Cifrado de datos transparente (TDE)Transparent Data Encryption (TDE)

SE APLICA A: síSQL Server síAzure SQL Database síAzure SQL Data Warehouse síAlmacenamiento de datos paralelos APPLIES TO: yesSQL Server yesAzure SQL Database yesAzure SQL Data Warehouse yesParallel Data Warehouse

El Cifrado de datos transparente (TDE) cifra los archivos de datos de SQL ServerSQL Server, Base de datos SQL de AzureAzure SQL Database y Almacenamiento de datos SQL de AzureAzure SQL Data Warehouse, lo que se conoce como cifrado de datos en reposo.Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, Base de datos SQL de AzureAzure SQL Database, and Almacenamiento de datos SQL de AzureAzure SQL Data Warehouse data files, known as encrypting data at rest. Puede tomar varias precauciones para proteger la base de datos, como diseñar un sistema seguro, cifrar los datos confidenciales e instalar un firewall alrededor de los servidores de bases de datos.You can take several precautions to help secure the database such as designing a secure system, encrypting confidential assets, and building a firewall around the database servers. Sin embargo, si se diera el caso de un robo de medios físicos (como unidades de disco o cintas de copia de seguridad), un usuario malintencionado solo tendría que restaurar o adjuntar la base de datos y examinar los datos.However, in a scenario where the physical media (such as drives or backup tapes) are stolen, a malicious party can just restore or attach the database and browse the data. Una solución consiste en cifrar los datos confidenciales en la base de datos y usar un certificado para proteger las claves que se utilizan para cifrarlos.One solution is to encrypt the sensitive data in the database and protect the keys that are used to encrypt the data with a certificate. Esto evita que utilice los datos cualquiera que carezca de las claves, pero este tipo de protección debe planearse de antemano.This prevents anyone without the keys from using the data, but this kind of protection must be planned in advance.

TDE realiza el cifrado y descifrado de E/S en tiempo real de los datos y los archivos de registro.TDE performs real-time I/O encryption and decryption of the data and log files. El cifrado utiliza una clave de cifrado de la base de datos (DEK), que está almacenada en el registro de arranque de la base de datos para que esté disponible durante la recuperación.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. La DEK es una clave simétrica protegida utilizando un certificado almacenado en la base de datos maestra del servidor o una clave asimétrica protegida por un módulo EKM.The DEK is a symmetric key secured by using a certificate stored in the master database of the server or an asymmetric key protected by an EKM module. TDE protege los datos "en reposo", es decir, los archivos de datos y de registro.TDE protects data "at rest", meaning the data and log files. Ofrece la posibilidad de cumplir muchas leyes, normativas y directrices establecidas en diversos sectores.It provides the ability to comply with many laws, regulations, and guidelines established in various industries. También permite a los desarrolladores de software cifrar los datos mediante algoritmos de cifrado AES y 3DES sin cambiar las aplicaciones existentes.This enables software developers to encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

Acerca de TDEAbout TDE

El cifrado del archivo de base de datos se realiza en el nivel de página.Encryption of the database file is performed at the page level. Las páginas de una base de datos cifrada se cifran antes de escribirse en el disco y se descifran cuando se leen en la memoria.The pages in an encrypted database are encrypted before they are written to disk and decrypted when read into memory. TDE no aumenta el tamaño de la base de datos cifrada.TDE does not increase the size of the encrypted database.

Información aplicable a SQL DatabaseSQL DatabaseInformation applicable to SQL DatabaseSQL Database

Cuando se usa TDE con SQL DatabaseSQL Database V12, SQL DatabaseSQL Database crea de forma automática el certificado de nivel de servidor almacenado en la base de datos maestra.When using TDE with SQL DatabaseSQL Database V12, the server-level certificate stored in the master database is automatically created for you by SQL DatabaseSQL Database. Para mover una base de datos de TDE en SQL DatabaseSQL Database, no es necesario descifrarla para la operación de traslado.To move a TDE database on SQL DatabaseSQL Database, you do not have to decrypt the database for the move operation. Para más información sobre el uso de TDE con SQL DatabaseSQL Database, vea Cifrado de datos transparente para Azure SQL Database.For more information on utilizing TDE with SQL DatabaseSQL Database, see Transparent Data Encryption with Azure SQL Database.

Información aplicable a SQL ServerSQL ServerInformation applicable to SQL ServerSQL Server

Una vez protegida, la base de datos puede restaurarse utilizando el certificado correcto.After it is secured, the database can be restored by using the correct certificate. Para obtener más información acerca de los certificados, vea SQL Server Certificates and Asymmetric Keys.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

Al habilitar TDE, debería hacer inmediatamente una copia de seguridad del certificado y la clave privada asociada al certificado.When enabling TDE, you should immediately back up the certificate and the private key associated with the certificate. Si el certificado no está disponible en algún momento o si debe restaurar o adjuntar la base de datos en otro servidor, debe tener copias de seguridad del certificado y la clave privada o no podrá abrir la base de datos.If the certificate ever becomes unavailable or if you must restore or attach the database on another server, you must have backups of both the certificate and the private key or you will not be able to open the database. El cifrado del certificado se debería conservar aun cuando TDE deje de estar habilitado en la base de datos.The encrypting certificate should be retained even if TDE is no longer enabled on the database. Aunque la base de datos no se cifre, algunas partes del registro de transacciones pueden seguir estando protegidas y se puede necesitar el certificado para algunas operaciones hasta que se realice la copia de seguridad completa de la base de datos.Even though the database is not encrypted, parts of the transaction log may still remain protected, and the certificate may be needed for some operations until the full backup of the database is performed. Un certificado que ha excedido su fecha de expiración se puede seguir usando para cifrar y descifrar datos con TDE.A certificate that has exceeded its expiration date can still be used to encrypt and decrypt data with TDE.

Jerarquía de cifradoEncryption Hierarchy

En la siguiente ilustración se muestra la arquitectura del cifrado TDE.The following illustration shows the architecture of TDE encryption. Solo los elementos de nivel de base de datos (las partes de ALTER DATABASE y la clave de cifrado de base de datos son configurables por el usuario cuando se usa TDE en SQL DatabaseSQL Database).Only the database level items (the database encryption key and ALTER DATABASE portions are user-configurable when using TDE on SQL DatabaseSQL Database.

Muestra la jerarquía que se describe en el tema.Displays the hierarchy described in the topic.

Utilizar el cifrado de datos transparenteUsing Transparent Data Encryption

Para usar TDE, siga estos pasos.To use TDE, follow these steps.

Se aplica a: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.

  • Cree una clave maestraCreate a master key

  • Cree u obtenga un certificado protegido por la clave maestraCreate or obtain a certificate protected by the master key

  • Cree una clave de cifrado de base de datos y protéjala con el certificadoCreate a database encryption key and protect it by the certificate

  • Configure la base de datos para que utilice el cifradoSet the database to use encryption

En el ejemplo siguiente se muestra cómo cifrar y descifrar la base de datos AdventureWorks2012 mediante un certificado instalado en el servidor denominado MyServerCert.The following example illustrates encrypting and decrypting the AdventureWorks2012 database using a certificate installed on the server named MyServerCert.

USE master;  
GO  
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';  
go  
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';  
go  
USE AdventureWorks2012;  
GO  
CREATE DATABASE ENCRYPTION KEY  
WITH ALGORITHM = AES_128  
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;  
GO  
ALTER DATABASE AdventureWorks2012  
SET ENCRYPTION ON;  
GO  

SQL ServerSQL Serverprograma las operaciones de cifrado y descifrado en subprocesos que se ejecutan en segundo plano.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. Puede ver el estado de estas operaciones mediante las vistas de catálogo y las vistas de administración dinámica de la lista que se muestra más adelante en este tema.You can view the status of these operations using the catalog views and dynamic management views in the list that appears later in this topic.

Precaución

Los archivos de copia de seguridad de las bases de datos que tienen habilitado TDE también se cifran mediante la clave de cifrado de la base de datos.Backup files of databases that have TDE enabled are also encrypted by using the database encryption key. Como consecuencia, al restaurar estas copias de seguridad debe estar disponible el certificado que protege la clave de cifrado de la base de datos.As a result, when you restore these backups, the certificate protecting the database encryption key must be available. Esto significa que, además de hacer copias de seguridad de la base de datos, tiene que asegurarse de que mantiene copias de seguridad de los certificados del servidor para evitar la pérdida de datos.This means that in addition to backing up the database, you have to make sure that you maintain backups of the server certificates to prevent data loss. Si el certificado deja de estar disponible, perderá los datos.Data loss will result if the certificate is no longer available. Para obtener más información, consulte SQL Server Certificates and Asymmetric Keys.For more information, see SQL Server Certificates and Asymmetric Keys.

Comandos y funcionesCommands and Functions

Para que puedan ser aceptados por las instrucciones siguientes, los certificados de TDE deben cifrarse con la clave maestra de la base de datos.The TDE certificates must be encrypted by the database master key to be accepted by the following statements. Si solamente se cifran con una contraseña, las instrucciones los rechazarán como sistemas de cifrado.If they're encrypted by password only, the statements will reject them as encryptors.

Importante

Si los certificados se protegen mediante contraseña una vez usados para TDE, la base de datos dejará de ser accesible después de un reinicio.Altering the certificates to be password-protected after they are used by TDE will cause the database to become inaccessible after a restart.

En la tabla siguiente se proporcionan vínculos y explicaciones de los comandos y funciones de TDE.The following table provides links and explanations of TDE commands and functions.

Comando o funciónCommand or function FinalidadPurpose
CREATE DATABASE ENCRYPTION KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) Crea una clave que se utiliza para cifrar una base de datos.Creates a key that is used to encrypt a database.
ALTER DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) Cambia la clave que se utiliza para cifrar una base de datos.Changes the key that is used to encrypt a database.
DROP DATABASE ENCRYPTION KEY (Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) Quita la clave que se utilizó para cifrar una base de datos.Removes the key that was used to encrypt a database.
Opciones de ALTER DATABASE SET (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) Explica la opción ALTER DATABASE que se utiliza para habilitar TDE.Explains the ALTER DATABASE option that is used to enable TDE.

Vistas de catálogo y vistas de administración dinámicaCatalog Views and Dynamic Management Views

En la tabla siguiente se muestran las vistas de catálogo y las vistas de administración dinámica de TDE.The following table shows TDE catalog views and dynamic management views.

Vista de catálogo o vista de administración dinámicaCatalog view or dynamic management view FinalidadPurpose
sys.databases (Transact-SQL)sys.databases (Transact-SQL) Vista de catálogo que muestra información sobre las bases de datos.Catalog view that displays database information.
sys.certificates (Transact-SQL)sys.certificates (Transact-SQL) Vista de catálogo que muestra los certificados de una base de datos.Catalog view that shows the certificates in a database.
sys.dm_database_encryption_keys (Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) Vista de administración dinámica que proporciona información sobre las claves de cifrado utilizadas en una base de datos y el estado de cifrado de una base de datos.Dynamic management view that provides information about the encryption keys used in a database, and the state of encryption of a database.

PermisosPermissions

Cada una de las características y comandos de TDE tiene sus propios requisitos de permisos, que se describen en las tablas mostradas anteriormente.Each TDE feature and command has individual permission requirements, described in the tables shown earlier.

Para ver los metadatos relacionados con TDE, se requiere el permiso VIEW DEFINITION en el certificado.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on the certificate.

ConsideracionesConsiderations

Mientras se realiza el examen del proceso de nuevo cifrado para una operación de cifrado de base de datos, las operaciones de mantenimiento de la base de datos están deshabilitadas.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. Puede configurar la base de datos en modo de usuario único si desea realizar la operación de mantenimiento.You can use the single user mode setting for the database to perform the maintenance operation. Para obtener más información, vea Establecer una base de datos en modo de usuario único.For more information, see Set a Database to Single-user Mode.

Puede encontrar el estado del cifrado de la base de datos utilizando la vista de administración dinámica sys.dm_database_encryption_keys.You can find the state of the database encryption using the sys.dm_database_encryption_keys dynamic management view. Para obtener más información, vea la sección "Vistas de catálogo y vistas de administración dinámica", anteriormente en este tema.For more information, see the "Catalog Views and Dynamic Management Views"section earlier in this topic).

En TDE, se cifran todos los archivos y grupos de archivos de la base de datos.In TDE, all files and filegroups in the database are encrypted. Si algún grupo de archivos de una base de datos está marcado como READ ONLY, se producirá un error en la operación de cifrado de la base de datos.If any filegroups in a database are marked READ ONLY, the database encryption operation will fail.

Si una base de datos se utiliza en una creación de reflejo de la base de datos o en un trasvase de registros, se cifrarán ambas bases de datos.If a database is being used in database mirroring or log shipping, both databases will be encrypted. Las transacciones del registro se cifrarán cuando se envíen entre ellas.The log transactions will be encrypted when sent between them.

Importante

Los índices de texto completo se cifrarán cuando una base de datos esté configurada para cifrarse.Full-text indexes will be encrypted when a database is set for encryption. Los índices de texto completo creados antes de SQL Server 2008 se importarán a la base de datos durante la actualización a SQL Server 2008 o posterior y se cifrarán mediante TDE.Full-text indexes created prior to SQL Server 2008 will be imported into the database during upgrade to SQL Server 2008 or greater and they will be encrypted by TDE.

Sugerencia

Para supervisar los cambios en el estado TDE de una base de datos, use SQL Server Audit o SQL Database Auditing.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database Auditing. Para SQL Server, se realiza un seguimiento de TDE en el grupo de acción de auditoría DATABASE_CHANGE_GROUP que se encuentra en Grupos de acciones y acciones de SQL Server Audit.For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP which can be found in SQL Server Audit Action Groups and Actions.

RestrictionsRestrictions

No están permitidas las operaciones siguientes durante el cifrado inicial de la base de datos, el cambio clave o el descifrado de una base de datos:The following operations are not allowed during initial database encryption, key change, or database decryption:

  • Quitar un archivo de un grupo de archivos de la base de datos.Dropping a file from a filegroup in the database

  • Quitar la base de datos.Dropping the database

  • Dejar sin conexión la base de datos.Taking the database offline

  • Separar la base de datos.Detaching a database

  • Pasar la base de datos o el grupo de archivos al estado READ ONLY.Transitioning a database or filegroup into a READ ONLY state

No están permitidas las operaciones siguientes durante la ejecución de instrucciones CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY o ALTER DATABASE...SET ENCRYPTION.The following operations are not allowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • Quitar un archivo de un grupo de archivos de la base de datos.Dropping a file from a filegroup in the database.

  • Eliminar la base de datos.Dropping the database.

  • Dejar sin conexión la base de datos.Taking the database offline.

  • Separar la base de datos.Detaching a database.

  • Pasar la base de datos o el grupo de archivos al estado READ ONLY.Transitioning a database or filegroup into a READ ONLY state.

  • Usar un comando ALTER DATABASE.Using an ALTER DATABASE command.

  • Iniciar una copia de seguridad de base de datos o de archivos de base de datos.Starting a database or database file backup.

  • Iniciar una restauración de base de datos o de archivos de base de datos.Starting a database or database file restore.

  • Crear una instantánea.Creating a snapshot.

Las operaciones o condiciones siguientes impedirán la ejecución de las instrucciones CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY o ALTER DATABASE...SET ENCRYPTION.The following operations or conditions will prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • La base de datos o cualquiera de sus grupos de archivos son de solo lectura.The database is read-only or has any read-only file groups.

  • Se está ejecutando un comando ALTER DATABASE.An ALTER DATABASE command is executing.

  • Se está ejecutando cualquier tipo de copia de seguridad de los datos.Any data backup is running.

  • La base de datos está sin conexión o en restauración.The database is in an offline or restore condition.

  • Se está realizando una instantánea.A snapshot is in progress.

  • Se están realizando tareas de mantenimiento en la base de datos.Database maintenance tasks.

Al crear los archivos de base de datos, la inicialización instantánea de archivos no está disponible cuando TDE está habilitado.When creating database files, instant file initialization is not available when TDE is enabled.

Para cifrar la clave de cifrado de la base de datos con una clave asimétrica, la clave asimétrica debe residir en un proveedor extensible de administración de claves.In order to encrypt the database encryption key with an asymmetric key, the asymmetric key must reside on an extensible key management provider.

El cifrado de datos transparente y los registros de transaccionesTransparent Data Encryption and Transaction Logs

Al habilitar una base de datos para utilizar TDE, se "pone a cero" la parte restante del registro de transacciones virtual para exigir el registro de transacciones virtual siguiente.Enabling a database to use TDE has the effect of "zeroing out" the remaining part of the virtual transaction log to force the next virtual transaction log. Esto garantiza que no quede ningún texto sin cifrar en los registros de transacciones una vez configurada la base de datos para el cifrado.This guarantees that no clear text is left in the transaction logs after the database is set for encryption. Puede encontrar el estado del cifrado del archivo de registro en la columna encryption_state de la vista sys.dm_database_encryption_keys, como en este ejemplo:You can find the status of the log file encryption by viewing the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;  
GO  
/* The value 3 represents an encrypted state   
   on the database and transaction logs. */  
SELECT *  
FROM sys.dm_database_encryption_keys  
WHERE encryption_state = 3;  
GO  

Para obtener más información sobre la arquitectura de los archivos de registro de SQL ServerSQL Server, vea El registro de transacciones (SQL Server).For more information about the SQL ServerSQL Server log file architecture, see The Transaction Log (SQL Server).

Todos los datos escritos en el registro de transacciones antes de cambiar la clave de cifrado de la base de datos se cifrarán mediante la clave de cifrado anterior de la base de datos.All data written to the transaction log before a change in the database encryption key will be encrypted by using the previous database encryption key.

Cuando una clave de cifrado de base de datos se modifica dos veces, debe realizarse una copia de seguridad de registros para que la clave de cifrado de base de datos pueda volver a modificarse.After a database encryption key has been modified twice, a log backup must be performed before the database encryption key can be modified again.

El cifrado de datos transparente y la base de datos del sistema tempdbTransparent Data Encryption and the tempdb System Database

La base de datos del sistema tempdb se cifrará si alguna otra base de datos de la instancia de SQL ServerSQL Server se cifra mediante TDE.The tempdb system database will be encrypted if any other database on the instance of SQL ServerSQL Server is encrypted by using TDE. Esto podría tener un efecto en el rendimiento de las bases de datos no cifradas de la misma instancia de SQL ServerSQL Server.This might have a performance effect for unencrypted databases on the same instance of SQL ServerSQL Server. Para obtener más información sobre la base de datos del sistema tempdb, vea Bade de datos tempdb.For more information about the tempdb system database, see tempdb Database.

Cifrado de datos transparente y replicaciónTransparent Data Encryption and Replication

La replicación no replica automáticamente los datos de una base de datos habilitada para TDE en un formato cifrado.Replication does not automatically replicate data from a TDE-enabled database in an encrypted form. Debe habilitar por separado TDE si desea proteger las bases de datos de suscriptor y de distribución.You must separately enable TDE if you want to protect the distribution and subscriber databases. La replicación de instantáneas, así como la distribución inicial de datos para la replicación transaccional y de mezcla, puede almacenar los datos en archivos intermedios sin cifrar; por ejemplo, los archivos bcp.Snapshot replication, as well as the initial distribution of data for transactional and merge replication, can store data in unencrypted intermediate files; for example, the bcp files. Durante la replicación transaccional o de mezcla, el cifrado puede habilitarse para proteger el canal de comunicaciones.During transactional or merge replication, encryption can be enabled to protect the communication channel. Para obtener más información, vea Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

Cifrado de datos transparente y FILESTREAM DATATransparent Data Encryption and FILESTREAM DATA

Los datos FILESTREAM no se cifran ni siquiera cuando se habilita TDE.FILESTREAM data is not encrypted even when TDE is enabled.

Análisis de cifrado de datos transparente (TDE)Transparent Data Encryption (TDE) scan

Con el fin de habilitar el cifrado de datos transparente (TDE) en una base de datos, SQL ServerSQL Server debe realizar un análisis de cifrado que lea cada página de archivos de datos en el grupo de búferes y, a continuación, escriba las páginas cifradas de nuevo en el disco.In order to enable Transparent Data Encryption (TDE) on a database, SQL ServerSQL Server must perform an encryption scan that reads each page from the data file(s) into the buffer pool, and then writes the encrypted pages back out to disk. Para proporcionar al usuario más control sobre el análisis de cifrado, SQL Server 2019 (15.x)SQL Server 2019 (15.x) presenta la sintaxis del análisis de TDE de suspensión y reanudación para que el análisis se pueda poner en pausa aunque la carga de trabajo en el sistema sea intensa, o durante el horario crítico para la empresa, y reanudar luego.To provide the user with more control over the encryption scan, SQL Server 2019 (15.x)SQL Server 2019 (15.x) introduces TDE scan - suspend and resume syntax so that you can pause the scan while the workload on the system is heavy, or during business-critical hours, and then resume the scan later.

Use la siguiente sintaxis para poner en pausa el análisis de cifrado TDE:Use the following syntax to pause the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION SUSPEND;

De forma similar, la siguiente sintaxis reanuda el análisis de cifrado TDE:Similarly, the following syntax resumes the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION RESUME;

Para mostrar el estado actual del análisis de cifrado, encryption_scan_state se ha agregado a la vista de administración dinámica sys.dm_database_encryption_keys.To show the current state of the encryption scan, encryption_scan_state has been added to the sys.dm_database_encryption_keys dynamic management view. También hay una nueva columna denominada encryption_scan_modify_date que contendrá la fecha y la hora del último cambio de estado de análisis de cifrado.There is also a new column called encryption_scan_modify_date which will contain the date and time of the last encryption scan state change. Observe también que, si la instancia SQL ServerSQL Server se reinicia mientras el análisis de cifrado se encuentra en un estado suspendido, se registrará un mensaje en el registro de errores durante el inicio que indicará que hay un análisis existente que se ha puesto en pausa.Also note that if the SQL ServerSQL Server instance is restarted while the encryption scan is in a suspended state, a message will be logged in the error log on startup indicating that there is an existing scan that has been paused.

Cifrado de datos transparente y extensión del grupo de búferesTransparent Data Encryption and Buffer Pool Extension

Los archivos relacionados con la extensión del grupo de búferes (BPE) no se cifran si la base de datos se cifra con TDE.Files related to buffer pool extension (BPE) are not encrypted when database is encrypted using TDE. Debe usar herramientas de cifrado de nivel de sistema de archivos, como BitLocker o EFS, para archivos relacionados con BPE.You must use file system level encryption tools like BitLocker or EFS for BPE related files.

Cifrado de datos transparente y OLTP en memoriaTransparent Data Encryption and In-Memory OLTP

El TDE se puede habilitar en una base de datos que tenga objetos de OLTP en memoria.TDE can be enabled on a database that has In-Memory OLTP objects. En SQL Server 2016 (13.x)SQL Server 2016 (13.x) y Base de datos SQL de AzureAzure SQL Database , los datos y registros de OLTP en memoria se cifran si TDE está habilitado.In SQL Server 2016 (13.x)SQL Server 2016 (13.x) and Base de datos SQL de AzureAzure SQL Database In-Memory OLTP log records and data are encrypted if TDE is enabled. En SQL Server 2014 (12.x)SQL Server 2014 (12.x) , los registros de OLTP en memoria se cifran si TDE está habilitado, pero los archivos del grupo de archivos MEMORY_OPTIMIZED_DATA no se cifran.In SQL Server 2014 (12.x)SQL Server 2014 (12.x) In-Memory OLTP log records are encrypted if TDE is enabled, but files in the MEMORY_OPTIMIZED_DATA filegroup are not encrypted.

Mover una base de datos protegida por TDE a otra instancia de SQL ServerMove a TDE Protected Database to Another SQL Server
Habilitar TDE en SQL Server con EKMEnable TDE on SQL Server Using EKM
Administración extensible de claves con el Almacén de claves de Azure (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Cifrado de datos transparente con Base de datos SQL de AzureTransparent Data Encryption with Azure SQL Database
Introducción al cifrado de datos transparente (TDE) en SQL Data WarehouseGet started with Transparent Data Encryption (TDE) on SQL Data Warehouse
Cifrado de SQL ServerSQL Server Encryption
SQL Server y claves de cifrado de base de datos (motor de base de datos)SQL Server and Database Encryption Keys (Database Engine)

Consulte tambiénSee Also

Centro de seguridad para el motor de base de datos SQL Server y la base de datos SQL Azure Security Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM (SQL Server)FILESTREAM (SQL Server)