Transparent Data Encryption (TDE)Transparent Data Encryption (TDE)

S’APPLIQUE À : OuiSQL Server OuiAzure SQL Database OuiAzure Synapse Analytics (SQL Data Warehouse) OuiParallel Data Warehouse APPLIES TO: YesSQL Server YesAzure SQL Database YesAzure Synapse Analytics (SQL Data Warehouse) YesParallel Data Warehouse

Transparent Data Encryption (TDE) chiffre les fichiers de données SQL ServerSQL Server, Azure SQL DatabaseAzure SQL Database et Azure Synapse Analytics (SQL Data Warehouse)Azure Synapse Analytics (SQL Data Warehouse).Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, Azure SQL DatabaseAzure SQL Database, and Azure Synapse Analytics (SQL Data Warehouse)Azure Synapse Analytics (SQL Data Warehouse) data files. Ce chiffrement est connu sous le nom de chiffrement de données au repos.This encryption is known as encrypting data at rest.

Pour sécuriser une base de données, vous pouvez prendre certaines précautions, à savoir :To help secure a database, you can take precautions like:

  • Concevoir un système sécurisé.Designing a secure system.
  • Chiffrer les ressources confidentielles.Encrypting confidential assets.
  • Créer un pare-feu autour des serveurs de base de données.Building a firewall around the database servers.

Or, un tiers malveillant qui subtiliserait des médias physiques comme des disques durs ou des bandes de sauvegarde pourrait restaurer ou attacher la base de données et parcourir les données qu’elle contient.But a malicious party who steals physical media like drives or backup tapes can restore or attach the database and browse its data.

Il existe une solution qui consiste à chiffrer les données sensibles dans une base de données et à utiliser un certificat pour protéger les clés qui chiffrent les données.One solution is to encrypt sensitive data in a database and use a certificate to protect the keys that encrypt the data. Cette solution empêche quiconque ne disposant pas des clés d’utiliser les données.This solution prevents anyone without the keys from using the data. Vous devez cependant planifier ce type de protection à l’avance.But you must plan this kind of protection in advance.

TDE assure un chiffrement et un déchiffrement des données et des fichiers journaux en E/S et en temps réel.TDE does real-time I/O encryption and decryption of data and log files. Le chiffrement utilise une clé de chiffrement de base de données.The encryption uses a database encryption key (DEK). L’enregistrement de démarrage de la base de données stocke la clé pour la mettre à disposition pendant la récupération.The database boot record stores the key for availability during recovery. La clé de chiffrement de base de données est une clé symétrique.The DEK is a symmetric key. Elle est sécurisée par un certificat stocké dans la base de données MASTER du serveur ou par une clé asymétrique protégée par un module EKM.It's secured by a certificate that the server's master database stores or by an asymmetric key that an EKM module protects.

TDE protège les données au repos, c’est-à-dire les fichiers de données et les fichiers journaux.TDE protects data at rest, which is the data and log files. Il vous permet d’être en conformité avec de nombreuses lois, réglementations et directives établies dans différents secteurs d’activité.It lets you follow many laws, regulations, and guidelines established in various industries. Cette possibilité permet aux développeurs de logiciels de chiffrer les données à l’aide des algorithmes de chiffrement AES et 3DES sans modifier les applications existantes.This ability lets software developers encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

À propos du chiffrement transparent des donnéesAbout TDE

Le chiffrement d’un fichier de base de données s’effectue au niveau de la page.Encryption of a database file is done at the page level. Les pages au sein d’une base de données chiffrée sont chiffrées avant d’être écrites sur disque et déchiffrées au moment d’être lues en mémoire.The pages in an encrypted database are encrypted before they're written to disk and are decrypted when read into memory. TDE n’augmente pas la taille de la base de données chiffrée.TDE doesn't increase the size of the encrypted database.

Informations applicables à SQL DatabaseSQL DatabaseInformation applicable to SQL DatabaseSQL Database

Quand vous utilisez TDE avec SQL DatabaseSQL Database V12, SQL DatabaseSQL Database crée automatiquement le certificat de niveau serveur stocké dans la base de données MASTER.When you use TDE with SQL DatabaseSQL Database V12, SQL DatabaseSQL Database automatically creates for you the server-level certificate stored in the master database. Pour déplacer une base de données TDE sur SQL DatabaseSQL Database, vous n’avez pas besoin de déchiffrer la base de données pour l’opération de déplacement.To move a TDE database on SQL DatabaseSQL Database, you don't have to decrypt the database for the move operation. Pour plus d’informations sur l’utilisation de TDE avec SQL DatabaseSQL Database, consultez Transparent Data Encryption avec Azure SQL Database.For more information on using TDE with SQL DatabaseSQL Database, see Transparent Data Encryption with Azure SQL Database.

Informations applicables à SQL ServerSQL ServerInformation applicable to SQL ServerSQL Server

Après avoir sécurisé une base de données, vous pouvez la restaurer à l’aide du certificat adéquat.After you secure a database, you can restore it by using the correct certificate. Pour plus d'informations sur les certificats, consultez SQL Server Certificates and Asymmetric Keys.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

Après avoir activé TDE, sauvegardez immédiatement le certificat et la clé privée associée.After you enable TDE, immediately back up the certificate and its associated private key. Si le certificat devient indisponible ou si vous restaurez ou attachez la base de données sur un autre serveur, vous aurez besoin d’une sauvegarde du certificat et de la clé privée.If the certificate becomes unavailable, or if you restore or attach the database on another server, you need backups of the certificate and private key. À défaut, vous ne pourrez pas ouvrir la base de données.Otherwise, you can't open the database.

Conservez le certificat de chiffrement même si vous désactivez TDE sur la base de données.Keep the encrypting certificate even if you've disabled TDE on the database. Même si la base de données n’est pas chiffrée, des parties du journal des transactions peuvent rester protégées.Although the database isn't encrypted, parts of the transaction log might remain protected. Le certificat peut aussi vous être utile pour certaines opérations tant que vous n’effectuez pas une sauvegarde complète de la base de données.You also might need the certificate for some operations until you do a full database backup.

Vous pouvez toujours utiliser un certificat dont la date d’expiration est passée pour chiffrer et déchiffrer des données avec TDE.You can still use a certificate that exceeds its expiration date to encrypt and decrypt data with TDE.

Hiérarchie de chiffrementEncryption hierarchy

L'illustration ci-dessous montre l'architecture du chiffrement TDE.The following illustration shows the architecture of TDE encryption. Seuls les éléments de niveau base de données (la clé de chiffrement de base de données et les parties ALTER DATABASE) sont configurables par l’utilisateur quand vous utilisez TDE sur SQL DatabaseSQL Database.Only the database-level items (the database encryption key and ALTER DATABASE portions) are user-configurable when you use TDE on SQL DatabaseSQL Database.

Architecture de Transparent Data Encryption

Utilisation du chiffrement transparent des donnéesUsing Transparent Data Encryption

Pour utiliser le chiffrement transparent des données, procédez comme suit :To use TDE, follow these steps.

S'applique à: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.

  1. Créez une clé principale.Create a master key.

  2. Créez ou procurez-vous un certificat protégé par la clé principale.Create or obtain a certificate protected by the master key.

  3. Créez une clé de chiffrement de base de données et protégez-la à l’aide du certificat.Create a database encryption key and protect it by using the certificate.

  4. Configurez la base de données pour qu’elle utilise le chiffrement.Set the database to use encryption.

L’exemple ci-dessous illustre le chiffrement et le déchiffrement de la base de données AdventureWorks2012 à l’aide d’un certificat nommé MyServerCert sur le serveur.The following example shows encryption and decryption of the AdventureWorks2012 database using a certificate named MyServerCert that's installed on the server.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';
go
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';
go
USE AdventureWorks2012;
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO
ALTER DATABASE AdventureWorks2012
SET ENCRYPTION ON;
GO

Les opérations de chiffrement et de déchiffrement sont planifiées sur des threads d'arrière-plan par SQL ServerSQL Server.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. Pour consulter l’état de ces opérations, utilisez les vues catalogue et les vues de gestion dynamique décrits dans le tableau plus loin dans cet article.To view the status of these operations, use the catalog views and dynamic management views in the table that appears later in this article.

Attention

Les fichiers de sauvegarde de base de données pour lesquelles TDE est activé sont aussi chiffrés avec la clé de chiffrement de base de données.Backup database files that have TDE enabled are also encrypted with the database encryption key. Ainsi, quand vous restaurez ces sauvegardes, le certificat qui protège la clé de chiffrement de base de données doit être disponible.As a result, when you restore these backups, the certificate that protects the database encryption key must be available. Par conséquent, au-delà de la sauvegarder de la base de données, pensez à conserver les sauvegardes des certificats de serveur.Therefore, in addition to backing up the database, make sure to maintain backups of the server certificates. Si les certificats ne sont plus disponibles, vous perdrez des données.Data loss results if the certificates are no longer available.

Pour plus d'informations, consultez SQL Server Certificates and Asymmetric Keys.For more information, see SQL Server Certificates and Asymmetric Keys.

Commandes et fonctionsCommands and functions

Pour que les instructions suivantes acceptent les certificats TDE, utilisez une clé principale de base de données pour les chiffrer.For the following statements to accept TDE certificates, use a database master key to encrypt them. Si vous les chiffrez par mot de passe uniquement, les instructions les rejettent en tant que chiffreurs.If you encrypt them by password only, the statements reject them as encryptors.

Important

Si vous protégez les certificats par mot de passe après avoir été utilisés par TDE, la base de données devient inaccessible après un redémarrage.If you make the certificates password protected after TDE uses them, the database becomes inaccessible after a restart.

Le tableau suivant fournit des liens et des explications pour les commandes et les fonctions TDE :The following table provides links and explanations of TDE commands and functions:

Commande ou fonctionCommand or function ObjectifPurpose
CREATE DATABASE ENCRYPTION KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) Crée une clé qui chiffre une base de donnéesCreates a key that encrypts a database
ALTER DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) Change la clé qui chiffre une base de donnéesChanges the key that encrypts a database
DROP DATABASE ENCRYPTION KEY (Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) Supprime la clé qui chiffre une base de donnéesRemoves the key that encrypts a database
Options SET d’ALTER DATABASE (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) Présente l’option ALTER DATABASE qui est utilisée pour activer TDEExplains the ALTER DATABASE option that is used to enable TDE

Vues catalogue et vues de gestion dynamiqueCatalog views and dynamic management views

Le tableau suivant indique les vues catalogue et les vues de gestion dynamique du chiffrement transparent des données.The following table shows TDE catalog views and dynamic management views.

Vue catalogue ou vue de gestion dynamiqueCatalog view or dynamic management view ObjectifPurpose
sys.databases (Transact-SQL)sys.databases (Transact-SQL) Vue catalogue qui affiche des informations sur la base de donnéesCatalog view that displays database information
sys.certificates (Transact-SQL)sys.certificates (Transact-SQL) Vue catalogue qui présente les certificats d’une base de donnéesCatalog view that shows the certificates in a database
sys.dm_database_encryption_keys (Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) Vue de gestion dynamique qui fournit des informations sur les clés de chiffrement d’une base de données et sur l’état de chiffrementDynamic management view that provides information about a database's encryption keys and state of encryption

AutorisationsPermissions

Chaque fonctionnalité et commande TDE nécessite des autorisations individuelles, décrites dans les tableaux précédents.Each TDE feature and command has individual permission requirements as described in the tables shown earlier.

La consultation des métadonnées impliquées avec TDE nécessite l’autorisation VIEW DEFINITION sur un certificat.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on a certificate.

ConsidérationsConsiderations

Lorsqu'une analyse de rechiffrement est en cours pour une opération de chiffrement de la base de données, les opérations de maintenance sur la base de données sont désactivées.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. Vous pouvez utiliser le paramètre du mode mono-utilisateur pour la base de données pour effectuer des opérations de maintenance.You can use the single-user mode setting for the database to do maintenance operations. Pour plus d’informations, consultez Définir une base de données en mode mono-utilisateur.For more information, see Set a Database to Single-user Mode.

Utilisez la vue de gestion dynamique sys.dm_database_encryption_keys pour déterminer l’état de chiffrement de la base de données.Use the sys.dm_database_encryption_keys dynamic management view to find the state of database encryption. Pour plus d’informations, consultez la section « Vues catalogue et vues de gestion dynamique » plus haut dans cet article.For more information, see the "Catalog views and dynamic management views" section earlier in this article.

Avec TDE, tous les fichiers et groupes de fichiers d’une base de données sont chiffrés.In TDE, all files and filegroups in a database are encrypted. Si la base de données contient un groupe de fichiers marqué READ ONLY, l’opération de chiffrement de la base de données échoue.If any filegroup in a database is marked READ ONLY, the database encryption operation fails.

Si vous utilisez une base de données dans la mise en miroir de bases de données ou la copie des journaux de transaction, les deux bases de données sont chiffrées.If you use a database in database mirroring or log shipping, both databases are encrypted. Les transactions de journal sont chiffrées quand elles passent de l’une à l’autre.The log transactions are encrypted when sent between them.

Important

Les index de recherche en texte intégral sont chiffrés dès lors qu’une base de données est définie pour le chiffrement.Full-text indexes are encrypted when a database is set for encryption. Les index de ce type qui ont été créés dans une version de SQL Server antérieure à SQL Server 2008 sont importés dans la base de données par SQL Server 2008 ou version ultérieure et sont chiffrés par TDE.Such indexes created in a SQL Server version earlier than SQL Server 2008 are imported into the database by SQL Server 2008 or later and are encrypted by TDE.

Conseil

Pour superviser les changements d’état TDE d’une base de données, utilisez SQL Server Audit ou l’audit SQL Database.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database auditing. Pour SQL Server, TDE est suivi par le groupe d’actions d’audit DATABASE_CHANGE_GROUP, que vous trouverez dans Actions et groupes d’actions SQL Server Audit .For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP, which you can find in SQL Server Audit Action Groups and Actions.

RestrictionsRestrictions

Les opérations suivantes ne sont pas autorisées pendant le chiffrement initial de la base de données, un changement de clé ou le chiffrement de la base de données :The following operations are disallowed during initial database encryption, key change, or database decryption:

  • Suppression d’un fichier dans un groupe de fichiers de base de donnéesDropping a file from a filegroup in a database

  • Suppression d’une base de donnéesDropping a database

  • Mise hors connexion d’une base de donnéesTaking a database offline

  • Détachement d'une base de donnéesDetaching a database

  • Passage d'une base de données ou d'un groupe de fichiers à l'état READ ONLYTransitioning a database or filegroup into a READ ONLY state

Les opérations suivantes ne sont pas autorisées pendant l’exécution des instructions CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY et ALTER DATABASE...SET ENCRYPTION :The following operations are disallowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, and ALTER DATABASE...SET ENCRYPTION statements:

  • Suppression d’un fichier dans un groupe de fichiers de base de donnéesDropping a file from a filegroup in a database

  • Suppression d’une base de donnéesDropping a database

  • Mise hors connexion d’une base de donnéesTaking a database offline

  • Détachement d'une base de donnéesDetaching a database

  • Passage d'une base de données ou d'un groupe de fichiers à l'état READ ONLYTransitioning a database or filegroup into a READ ONLY state

  • Utilisation d’une commande ALTER DATABASEUsing an ALTER DATABASE command

  • Démarrage d’une sauvegarde de base de données ou de fichiers de base de donnéesStarting a database or database-file backup

  • Démarrage d’une restauration de base de données ou de fichiers de base de donnéesStarting a database or database-file restore

  • Création d’un instantanéCreating a snapshot

Les opérations ou conditions suivantes empêchent l’exécution des instructions CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY et ALTER DATABASE...SET ENCRYPTION :The following operations or conditions prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, and ALTER DATABASE...SET ENCRYPTION statements:

  • Une base de données est en lecture seule ou comporte des groupes de fichiers en lecture seule.A database is read-only or has read-only filegroups.

  • Une commande ALTER DATABASE est en cours d’exécution.An ALTER DATABASE command is running.

  • Une sauvegarde de données est en cours d’exécution.A data backup is running.

  • Une base de données est à l’état hors connexion ou en cours de restauration.A database is in an offline or restore condition.

  • Un instantané est en cours.A snapshot is in progress.

  • Des tâches de maintenance de base de données sont en cours d’exécution.Database maintenance tasks are running.

Pendant la création de fichiers de base de données, l’initialisation instantanée des fichiers n’est pas disponible quand TDE est activé.When database files are created, instant file initialization is unavailable when TDE is enabled.

Pour chiffrer une clé de chiffrement de base de données avec une clé asymétrique, celle-ci doit être mise à la disposition d’un fournisseur de gestion de clés extensible.To encrypt a database encryption key with an asymmetric key, the asymmetric key must be on an extensible key-management provider.

Transparent Data Encryption et journaux de transactionsTransparent Data Encryption and transaction logs

Le fait qu’une base de données utilise TDE entraîne la suppression de la partie restante du journal des transactions virtuel actuel.Letting a database use TDE removes the remaining part of the current virtual transaction log. Cette suppression impose la création du journal des transactions suivant.The removal forces creation of the next transaction log. Ce comportement est la garantie qu’aucun texte en clair n’est conservé dans les journaux après que la base de données est définie pour le chiffrement.This behavior guarantees that no clear text is left in the logs after the database is set for encryption.

Pour déterminer l’état du chiffrement des fichiers journaux, consultez la colonne encryption_state dans la vue sys.dm_database_encryption_keys, comme dans l’exemple suivant :To find the status of log-file encryption, see the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;
GO
/* The value 3 represents an encrypted state
   on the database and transaction logs. */
SELECT *
FROM sys.dm_database_encryption_keys
WHERE encryption_state = 3;
GO

Pour plus d’informations sur l’architecture des fichiers journaux SQL ServerSQL Server, consultez Journal des transactions (SQL Server).For more information about the SQL ServerSQL Server log-file architecture, see The Transaction Log (SQL Server).

Avant de changer de clé de chiffrement de base de données, la clé de chiffrement de base de données précédente chiffre toutes les données écrites dans le journal des transactions.Before a database encryption key changes, the previous database encryption key encrypts all data written to the transaction log.

Si vous changez de clé de chiffrement de base de données à deux reprises, vous devez sauvegarder le journal avant de pouvoir changer à nouveau la clé de chiffrement de base de données.If you change a database encryption key twice, you must do a log backup before you can change the database encryption key again.

Transparent Data Encryption et base de données système tempdbTransparent Data Encryption and the tempdb system database

La base de données système tempdb est chiffrée si une autre base de données de l’instance SQL ServerSQL Server est chiffrée à l’aide de TDE.The tempdb system database is encrypted if any other database on the SQL ServerSQL Server instance is encrypted by using TDE. Ce chiffrement peut avoir des conséquences sur le niveau de performance des bases de données non chiffrées sur la même instance SQL ServerSQL Server.This encryption might have a performance effect for unencrypted databases on the same SQL ServerSQL Server instance. Pour plus d’informations sur la base de données système tempdb, consultez Base de données tempdb.For more information about the tempdb system database, see tempdb Database.

Transparent Data Encryption et réplicationTransparent Data Encryption and replication

La réplication ne réplique pas automatiquement sous une forme chiffrée les données d’une base de données pour laquelle TDE est activé.Replication doesn't automatically replicate data from a TDE-enabled database in an encrypted form. Si vous voulez protéger les bases de données de distribution et d’abonné, activez TDE séparément.Separately enable TDE if you want to protect distribution and subscriber databases.

La réplication d’instantané peut stocker les données dans des fichiers intermédiaires non chiffrés comme les fichiers BCP.Snapshot replication can store data in unencrypted intermediate files like BCP files. La distribution initiale des données pour la réplication transactionnelle et de fusion le peut également.The initial data distribution for transactional and merge replication can too. Au cours d’une réplication de ce type, vous pouvez activer le chiffrement pour protéger le canal de communication.During such replication, you can enable encryption to protect the communication channel.

Pour plus d’informations, consultez Activer des connexions chiffrées dans le moteur de base de données (Gestionnaire de configuration SQL Server).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

Transparent Data Encryption et données FILESTREAMTransparent Data Encryption and FILESTREAM data

Les données FILESTREAM ne sont pas chiffrées même quand vous activez TDE.FILESTREAM data isn't encrypted even when you enable TDE.

Analyse Transparent Data EncryptionTransparent Data Encryption scan

Pour activer TDE sur une base de données, SQL ServerSQL Server doit effectuer une analyse de chiffrement.To enable TDE on a database, SQL ServerSQL Server must do an encryption scan. L’analyse lit chaque page des fichiers de données dans le pool de mémoires tampons, puis réécrit les pages chiffrées sur disque.The scan reads each page from the data files into the buffer pool and then writes the encrypted pages back out to disk.

Pour vous permettre de mieux contrôler l’analyse du chiffrement, SQL Server 2019 (15.x)SQL Server 2019 (15.x) intègre l’analyse TDE, qui propose une syntaxe de suspension (« suspend ») et de reprise (« resume »).To give you more control over the encryption scan, SQL Server 2019 (15.x)SQL Server 2019 (15.x) introduces TDE scan, which has a suspend and resume syntax. Vous pouvez ainsi suspendre l’analyse quand le système est soumis à une charge de travail intense ou pendant les heures de pointe et reprendre l’analyse à un moment ultérieur.You can pause the scan while the workload on the system is heavy or during business-critical hours and then resume the scan later.

Pour suspendre l’analyse du chiffrement TDE, utilisez la syntaxe suivante :Use the following syntax to pause the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION SUSPEND;

De la même manière, utilisez la syntaxe suivante pour reprendre l’analyse du chiffrement TDE :Similarly, use the following syntax to resume the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION RESUME;

La colonne encryption_scan_state a été ajoutée à la vue de gestion dynamique sys.dm_database_encryption_keys.The encryption_scan_state column has been added to the sys.dm_database_encryption_keys dynamic management view. Elle indique l’état actuel de l’analyse du chiffrement.It shows the current state of the encryption scan. Il existe également une nouvelle colonne appelée encryption_scan_modify_date qui contient la date et l’heure du dernier changement d’état de l’analyse du chiffrement.There's also a new column called encryption_scan_modify_date, which contains the date and time of the last encryption-scan state change.

Si l’instance SQL ServerSQL Server redémarre alors que l’analyse du chiffrement y est suspendue, un message est consigné dans le journal des erreurs pendant le démarrage.If the SQL ServerSQL Server instance restarts while its encryption scan is suspended, a message is logged in the error log on startup. Le message indique qu’une analyse existante a été suspendue.The message indicates that an existing scan has been paused.

Transparent Data Encryption et extension du pool de mémoires tamponsTransparent Data Encryption and buffer pool extension

Quand vous chiffrez une base de données à l’aide de TDE, les fichiers associés à l’extension du pool de mémoires tampons (BPE) ne sont pas chiffrés.When you encrypt a database using TDE, files related to buffer pool extension (BPE) aren't encrypted. Pour ces fichiers, utilisez des outils de chiffrement comme BitLocker ou EFS au niveau du système de fichiers.For those files, use encryption tools like BitLocker or EFS at the file-system level.

Transparent Data Encryption et OLTP en mémoireTransparent Data Encryption and In-Memory OLTP

Vous pouvez activer TDE sur une base de données contenant des objets OLTP en mémoire.You can enable TDE on a database that has In-Memory OLTP objects. Dans SQL Server 2016 (13.x)SQL Server 2016 (13.x) et Azure SQL DatabaseAzure SQL Database, les enregistrements de journal et les données OLTP en mémoire sont chiffrés si vous activez TDE.In SQL Server 2016 (13.x)SQL Server 2016 (13.x) and Azure SQL DatabaseAzure SQL Database, In-Memory OLTP log records and data are encrypted if you enable TDE. Dans SQL Server 2014 (12.x)SQL Server 2014 (12.x), les enregistrements de journal OLTP en mémoire sont chiffrés si vous activez TDE, mais les fichiers contenus dans le groupe de fichiers MEMORY_OPTIMIZED_DATA ne le sont pas.In SQL Server 2014 (12.x)SQL Server 2014 (12.x), In-Memory OLTP log records are encrypted if you enable TDE, but files in the MEMORY_OPTIMIZED_DATA filegroup are unencrypted.

Déplacer une base de données protégée par le chiffrement transparent des données vers un autre serveur SQL ServerMove a TDE Protected Database to Another SQL Server
Activer le chiffrement transparent des données à l’aide de la gestion de clés extensible (EKM)Enable TDE on SQL Server Using EKM
Gestion de clés extensible à l’aide d’Azure Key Vault (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Transparent Data Encryption avec Azure SQL DatabaseTransparent Data Encryption with Azure SQL Database
Prise en main du chiffrement transparent des données (TDE) sur SQL Data WarehouseGet started with Transparent Data Encryption (TDE) on SQL Data Warehouse
Chiffrement SQL ServerSQL Server Encryption
SQL Server et clés de chiffrement de base de données (moteur de base de données)SQL Server and Database Encryption Keys (Database Engine)

Voir aussiSee also

Centre de sécurité pour le moteur de base de données SQL Server et Azure SQL DatabaseSecurity Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM (SQL Server)FILESTREAM (SQL Server)