Esercitazione: Eseguire la migrazione di database abilitati per TDE (anteprima) ad Azure SQL in Azure Data Studio

  • Articolo

Per proteggere un database di SQL Server, è possibile adottare precauzioni come la progettazione di un sistema sicuro, la crittografia degli asset riservati e la creazione di un firewall. Tuttavia, il furto fisico di supporti come unità o nastri può comunque compromettere i dati.

TDE offre una soluzione a questo problema, con crittografia/decrittografia in tempo reale dei dati inattivi (file di dati e di log) usando una chiave DEK (Symmetric Database Encryption Key) protetta da un certificato. Per altre informazioni sulla migrazione manuale dei certificati TDE, vedere Spostare manualmente un database protetto TDE in un altro SQL Server.

Quando si esegue la migrazione di un database protetto da TDE, anche il certificato (chiave asimmetrica) usata per aprire la chiave di crittografia del database (DEK) deve essere spostato insieme al database di origine. Pertanto, è necessario ricreare il certificato server nel master database di SQL Server di destinazione per l'accesso ai file di database.

È possibile usare l'estensione Migrazione SQL di Azure per Azure Data Studio per facilitare la migrazione di database abilitati per TDE (anteprima) da un'istanza locale di SQL Server ad Azure SQL.

Il processo di migrazione del database abilitato per TDE automatizza le attività manuali, ad esempio il backup delle chiavi del certificato del database (DEK), la copia dei file di certificato dall'istanza locale di SQL Server alla destinazione SQL di Azure e la riconfigurazione di TDE per il database di destinazione.

Importante

  1. Attualmente sono supportate solo Istanza gestita di SQL di Azure destinazioni.
  2. E i backup crittografati non sono supportati.

Questa esercitazione illustra come eseguire la migrazione del database crittografato di esempio AdventureWorksTDE da un'istanza locale di SQL Server a un'istanza gestita di SQL di Azure.

  • Aprire la procedura guidata Eseguire la migrazione ad Azure SQL in Azure Data Studio
  • Eseguire una valutazione dei database SQL Server di origine
  • Configurare la migrazione dei certificati TDE
  • Connessione alla destinazione SQL di Azure
  • Avviare la migrazione del certificato TDE e monitorare lo stato di avanzamento fino al completamento

Prerequisiti

Prima di iniziare l'esercitazione:

  • Scaricare e installare Azure Data Studio.

  • Installare l'estensione Migrazione SQL di Azure da Azure Data Studio Marketplace.

  • Eseguire Azure Data Studio come Amministrazione istrator.

  • Avere un account Azure assegnato a uno dei ruoli predefiniti seguenti:

    • Collaboratore per l'istanza gestita di destinazione (e Archiviazione account per caricare i backup dei file di certificato TDE dalla condivisione di rete SMB).
    • Ruolo lettore per i gruppi di risorse di Azure contenenti l'istanza gestita di destinazione o l'account di archiviazione di Azure.
    • Ruolo Proprietario o Collaboratore per la sottoscrizione di Azure (obbligatorio se si crea un nuovo servizio Servizio Migrazione del database).
    • In alternativa all'uso dei ruoli predefiniti precedenti, è possibile assegnare un ruolo personalizzato. Per altre informazioni, vedere Ruoli personalizzati: Sql Server online per Istanza gestita di SQL migrazioni tramite ADS.

  • Creare un'istanza di destinazione di Istanza gestita di SQL di Azure.

  • Assicurarsi che l'account di accesso usato per connettersi all'origine di SQL Server sia membro del ruolo del server sysadmin .

  • Il computer in cui Azure Data Studio esegue la migrazione del database abilitata per TDE deve avere connettività a entrambe le origini e ai server SQL di destinazione.

Aprire la procedura guidata Eseguire la migrazione ad Azure SQL in Azure Data Studio

Per aprire la procedura guidata Esegui la migrazione ad Azure SQL:

  1. In Azure Data Studio passare a Connessione ions. Connessione all'istanza locale di SQL Server. È anche possibile connettersi a SQL Server in una macchina virtuale di Azure.

  2. Fare clic con il pulsante destro del mouse sulla connessione al server e scegliere Gestisci.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. Nel menu del server in Generale selezionare Migrazione SQL di Azure.

    Screenshot that shows the Azure Data Studio server menu.

  4. Nel dashboard di Migrazione SQL di Azure selezionare Migrate to Azure SQL (Eseguire la migrazione a SQL di Azure) per aprire la migrazione guidata.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. Nella prima pagina della procedura guidata avviare una nuova sessione o riprendere una sessione salvata in precedenza.

Eseguire la valutazione del database

  1. Nel passaggio 1: Database per la valutazione nella procedura guidata Eseguire la migrazione a SQL di Azure selezionare i database da valutare. Quindi seleziona Avanti.

    Screenshot that shows selecting a database for assessment.

  2. Nel passaggio 2: Risultati della valutazione completare i passaggi seguenti:

    1. In Scegliere la destinazione SQL di Azure selezionare Istanza gestita di SQL di Azure.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Selezionare Visualizza/Seleziona per visualizzare i risultati della valutazione.

      Screenshot that shows view/select assessment results.

    3. Nei risultati della valutazione selezionare il database e quindi esaminare i risultati della valutazione. In questo esempio è possibile vedere che il AdventureWorksTDE database è protetto con Transparent Data Encryption (TDE). La valutazione consiglia di eseguire la migrazione del certificato TDE prima di eseguire la migrazione del database di origine alla destinazione dell'istanza gestita.

      Screenshot that shows assessment findings report.

    4. Scegliere Seleziona per aprire il pannello di configurazione della migrazione TDE.

Configurare le impostazioni di migrazione TDE

  1. Nella sezione Database crittografato selezionato selezionare Esporta certificati personali e chiave privata nella destinazione.

    Screenshot that shows the TDE migration configuration.

    Importante

    La sezione Info box descrive le autorizzazioni necessarie per esportare i certificati DEK.

    È necessario assicurarsi che l'account del servizio SQL Server abbia accesso in scrittura al percorso di condivisione di rete che verrà usato per eseguire il backup dei certificati DEK. Inoltre, l'utente corrente deve disporre dei privilegi di amministratore nel computer in cui è presente questo percorso di rete.

  2. Immettere il percorso di rete.

    Screenshot that shows the TDE migration configuration for a network share.

    Controllare quindi di concedere il consenso per usare le credenziali per l'accesso ai certificati. Con questa azione si consente alla migrazione guidata del database di eseguire il backup del certificato DEK nella condivisione di rete.

  3. Se non si vuole eseguire la migrazione guidata, è possibile eseguire la migrazione dei database abilitati per TDE. Selezionare Non si vuole che Azure Data Studio esportare i certificati. Per ignorare questo passaggio.

    Screenshot that shows how to decline the TDE migration.

    Importante

    È necessario eseguire la migrazione dei certificati prima di procedere con la migrazione. In caso contrario, la migrazione avrà esito negativo. Per altre informazioni sulla migrazione manuale dei certificati TDE, vedere Spostare manualmente un database protetto TDE in un altro SQL Server.

  4. Se si vuole procedere con la migrazione della certificazione TDE, selezionare Applica.

    Screenshot that shows how to apply the TDE migration configuration.

    Il pannello di configurazione della migrazione TDE verrà chiuso, ma è possibile selezionare Modifica per modificare la configurazione della condivisione di rete in qualsiasi momento. Selezionare Avanti per continuare il processo di migrazione.

    Screenshot that shows how to edit the TDE migration configuration.

Configurare le impostazioni di migrazione

Nel passaggio 3: Destinazione SQL di Azure nella procedura guidata Eseguire la migrazione a SQL di Azure completare questi passaggi per l'istanza gestita di destinazione:

  1. Selezionare l'account Azure, la sottoscrizione di Azure, l'area o la località di Azure e il gruppo di risorse che contiene l'istanza gestita.

    Screenshot that shows Azure account details.

  2. Quando si è pronti, selezionare Eseguire la migrazione dei certificati per avviare la migrazione dei certificati TDE.

Avviare e monitorare la migrazione del certificato TDE

  1. In Passaggio 3: Stato migrazione verrà aperto il pannello Migrazione certificati. I dettagli sullo stato di avanzamento della migrazione dei certificati TDE vengono visualizzati sullo schermo.

    Screenshot that shows how the TDE migration process starts.

  2. Una volta completata la migrazione TDE (o in caso di errori), nella pagina vengono visualizzati gli aggiornamenti pertinenti.

    Screenshot that shows how the TDE migration process continues.

  3. Nel caso in cui sia necessario ripetere la migrazione, selezionare Riprovare la migrazione.

    Screenshot that shows how to retry the TDE migration.

  4. Quando si è pronti, selezionare Fine per continuare la migrazione guidata.

    Screenshot that shows how to complete the TDE migration.

  5. È possibile monitorare il processo per ogni certificato TDE selezionando Eseguire la migrazione dei certificati.

  6. Selezionare Avanti per continuare la migrazione guidata fino a quando non si completa la migrazione del database.

    Screenshot that shows how to continue the database migration.

    Per altre informazioni sulla migrazione online o offline alle destinazioni Istanza gestita di SQL di Azure, vedere le esercitazioni dettagliate seguenti:

Passaggi post-migrazione

L'istanza gestita di destinazione dovrebbe ora avere i database e i rispettivi certificati migrati. Per verificare lo stato corrente del database migrato di recente, copiare e incollare l'esempio seguente in una nuova finestra di query in Azure Data Studio mentre è connessa alla destinazione dell'istanza gestita. Selezionare quindi Esegui.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

La query restituisce le informazioni sul database, lo stato di crittografia e la percentuale di completamento in sospeso. In questo caso, è zero perché il certificato TDE è già stato completato.

Screenshot that shows the results returned by the TDE query provided in this section.

Per altre informazioni sulla crittografia con SQL Server, vedere Transparent Data Encryption (TDE).

Limiti

La tabella seguente descrive lo stato corrente delle migrazioni di database abilitate per TDE supportate dalla destinazione SQL di Azure:

Destinazione Supporto Status
Database SQL di Microsoft Azure No
Istanza gestita di SQL di Azure Anteprima
SQL Server in una macchina virtuale Azure No

Contenuto correlato