Transparent Data Encryption (TDE)Transparent Data Encryption (TDE)

SI APPLICA A: SìSQL Server SìDatabase SQL di Azure SìAzure Synapse Analytics (SQL Data Warehouse) SìParallel Data Warehouse APPLIES TO: YesSQL Server YesAzure SQL Database YesAzure Synapse Analytics (SQL Data Warehouse) YesParallel Data Warehouse

Transparent Data Encryption (TDE) crittografa i file di dati SQL ServerSQL Server, database SQL di AzureAzure SQL Database e Azure Synapse Analytics (SQL Data Warehouse)Azure Synapse Analytics (SQL Data Warehouse).Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, database SQL di AzureAzure SQL Database, and Azure Synapse Analytics (SQL Data Warehouse)Azure Synapse Analytics (SQL Data Warehouse) data files. Questa crittografia è nota come crittografia dei dati inattivi.This encryption is known as encrypting data at rest.

Per proteggere un database, è possibile adottare precauzioni come:To help secure a database, you can take precautions like:

  • Progettazione di un sistema protetto.Designing a secure system.
  • Crittografia degli asset riservati.Encrypting confidential assets.
  • Creazione di un firewall per i server di database.Building a firewall around the database servers.

Tuttavia, un utente malintenzionato che riesce a sottrarre supporti fisici come le unità o i nastri di backup può ripristinare o collegare il database ed esplorarne i dati.But a malicious party who steals physical media like drives or backup tapes can restore or attach the database and browse its data.

Una soluzione consiste nel crittografare i dati sensibili in un database e usare un certificato per proteggere le chiavi di crittografia dei dati.One solution is to encrypt sensitive data in a database and use a certificate to protect the keys that encrypt the data. Questa soluzione impedisce l'uso dei dati senza le chiavi.This solution prevents anyone without the keys from using the data. È tuttavia necessario pianificare in anticipo questo tipo di protezione.But you must plan this kind of protection in advance.

TDE esegue la crittografia e la decrittografia delle operazioni di I/O di file di dati e log in tempo reale.TDE does real-time I/O encryption and decryption of data and log files. Per la crittografia viene usata una chiave di crittografia del database (DEK).The encryption uses a database encryption key (DEK). Il record di avvio del database archivia la chiave per la disponibilità durante il ripristino.The database boot record stores the key for availability during recovery. La chiave DEK è una chiave simmetrica.The DEK is a symmetric key. È protetta da un certificato archiviato dal database master del server o da una chiave asimmetrica protetta da un modulo EKM.It's secured by a certificate that the server's master database stores or by an asymmetric key that an EKM module protects.

TDE consente di proteggere i dati inattivi, ovvero i file di dati e di log,TDE protects data at rest, which is the data and log files. e assicura la conformità a numerose leggi, normative e linee guida stabilite in vari settori.It lets you follow many laws, regulations, and guidelines established in various industries. Gli sviluppatori di software possono ora crittografare i dati usando gli algoritmi di crittografia AES e 3DES senza modificare applicazioni esistenti.This ability lets software developers encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

Informazioni su TDEAbout TDE

La crittografia di un file di database viene eseguita a livello di pagina.Encryption of a database file is done at the page level. Le pagine di un database crittografato vengono crittografate prima di essere scritte sul disco e decrittografate quando vengono lette in memoria.The pages in an encrypted database are encrypted before they're written to disk and are decrypted when read into memory. L'uso di TDE non comporta un aumento delle dimensioni del database crittografato.TDE doesn't increase the size of the encrypted database.

Informazioni applicabili a Database SQLSQL DatabaseInformation applicable to Database SQLSQL Database

Quando si usa TDE con Database SQLSQL Database V12 il certificato a livello di server archiviato nel database master viene creato automaticamente da Database SQLSQL Database.When you use TDE with Database SQLSQL Database V12, Database SQLSQL Database automatically creates for you the server-level certificate stored in the master database. Per spostare un database TDE in Database SQLSQL Database, non è necessario decrittografare il database per l'operazione di spostamento.To move a TDE database on Database SQLSQL Database, you don't have to decrypt the database for the move operation. Per altre informazioni sull'uso di TDE con Database SQLSQL Database, vedere (TDE) Transparent Data Encryption con il database SQL di Azure.For more information on using TDE with Database SQLSQL Database, see Transparent Data Encryption with Azure SQL Database.

Informazioni applicabili a SQL ServerSQL ServerInformation applicable to SQL ServerSQL Server

Dopo aver protetto un database, è possibile ripristinarlo usando il certificato corretto.After you secure a database, you can restore it by using the correct certificate. Per altre informazioni sui certificati, vedere SQL Server Certificates and Asymmetric Keys.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

Dopo l'abilitazione di TDE, eseguire immediatamente un backup del certificato e della chiave privata associata.After you enable TDE, immediately back up the certificate and its associated private key. Se il certificato risulta non più disponibile o se il database viene ripristinato o collegato in un altro server, saranno necessari i backup del certificato e della chiave privata.If the certificate becomes unavailable, or if you restore or attach the database on another server, you need backups of the certificate and private key. In caso contrario, non sarà possibile aprire il database.Otherwise, you can't open the database.

Conservare il certificato di crittografia anche se si disabilita TDE nel database.Keep the encrypting certificate even if you've disabled TDE on the database. Anche se il database non è crittografato, è possibile che parti del log delle transazioni rimangano protette.Although the database isn't encrypted, parts of the transaction log might remain protected. Il certificato potrebbe anche essere necessario per alcune operazioni fino a quando non si esegue un backup completo del database.You also might need the certificate for some operations until you do a full database backup.

È comunque possibile usare un certificato oltre la data di scadenza per crittografare e decrittografare dati con TDE.You can still use a certificate that exceeds its expiration date to encrypt and decrypt data with TDE.

Gerarchia di crittografiaEncryption hierarchy

La figura seguente illustra l'architettura della crittografia TDE:The following illustration shows the architecture of TDE encryption. Solo gli elementi a livello di database, la chiave di crittografia del database e le parti ALTER DATABASE sono configurabili dall'utente quando si usa TDE in Database SQLSQL Database.Only the database-level items (the database encryption key and ALTER DATABASE portions) are user-configurable when you use TDE on Database SQLSQL Database.

Architettura TDE (Transparent Database Encryption)

Uso della crittografia trasparente dei datiUsing Transparent Data Encryption

Per usare TDE, eseguire le operazioni seguenti:To use TDE, follow these steps.

Si applica a: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.

  1. Creare una chiave master.Create a master key.

  2. Creare o ottenere un certificato protetto dalla chiave master.Create or obtain a certificate protected by the master key.

  3. Creare una chiave di crittografia del database e proteggerla mediante il certificato.Create a database encryption key and protect it by using the certificate.

  4. Impostare il database per l'uso della crittografia.Set the database to use encryption.

L'esempio seguente illustra come crittografare e decrittografare il database AdventureWorks2012 usando un certificato denominato MyServerCert installato nel server.The following example shows encryption and decryption of the AdventureWorks2012 database using a certificate named MyServerCert that's installed on the server.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';
go
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';
go
USE AdventureWorks2012;
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO
ALTER DATABASE AdventureWorks2012
SET ENCRYPTION ON;
GO

Le operazioni di crittografia e decrittografia sono pianificate sui thread di background da SQL ServerSQL Server.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. Per visualizzare lo stato di queste operazioni, usare le viste del catalogo e le viste a gestione dinamica nella tabella riportata più avanti in questo argomento.To view the status of these operations, use the catalog views and dynamic management views in the table that appears later in this article.

Attenzione

Anche i file di backup dei database in cui è abilitata la funzionalità TDE vengono crittografati tramite la chiave di crittografia del database.Backup database files that have TDE enabled are also encrypted with the database encryption key. Di conseguenza, quando questi backup vengono ripristinati, è necessario che sia disponibile il certificato che protegge la chiave di crittografia del database.As a result, when you restore these backups, the certificate that protects the database encryption key must be available. Quindi, oltre a eseguire un backup del database, assicurarsi di conservare i backup dei certificati del server.Therefore, in addition to backing up the database, make sure to maintain backups of the server certificates. Se il certificato non è più disponibile, si verificherà la perdita di dati.Data loss results if the certificates are no longer available.

Per altre informazioni, vedere SQL Server Certificates and Asymmetric Keys.For more information, see SQL Server Certificates and Asymmetric Keys.

Comandi e funzioniCommands and functions

Affinché le istruzioni seguenti accettino certificati TDE, usare una chiave master del database per crittografarli.For the following statements to accept TDE certificates, use a database master key to encrypt them. Se vengono crittografati solo tramite password, verranno rifiutati dalle istruzioni come componenti di crittografia.If you encrypt them by password only, the statements reject them as encryptors.

Importante

Se si proteggono i certificati con password dopo l'uso da parte di TDE, il database diventa inaccessibile dopo un riavvio.If you make the certificates password protected after TDE uses them, the database becomes inaccessible after a restart.

Nella tabella seguente sono inclusi collegamenti e spiegazioni delle funzioni e dei comandi correlati a TDE:The following table provides links and explanations of TDE commands and functions:

Comando o funzioneCommand or function ScopoPurpose
CREATE DATABASE ENCRYPTION KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) Crea una chiave per la crittografia di un databaseCreates a key that encrypts a database
ALTER DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) Modifica la chiave per la crittografia di un databaseChanges the key that encrypts a database
DROP DATABASE ENCRYPTION KEY (Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) Rimuove la chiave per la crittografia di un databaseRemoves the key that encrypts a database
Opzioni ALTER DATABASE SET (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) Descrive l'opzione ALTER DATABASE usata per abilitare TDEExplains the ALTER DATABASE option that is used to enable TDE

Viste del catalogo e DMVCatalog views and dynamic management views

Nella tabella seguente vengono illustrate le viste del catalogo e le viste a gestione dinamica di TDE.The following table shows TDE catalog views and dynamic management views.

Vista del catalogo e vista a gestione dinamicaCatalog view or dynamic management view ScopoPurpose
sys.databases (Transact-SQL)sys.databases (Transact-SQL) Vista del catalogo che consente di visualizzare le informazioni del databaseCatalog view that displays database information
sys.certificates (Transact-SQL)sys.certificates (Transact-SQL) Vista del catalogo che consente di visualizzare i certificati in un databaseCatalog view that shows the certificates in a database
sys.dm_database_encryption_keys (Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) DMV che fornisce informazioni sulle chiavi di crittografia e lo stato della crittografia di un databaseDynamic management view that provides information about a database's encryption keys and state of encryption

AutorizzazioniPermissions

Ogni funzionalità e comando di TDE ha requisiti specifici relativi alle autorizzazioni, descritti nelle tabelle precedenti.Each TDE feature and command has individual permission requirements as described in the tables shown earlier.

La visualizzazione dei metadati interessati da TDE richiede l'autorizzazione VIEW DEFINITION per il certificato.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on a certificate.

ConsiderazioniConsiderations

Durante un'analisi di una nuova crittografia di un database, le operazioni di manutenzione per il database sono disabilitate.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. È possibile usare l'impostazione della modalità utente singolo per il database per eseguire operazioni di manutenzione.You can use the single-user mode setting for the database to do maintenance operations. Per altre informazioni, vedere Impostare un database in modalità utente singolo.For more information, see Set a Database to Single-user Mode.

Usare la DMV sys.dm_database_encryption_keys per determinare lo stato della crittografia del database.Use the sys.dm_database_encryption_keys dynamic management view to find the state of database encryption. Per altre informazioni, vedere la sezione "Viste del catalogo e DMV" più indietro in questo argomento.For more information, see the "Catalog views and dynamic management views" section earlier in this article.

Con TDE vengono crittografati tutti i file e i filegroup in un database.In TDE, all files and filegroups in a database are encrypted. Se un database include un filegroup contrassegnato come READ ONLY, l'operazione di crittografia del database ha esito negativo.If any filegroup in a database is marked READ ONLY, the database encryption operation fails.

Se si usa un database per il mirroring del database o il log shipping, entrambi i database vengono crittografati.If you use a database in database mirroring or log shipping, both databases are encrypted. Le transazioni del log vengono crittografate quando vengono inviate tra i database.The log transactions are encrypted when sent between them.

Importante

Gli indici full-text vengono crittografati quando un database viene impostato per la crittografia.Full-text indexes are encrypted when a database is set for encryption. Gli indici creati in una versione di SQL Server precedente a SQL Server 2008 vengono importati nel database da SQL Server 2008 o versioni successive e crittografati con TDE.Such indexes created in a SQL Server version earlier than SQL Server 2008 are imported into the database by SQL Server 2008 or later and are encrypted by TDE.

Suggerimento

Per monitorare le modifiche dello stato TDE di un database, usare SQL Server Audit o il servizio di controllo del database SQL.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database auditing. Per SQL Server, lo stato TDE è registrato nel gruppo di azioni di controllo DATABASE_CHANGE_GROUP, disponibile in Azioni e gruppi di azioni di SQL Server Audit.For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP, which you can find in SQL Server Audit Action Groups and Actions.

RestrizioniRestrictions

Durante le operazioni di crittografia del database iniziale, modifica della chiave o decrittografia del database, non sono consentite le operazioni seguenti:The following operations are disallowed during initial database encryption, key change, or database decryption:

  • Eliminazione di un file da un filegroup in un databaseDropping a file from a filegroup in a database

  • Rimozione di un databaseDropping a database

  • Attivazione della modalità offline per un databaseTaking a database offline

  • Scollegamento di un databaseDetaching a database

  • Transizione di un database o filegroup in un stato READ ONLYTransitioning a database or filegroup into a READ ONLY state

Le operazioni seguenti non sono consentite durante l'esecuzione delle istruzioni CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY e ALTER DATABASE...SET ENCRYPTION:The following operations are disallowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, and ALTER DATABASE...SET ENCRYPTION statements:

  • Eliminazione di un file da un filegroup in un databaseDropping a file from a filegroup in a database

  • Rimozione di un databaseDropping a database

  • Attivazione della modalità offline per un databaseTaking a database offline

  • Scollegamento di un databaseDetaching a database

  • Transizione di un database o filegroup in un stato READ ONLYTransitioning a database or filegroup into a READ ONLY state

  • Uso di un comando ALTER DATABASEUsing an ALTER DATABASE command

  • Avvio del backup di un database o di un file di databaseStarting a database or database-file backup

  • Avvio del ripristino di un database o di un file di databaseStarting a database or database-file restore

  • Creazione di uno snapshotCreating a snapshot

Le operazioni o condizioni seguenti impediscono l'esecuzione delle istruzioni CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY e ALTER DATABASE...SET ENCRYPTION:The following operations or conditions prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, and ALTER DATABASE...SET ENCRYPTION statements:

  • Un database è di sola lettura o contiene filegroup di sola lettura.A database is read-only or has read-only filegroups.

  • È in corso l'esecuzione di un comando ALTER DATABASE.An ALTER DATABASE command is running.

  • È in corso l'esecuzione di un backup dei dati.A data backup is running.

  • Un database è offline o è in corso di ripristino.A database is in an offline or restore condition.

  • Uno snapshot è in corso.A snapshot is in progress.

  • Le attività di manutenzione del database sono in esecuzione.Database maintenance tasks are running.

Durante la creazione dei file di database, l'inizializzazione immediata dei file non è disponibile se è abilitata la crittografia TDE.When database files are created, instant file initialization is unavailable when TDE is enabled.

Per crittografare la chiave di crittografia del database con una chiave asimmetrica, è necessario che quest'ultima risieda in un provider EKM (Extensible Key Management).To encrypt a database encryption key with an asymmetric key, the asymmetric key must be on an extensible key-management provider.

TDE (Transparent Data Encryption) e log delle transazioniTransparent Data Encryption and transaction logs

Se si consente a un database di usare TDE, viene rimossa la parte rimanente del log delle transazioni virtuale corrente.Letting a database use TDE removes the remaining part of the current virtual transaction log. La rimozione forza la creazione del log delle transazioni successivo.The removal forces creation of the next transaction log. Questo comportamento garantisce che non rimanga alcun testo non crittografato nei log dopo l'impostazione del database per la crittografia.This behavior guarantees that no clear text is left in the logs after the database is set for encryption.

Per determinare lo stato di crittografia dei file di log, vedere la colonna encryption_state nella vista sys.dm_database_encryption_keys, come in questo esempio:To find the status of log-file encryption, see the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;
GO
/* The value 3 represents an encrypted state
   on the database and transaction logs. */
SELECT *
FROM sys.dm_database_encryption_keys
WHERE encryption_state = 3;
GO

Per altre informazioni sull'architettura del file di log di SQL ServerSQL Server, vedere Log delle transazioni (SQL Server).For more information about the SQL ServerSQL Server log-file architecture, see The Transaction Log (SQL Server).

Prima della modifica della chiave di crittografia del database, la chiave di crittografia del database precedente crittografa tutti i dati scritti nel log delle transazioni.Before a database encryption key changes, the previous database encryption key encrypts all data written to the transaction log.

Se si modifica una chiave di crittografia del database due volte, è necessario eseguire un backup del log prima di poter modificare di nuovo la chiave di crittografia del database.If you change a database encryption key twice, you must do a log backup before you can change the database encryption key again.

TDE (Transparent Data Encryption) e database di sistema tempdbTransparent Data Encryption and the tempdb system database

Il database di sistema tempdb viene crittografato se altri database nell'istanza di SQL ServerSQL Server vengono crittografati tramite TDE.The tempdb system database is encrypted if any other database on the SQL ServerSQL Server instance is encrypted by using TDE. La crittografia potrebbe influire sulle prestazioni dei database non crittografati presenti nella stessa istanza di SQL ServerSQL Server.This encryption might have a performance effect for unencrypted databases on the same SQL ServerSQL Server instance. Per altre informazioni sul database di sistema tempdb, vedere Database tempdb.For more information about the tempdb system database, see tempdb Database.

TDE (Transparent Data Encryption) e replicaTransparent Data Encryption and replication

La replica non consente di replicare automaticamente dati da un database abilitato per TDE in un formato crittografato.Replication doesn't automatically replicate data from a TDE-enabled database in an encrypted form. Per proteggere i database di distribuzione e del Sottoscrittore, abilitare separatamente TDE.Separately enable TDE if you want to protect distribution and subscriber databases.

La replica snapshot può archiviare dati in file intermedi non crittografati, come i file BCP,Snapshot replication can store data in unencrypted intermediate files like BCP files. così come la distribuzione iniziale dei dati per la replica transazionale e di tipo merge.The initial data distribution for transactional and merge replication can too. Durante questo tipo di replica, è possibile abilitare la crittografia per proteggere il canale di comunicazione.During such replication, you can enable encryption to protect the communication channel.

Per altre informazioni, vedere Abilitare le connessioni crittografate al motore di database (Gestione configurazione SQL Server).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

TDE (Transparent Data Encryption) e dati FILESTREAMTransparent Data Encryption and FILESTREAM data

I dati FILESTREAM non vengono crittografati anche quando si abilita TDE.FILESTREAM data isn't encrypted even when you enable TDE.

Analisi TDE (Transparent Data Encryption)Transparent Data Encryption scan

Per abilitare TDE per un database, SQL ServerSQL Server deve eseguire un'analisi della crittografia.To enable TDE on a database, SQL ServerSQL Server must do an encryption scan. L'analisi legge ogni pagina dai file di dati nel pool di buffer e quindi scrive le pagine crittografate di nuovo su disco.The scan reads each page from the data files into the buffer pool and then writes the encrypted pages back out to disk.

Per avere un maggiore controllo sull'analisi della crittografia, SQL Server 2019 (15.x)SQL Server 2019 (15.x) introduce l'analisi TDE, che include una sintassi per sospensione e ripresa.To give you more control over the encryption scan, SQL Server 2019 (15.x)SQL Server 2019 (15.x) introduces TDE scan, which has a suspend and resume syntax. È possibile sospendere l'analisi mentre il carico di lavoro nel sistema è elevato o durante le ore di picco delle attività aziendali e quindi riprendere l'analisi in un secondo momento.You can pause the scan while the workload on the system is heavy or during business-critical hours and then resume the scan later.

Per sospendere l'analisi della crittografia TDE, usare la sintassi seguente:Use the following syntax to pause the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION SUSPEND;

In modo analogo, per sospendere l'analisi della crittografia TDE, usare la sintassi seguente:Similarly, use the following syntax to resume the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION RESUME;

La colonna encryption_scan_state è stata aggiunta alla DMV sys.dm_database_encryption_keys.The encryption_scan_state column has been added to the sys.dm_database_encryption_keys dynamic management view. Indica lo stato corrente dell'analisi della crittografia.It shows the current state of the encryption scan. È disponibile anche una nuova colonna denominata encryption_scan_modify_date, che contiene la data e l'ora dell'ultima modifica dello stato di analisi della crittografia.There's also a new column called encryption_scan_modify_date, which contains the date and time of the last encryption-scan state change.

Se l'istanza di SQL ServerSQL Server viene riavviata durante la sospensione dell'analisi della crittografia, viene registrato un messaggio nel log degli errori all'avvio.If the SQL ServerSQL Server instance restarts while its encryption scan is suspended, a message is logged in the error log on startup. Il messaggio indica che un'analisi esistente è stata sospesa.The message indicates that an existing scan has been paused.

TDE (Transparent Data Encryption) ed estensione del pool di bufferTransparent Data Encryption and buffer pool extension

Quando si crittografa un database tramite TDE, i file correlati all'estensione del pool di buffer non vengono crittografati.When you encrypt a database using TDE, files related to buffer pool extension (BPE) aren't encrypted. Per questi file, usare strumenti di crittografia come BitLocker o EFS a livello di file system.For those files, use encryption tools like BitLocker or EFS at the file-system level.

Transparent Data Encryption e OLTP in memoriaTransparent Data Encryption and In-Memory OLTP

È possibile abilitare TDE in un database contenente oggetti OLTP in memoria.You can enable TDE on a database that has In-Memory OLTP objects. In SQL Server 2016 (13.x)SQL Server 2016 (13.x) e database SQL di AzureAzure SQL Database i dati e i record del log OLTP in memoria vengono crittografati se si abilita TDE.In SQL Server 2016 (13.x)SQL Server 2016 (13.x) and database SQL di AzureAzure SQL Database, In-Memory OLTP log records and data are encrypted if you enable TDE. In SQL Server 2014 (12.x)SQL Server 2014 (12.x) i record del log OLTP in memoria vengono crittografati se si abilita TDE, ma non vengono crittografati i file nel filegroup MEMORY_OPTIMIZED_DATA.In SQL Server 2014 (12.x)SQL Server 2014 (12.x), In-Memory OLTP log records are encrypted if you enable TDE, but files in the MEMORY_OPTIMIZED_DATA filegroup are unencrypted.

Spostare un database protetto da TDE in un'altra istanza di SQL ServerMove a TDE Protected Database to Another SQL Server
Abilitare TDE in SQL Server con EKMEnable TDE on SQL Server Using EKM
Extensible Key Management con Azure Key Vault (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Transparent Data Encryption con il database SQL di AzureTransparent Data Encryption with Azure SQL Database
Introduzione a Transparent Data Encryption (TDE) in SQL Data WarehouseGet started with Transparent Data Encryption (TDE) on SQL Data Warehouse
Crittografia di SQL ServerSQL Server Encryption
Chiavi di crittografia del database e di SQL Server (Motore di database)SQL Server and Database Encryption Keys (Database Engine)

Vedere ancheSee also

Centro sicurezza per il motore di Database di SQL Server e il Database SQL di AzureSecurity Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM (SQL Server)FILESTREAM (SQL Server)