Abilitare Transparent Data Encryption (TDE) per Estensione database su Azure (Transact-SQL)

La funzionalità Transparent Data Encryption (TDE) consente di proteggersi da attività dannose eseguendo in tempo reale la crittografia e la decrittografia dei database, dei backup associati e dei file di log delle transazioni inattivi, senza dover apportare modifiche all'applicazione.

TDE esegue la crittografia dell'archiviazione di un intero database usando una chiave simmetrica detta "chiave di crittografia del database". La chiave di crittografia del database è protetta da un certificato server incorporato. Il certificato server incorporato è univoco per ogni server Azure. Microsoft ruota automaticamente questi certificati almeno ogni 90 giorni. Per una descrizione generale della funzionalità TDE, vedere Transparent Data Encryption (TDE).

Abilitazione della crittografia

Per abilitare la funzionalità TDE per un database di Azure che archivia i dati migrati da un database SQL Server con Estensione abilitata, eseguire le operazioni seguenti:

  1. Connettere il database master sul server Azure che ospita il database usando un account di accesso di un amministratore o di un membro del ruolo dbmanager nel database master
  2. Eseguire l'istruzione seguente per crittografare il database.
ALTER DATABASE [database_name] SET ENCRYPTION ON;

Disabilitazione della crittografia

Per disabilitare TDE per un database di Azure che archivia i dati migrati da un database SQL Server con Estensione abilitata, eseguire le operazioni seguenti:

  1. Connettere il database master usando un account di accesso di un amministratore o di un membro del ruolo dbmanager nel database master.
  2. Eseguire l'istruzione seguente per crittografare il database.
ALTER DATABASE [database_name] SET ENCRYPTION OFF;

Verifica della crittografia

Per verificare lo stato della crittografia per un database di Azure che archivia i dati migrati da un database SQL Server con Estensione abilitata, eseguire le operazioni seguenti:

  1. Connettere il database master o dell'istanza usando un account di accesso di un amministratore o di un membro del ruolo dbmanager nel database master.
  2. Eseguire l'istruzione seguente per crittografare il database.
SELECT
    [name],
    [is_encrypted]
FROM
    sys.databases;

Il risultato 1 indica un database crittografato, 0 indica un database non crittografato.