.
    • Rol propietario o colaborador para la suscripción de Azure (obligatorio si se crea un nuevo servicio DMS).
    • Como alternativa al uso de los roles integrados mencionados, puede asignar un rol personalizado. Para obtener más información, consulte Roles personalizados: migraciones de SQL Server a SQL Managed Instance con ADS.

  • Cree una instancia de destino de Azure SQL Managed Instance.

  • Asegúrese de que el inicio de sesión que usa para conectarse al origen de SQL Server sea miembro del rol de servidor sysadmin.

  • La máquina en la que Azure Data Studio ejecuta la migración de base de datos habilitada para TDE debe tener conectividad con orígenes y servidores SQL de destino.

Abrir el Asistente para migrar a Azure SQL en Azure Data Studio.

Para abrir el Asistente para la migración a Azure SQL:

  1. En Azure Data Studio, vaya a Conexiones. Conéctese a la instancia local de SQL Server. También puede conectarse a SQL Server en una máquina virtual de Azure.

  2. En la conexión del servidor, haga clic con el botón derecho y seleccione Administrar.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. En el menú del servidor, en General, seleccione Azure SQL Migration.

    Screenshot that shows the Azure Data Studio server menu.

  4. En el panel Azure SQL Migration, seleccione Migración a Azure SQL para abrir el Asistente para la migración.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. En la primera página del asistente, inicie una nueva sesión o reanude una guardada anteriormente.

Ejecución de la evaluación de la base de datos

  1. En el Paso 1: Bases de datos para la evaluación del Asistente para la migración a Azure SQL, seleccione las bases de datos que quiere evaluar. Después, seleccione Siguiente.

    Screenshot that shows selecting a database for assessment.

  2. En Paso 2: Resultados de la evaluación, realice los pasos siguientes:

    1. En Elegir el destino de Azure SQL, seleccione Azure SQL Managed Instance.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Seleccione Ver/Seleccionar para ver los resultados de la evaluación.

      Screenshot that shows view/select assessment results.

    3. En los resultados de la evaluación, seleccione la base de datos y revise los resultados de la evaluación. En este ejemplo, puede ver que la base de datos AdventureWorksTDE está protegida con cifrado de datos transparente (TDE). La evaluación recomienda migrar el certificado TDE antes de migrar la base de datos de origen al destino de la instancia administrada.

      Screenshot that shows assessment findings report.

    4. Elija Seleccionar para abrir el panel de configuración de migración de TDE.

Configuración de las opciones de migración de TDE

  1. En la sección Base de datos cifrada seleccionada, seleccione Exportar mis certificados y clave privada al destino.

    Screenshot that shows the TDE migration configuration.

    Importante

    En la sección Cuadro de información, se describen los permisos necesarios para exportar los certificados DEK.

    Debe asegurarse de que la cuenta de servicio de SQL Server tenga acceso de escritura a la ruta de acceso del recurso compartido de red que usará para realizar una copia de seguridad de los certificados DEK. Además, el usuario actual debe tener privilegios de administrador en el equipo donde existe esta ruta de acceso de red.

  2. Escriba la ruta de acceso de red.

    Screenshot that shows the TDE migration configuration for a network share.

    A continuación, marque la casilla Doy consentimiento para usar mis credenciales para acceder a los certificados. Con esta acción, va a permitir que el Asistente para la migración de bases de datos realice una copia de seguridad del certificado DEK en el recurso compartido de red.

  3. Puede que no desee que el Asistente para la migración le ayude a migrar bases de datos habilitadas para TDE. Seleccione No quiero que Azure Data Studio exporte los certificados. para omitir este paso.

    Screenshot that shows how to decline the TDE migration.

    Importante

    Debe migrar los certificados antes de continuar con la migración; de lo contrario, se producirá un error en la migración. Para obtener más información sobre cómo migrar certificados TDE manualmente, consulte Mover una base de datos protegida por TDE a otro SQL Server.

  4. Si desea continuar con la migración de certificación de TDE, seleccione Aplicar.

    Screenshot that shows how to apply the TDE migration configuration.

    El panel de configuración de migración de TDE se cerrará, pero puede seleccionar Editar para modificar la configuración del recurso compartido de red en cualquier momento. Seleccione Siguiente para continuar con el proceso de migración.

    Screenshot that shows how to edit the TDE migration configuration.

Configuración de valores de migración

En Paso 3: Destino de Azure SQL en el Asistente para la migración a Azure SQL, realice estos pasos para la instancia administrada de destino:

  1. Seleccione la cuenta, la suscripción, la región o la ubicación de Azure y el grupo de recursos que contiene la instancia administrada.

    Screenshot that shows Azure account details.

  2. Cuando esté listo, seleccione Migrar certificados para iniciar la migración de certificados TDE.

Inicio y supervisión de la migración de certificados TDE

  1. En Paso 3: Estado de migración, se abrirá el panel Migración de certificados. Los detalles del progreso de la migración de certificados TDE se muestran en la pantalla.

    Screenshot that shows how the TDE migration process starts.

  2. Una vez completada la migración de TDE (o si tiene errores), la página muestra las actualizaciones pertinentes.

    Screenshot that shows how the TDE migration process continues.

  3. En caso de que tenga que volver a intentar la migración, seleccione Reintentar la migración.

    Screenshot that shows how to retry the TDE migration.

  4. Cuando esté listo, seleccione Listo para continuar con el Asistente para la migración.

    Screenshot that shows how to complete the TDE migration.

  5. Para supervisar el proceso de cada certificado de TDE, seleccione Migrar certificados.

  6. Seleccione Siguiente para continuar con el asistente para la migración hasta completar la migración de la base de datos.

    Screenshot that shows how to continue the database migration.

    Consulte los siguientes tutoriales paso a paso para obtener más información sobre la migración de bases de datos en línea o sin conexión a los destinos de Azure SQL Managed Instance:

Pasos posteriores a la migración

La instancia administrada de destino ahora debería contener las bases de datos y sus respectivos certificados migrados. Para comprobar el estado actual de la base de datos migrada recientemente, copie y pegue el ejemplo siguiente en una nueva ventana de consulta en Azure Data Studio mientras está conectado al destino de la instancia administrada. Luego, seleccione Ejecutar.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

La consulta devuelve la información sobre la base de datos, el estado de cifrado y el porcentaje pendiente completado. En este caso, es cero porque el certificado TDE ya se ha completado.

Screenshot that shows the results returned by the TDE query provided in this section.

Para obtener más información sobre el cifrado con SQL Server, consulte: Cifrado de datos transparente (TDE).

Limitaciones

En la tabla siguiente se describe el estado actual de las migraciones de base de datos habilitadas para TDE compatibles con el destino de Azure SQL:

Destino Soporte técnico Estado
Azure SQL Database No
Instancia administrada de Azure SQL Versión preliminar
SQL Server en máquina virtual de Azure No

Contenido relacionado