Tutorial: Migrar bancos de dados habilitados para TDE (visualização) para o SQL do Azure no Azure Data Studio

  • Artigo

Para proteger um banco de dados do SQL Server, você pode tomar precauções como projetar um sistema seguro, criptografar ativos confidenciais e criar um firewall. No entanto, o roubo físico de mídia, como unidades ou fitas, ainda pode comprometer os dados.

A TDE fornece uma solução para esse problema, com criptografia/descriptografia de E/S em tempo real de dados em repouso (dados e arquivos de log) usando uma chave de criptografia de banco de dados simétrica (DEK) protegida por um certificado. Para obter mais informações sobre como migrar certificados TDE manualmente, consulte Mover um banco de dados protegido por TDE para outro SQL Server.

Quando você migra um banco de dados protegido por TDE, o certificado (chave assimétrica) usado para abrir a chave de criptografia do banco de dados (DEK) também deve ser movido junto com o banco de dados de origem. Portanto, você precisa recriar o master certificado do servidor no banco de dados do SQL Server de destino para essa instância para acessar os arquivos de banco de dados.

Você pode usar a extensão de migração SQL do Azure para o Azure Data Studio para ajudá-lo a migrar bancos de dados habilitados para TDE (visualização) de uma instância local do SQL Server para o Azure SQL.

O processo de migração de banco de dados habilitado para TDE automatiza tarefas manuais, como fazer backup das chaves de certificado de banco de dados (DEK), copiar os arquivos de certificado do SQL Server local para o destino SQL do Azure e, em seguida, reconfigurar o TDE para o banco de dados de destino novamente.

Importante

  1. Atualmente, apenas os destinos da Instância Gerenciada SQL do Azure são suportados.
  2. E backups criptografados não são suportados.

Neste tutorial, você aprenderá a migrar o banco de dados criptografado de exemplo AdventureWorksTDE de uma instância local do SQL Server para uma instância gerenciada do SQL do Azure.

  • Abra o assistente Migrar para o Azure SQL no Azure Data Studio
  • Executar uma avaliação dos bancos de dados SQL Server de origem
  • Configurar a migração de certificados TDE
  • Conectar-se ao seu destino SQL do Azure
  • Inicie a migração do certificado TDE e monitore o progresso até a conclusão

Pré-requisitos

Antes de começar o tutorial:

  • Baixe e instale o Azure Data Studio.

  • Instale a extensão de migração SQL do Azure a partir do Azure Data Studio Marketplace.

  • Execute o Azure Data Studio como Administrador.

  • Ter uma conta do Azure atribuída a uma das seguintes funções internas:

    • Colaborador da instância gerenciada de destino (e Conta de Armazenamento para carregar seus backups dos arquivos de certificado TDE do compartilhamento de rede SMB).
    • Função de leitor para os Grupos de Recursos do Azure que contêm a instância gerenciada de destino ou a conta de armazenamento do Azure.
    • Função de Proprietário ou Colaborador para a subscrição do Azure (necessária se estiver a criar um novo serviço DMS).
    • Como alternativa ao uso das funções internas acima, você pode atribuir uma função personalizada. Para obter mais informações, consulte Funções personalizadas: migrações online do SQL Server para instância gerenciada do SQL usando ADS.

  • Crie uma instância de destino da Instância Gerenciada SQL do Azure.

  • Verifique se o logon que você usa para se conectar à fonte do SQL Server é membro da função de servidor sysadmin .

  • A máquina na qual o Azure Data Studio executa a migração de banco de dados habilitada para TDE deve ter conectividade com os servidores SQL de origem e de destino.

Abra o assistente Migrar para o Azure SQL no Azure Data Studio

Para abrir o assistente Migrar para o Azure SQL:

  1. No Azure Data Studio, vá para Conexões. Conecte-se à sua instância local do SQL Server. Você também pode se conectar ao SQL Server em uma máquina virtual do Azure.

  2. Clique com o botão direito do mouse na conexão do servidor e selecione Gerenciar.

    Screenshot that shows a server connection and the Manage option in Azure Data Studio.

  3. No menu do servidor em Geral, selecione Migração SQL do Azure.

    Screenshot that shows the Azure Data Studio server menu.

  4. No painel de Migração do SQL do Azure, selecione Migrar para o Azure SQL para abrir o assistente de migração.

    Screenshot that shows the Migrate to Azure SQL wizard.

  5. Na primeira página do assistente, inicie uma nova sessão ou retome uma sessão salva anteriormente.

Executar avaliação de banco de dados

  1. Em Etapa 1: Bancos de dados para avaliação no assistente Migrar para o Azure SQL, selecione os bancos de dados que você deseja avaliar. Em seguida, selecione Seguinte.

    Screenshot that shows selecting a database for assessment.

  2. Na Etapa 2: Resultados da avaliação, conclua as seguintes etapas:

    1. Em Escolha seu destino SQL do Azure, selecione Instância Gerenciada SQL do Azure.

      Screenshot that shows selecting the Azure SQL Managed Instance target.

    2. Selecione Exibir/Selecionar para visualizar os resultados da avaliação.

      Screenshot that shows view/select assessment results.

    3. Nos resultados da avaliação, selecione o banco de dados e revise os resultados da avaliação. Neste exemplo, você pode ver que o AdventureWorksTDE banco de dados está protegido com criptografia de dados transparente (TDE). A avaliação recomenda migrar o certificado TDE antes de migrar o banco de dados de origem para o destino da instância gerenciada.

      Screenshot that shows assessment findings report.

    4. Escolha Select (Selecionar ) para abrir o painel de configuração de migração TDE.

Definir configurações de migração TDE

  1. Na seção Banco de dados criptografado selecionado, selecione Exportar meus certificados e chave privada para o destino.

    Screenshot that shows the TDE migration configuration.

    Importante

    A seção Caixa de informações descreve as permissões necessárias para exportar os certificados DEK.

    Você deve garantir que a conta de serviço do SQL Server tenha acesso de gravação ao caminho de compartilhamento de rede que você usará para fazer backup dos certificados DEK. Além disso, o usuário atual deve ter privilégios de administrador no computador onde esse caminho de rede existe.

  2. Insira o caminho de rede.

    Screenshot that shows the TDE migration configuration for a network share.

    Em seguida, verifique se dou consentimento para usar minhas credenciais para acessar os certificados. Com essa ação, você está permitindo que o assistente de migração de banco de dados faça backup do seu certificado DEK no compartilhamento de rede.

  3. Se você não quiser o assistente de migração, ajude a migrar bancos de dados habilitados para TDE. Selecione Não quero que o Azure Data Studio exporte os certificados. para ignorar esta etapa.

    Screenshot that shows how to decline the TDE migration.

    Importante

    Você deve migrar os certificados antes de prosseguir com a migração, caso contrário, a migração falhará. Para obter mais informações sobre como migrar certificados TDE manualmente, consulte Mover um banco de dados protegido por TDE para outro SQL Server.

  4. Se quiser prosseguir com a migração da certificação TDE, selecione Aplicar.

    Screenshot that shows how to apply the TDE migration configuration.

    O painel de configuração de migração TDE será fechado, mas você pode selecionar Editar para modificar sua configuração de compartilhamento de rede a qualquer momento. Selecione Avançar para continuar o processo de migração.

    Screenshot that shows how to edit the TDE migration configuration.

Configurar as definições da migração

Na Etapa 3: Destino SQL do Azure no assistente Migrar para o Azure SQL, conclua estas etapas para sua instância gerenciada de destino:

  1. Selecione sua conta do Azure, a assinatura do Azure, a região ou local do Azure e o grupo de recursos que contém a instância gerenciada.

    Screenshot that shows Azure account details.

  2. Quando estiver pronto, selecione Migrar certificados para iniciar a migração de certificados TDE.

Iniciar e monitorar a migração do certificado TDE

  1. Na Etapa 3: Status da migração, o painel Migração de certificados será aberto. Os detalhes do progresso da migração de certificados TDE são mostrados na tela.

    Screenshot that shows how the TDE migration process starts.

  2. Quando a migração TDE for concluída (ou se tiver falhas), a página exibirá as atualizações relevantes.

    Screenshot that shows how the TDE migration process continues.

  3. Caso precise repetir a migração, selecione Repetir migração.

    Screenshot that shows how to retry the TDE migration.

  4. Quando estiver pronto, selecione Concluído para continuar o assistente de migração.

    Screenshot that shows how to complete the TDE migration.

  5. Você pode monitorar o processo para cada certificado TDE selecionando Migrar certificados.

  6. Selecione Avançar para continuar o assistente de migração até concluir a migração do banco de dados.

    Screenshot that shows how to continue the database migration.

    Verifique os seguintes tutoriais passo a passo para obter mais informações sobre como migrar bancos de dados online ou offline para destinos da Instância Gerenciada SQL do Azure:

Passos pós-migração

Sua instância gerenciada de destino agora deve ter os bancos de dados e seus respetivos certificados migrados. Para verificar o status atual do banco de dados migrado recentemente, copie e cole o exemplo a seguir em uma nova janela de consulta no Azure Data Studio enquanto estiver conectado ao destino da instância gerenciada. Em seguida, selecione Executar.

USE master;
GO

SELECT db_name(database_id),
    key_algorithm,
    encryption_state_desc,
    encryption_scan_state_desc,
    percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

A consulta retorna as informações sobre o banco de dados, o status da criptografia e a porcentagem pendente concluída. Neste caso, é zero porque o certificado TDE já foi concluído.

Screenshot that shows the results returned by the TDE query provided in this section.

Para obter mais informações sobre criptografia com o SQL Server, consulte Criptografia de dados transparente (TDE).

Limitações

A tabela a seguir descreve o status atual do suporte a migrações de banco de dados habilitadas para TDE pelo destino SQL do Azure:

Destino Suporte Status
Base de Dados SQL do Azure Não
Instância Gerida do Azure SQL Sim Pré-visualizar
SQL Server numa VM do Azure Não

Conteúdos relacionados