Partekatu honen bidez:


Tutorial: Migración de bases de datos habilitadas para TDE (versión preliminar) a Azure SQL en Azure Data Studio

Para proteger una base de datos de SQL Server, puede tomar precauciones como diseñar un sistema seguro, cifrar recursos confidenciales y crear un firewall. Sin embargo, el robo físico de medios como unidades o cintas todavía puede poner en peligro los datos.

TDE proporciona una solución a este problema, mediante el cifrado o descifrado de datos en reposo (datos y archivos de registro) en tiempo real al usar una clave de cifrado de base de datos simétrica (DEK) protegida por un certificado. Para obtener más información sobre cómo migrar certificados TDE manualmente, consulte Mover una base de datos protegida por TDE a otro SQL Server.

Al migrar una base de datos protegida por TDE, el certificado (clave asimétrica) que se usa para abrir la clave de cifrado de base de datos (DEK) también debe moverse junto con la base de datos de origen. Por lo tanto, debe volver a crear el certificado de servidor en la base de datos master de la instancia de SQL Server de destino para que esta tenga acceso a los archivos de base de datos.

Puede usar la extensión de migración de Azure SQL para Azure Data Studio para facilitar la migración de bases de datos habilitadas para TDE (versión preliminar) desde una instancia local de SQL Server a Azure SQL.

El proceso de migración de bases de datos habilitadas para TDE automatiza las tareas manuales, como realizar copias de seguridad de las claves de certificado de base de datos (DEK), copiar los archivos de certificado desde la instancia de SQL Server local al destino de Azure SQL y volver a configurar TDE para la base de datos de destino de nuevo.

Importante

Actualmente solo se admiten los destinos de Azure SQL Managed Instance. No se admiten copias de seguridad cifradas.

En este tutorial, aprenderá a migrar la base de datos cifrada de ejemplo AdventureWorksTDE desde una instancia local de SQL Server a una instancia administrada de Azure SQL.

  • Abrir el Asistente para migrar a Azure SQL en Azure Data Studio.
  • Ejecutar una evaluación de las bases de datos de origen de SQL Server de origen.
  • Configuración de la migración de certificados TDE
  • Conexión al destino de Azure SQL
  • Iniciar la migración del certificado TDE y supervisar el progreso hasta su finalización

Requisitos previos

Antes de comenzar el tutorial:

  • Descargue e instale Azure Data Studio.

  • Instale la extensión Azure SQL Migration desde el marketplace de Azure Data Studio.

  • Ejecute Azure Data Studio como administrador.

  • Debe tener una cuenta de Azure que esté asignada a uno de los siguientes roles integrados:

    • Colaborador de la instancia administrada de destino (y cuenta de almacenamiento para cargar las copias de seguridad de los archivos de certificado TDE desde el recurso compartido de red a través de SMB).
    • Rol de Lector de los grupos de recursos de Azure que contienen la instancia administrada de destino o la cuenta de almacenamiento de Azure.
    • Rol propietario o colaborador para la suscripción de Azure (obligatorio si se crea un nuevo servicio DMS).
    • Como alternativa al uso de los roles integrados mencionados, puede asignar un rol personalizado. Para obtener más información, consulte Roles personalizados: migraciones de SQL Server a SQL Managed Instance con ADS.
  • Cree una instancia de destino de Azure SQL Managed Instance.

  • Asegúrese de que el inicio de sesión que usa para conectarse al origen de SQL Server sea miembro del rol de servidor sysadmin.

  • La máquina en la que Azure Data Studio ejecuta la migración de base de datos habilitada para TDE debe tener conectividad con orígenes y servidores SQL de destino.

Abrir el Asistente para migrar a Azure SQL en Azure Data Studio.

Para abrir el Asistente para la migración a Azure SQL:

  1. En Azure Data Studio, vaya a Conexiones. Conéctese a la instancia local de SQL Server. También puede conectarse a SQL Server en una máquina virtual de Azure.

  2. Haga clic con el botón derecho en la conexión del servidor y seleccione Administrar.

    Captura de pantalla que muestra una conexión de servidor y la opción Administrar en Azure Data Studio.

  3. En el menú del servidor, en General, seleccione Azure SQL Migration.

    Captura de pantalla que muestra el menú de servidor de Azure Data Studio.

  4. En el panel Azure SQL Migration, seleccione Migrar a Azure SQL para abrir el Asistente para la migración.

    Captura de pantalla que muestra el Asistente para la migración a Azure SQL.

  5. En la primera página del asistente, inicie una nueva sesión o reanude una guardada anteriormente.

Ejecución de la evaluación de la base de datos

  1. En el Paso 1: Bases de datos para la evaluación del Asistente para la migración a Azure SQL, seleccione las bases de datos que quiere evaluar. Después, seleccione Siguiente.

    Captura de pantalla que muestra la selección de una base de datos para la evaluación.

  2. En Paso 2: Resultados de la evaluación, realice los pasos siguientes:

    1. En Elegir el destino de Azure SQL, seleccione Azure SQL Managed Instance.

      Captura de pantalla que muestra la selección del destino de Azure SQL Managed Instance.

    2. Seleccione Ver o seleccionar para ver los resultados de la evaluación.

      Captura de pantalla de la vista o selección de los resultados de la evaluación.

    3. En los resultados de la evaluación, seleccione la base de datos y revise los resultados de la evaluación. En este ejemplo, puede ver que la base de datos AdventureWorksTDE está protegida con cifrado de datos transparente (TDE). La evaluación recomienda migrar el certificado TDE antes de migrar la base de datos de origen al destino de la instancia administrada.

      Captura de pantalla que muestra un informe de los resultados de la evaluación.

    4. Elija Seleccionar para abrir el panel de configuración de migración de TDE.

Configuración de las opciones de migración de TDE

  1. En la sección Base de datos cifrada seleccionada, seleccione Exportar mis certificados y clave privada al destino.

    Captura de pantalla que muestra la configuración de migración de TDE.

    En la sección Cuadro de información, se describen los permisos necesarios para exportar los certificados DEK.

    Debe asegurarse de que la cuenta de servicio de SQL Server tenga acceso de escritura a la ruta de acceso del recurso compartido de red que se usa para realizar una copia de seguridad de los certificados DEK. Además, el usuario actual debe tener privilegios de administrador en el equipo donde existe esta ruta de acceso de red.

  2. Escriba la ruta de acceso de red.

    Captura de pantalla que muestra la configuración de migración de TDE para un recurso compartido de red.

    A continuación, marque la casilla Doy consentimiento para usar mis credenciales para acceder a los certificados. Con esta acción, va a permitir que el Asistente para la migración de bases de datos realice una copia de seguridad del certificado DEK en el recurso compartido de red.

  3. Puede que no desee que el Asistente para la migración le ayude a migrar bases de datos habilitadas para TDE. Seleccione No quiero que Azure Data Studio exporte los certificados. para omitir este paso.

    Captura de pantalla que muestra cómo rechazar la migración de TDE.

    Importante

    Debe migrar los certificados antes de continuar con la migración; de lo contrario, se producirá un error en la migración. Para obtener más información sobre cómo migrar certificados TDE manualmente, consulte Mover una base de datos protegida por TDE a otro SQL Server.

  4. Si desea continuar con la migración de certificación de TDE, seleccione Aplicar.

    Captura de pantalla que muestra cómo aplicar la configuración de migración de TDE.

    El panel de configuración de migración de TDE se cerrará, pero puede seleccionar Editar para modificar la configuración del recurso compartido de red en cualquier momento. Seleccione Siguiente para continuar con el proceso de migración.

    Captura de pantalla que muestra cómo editar la configuración de migración de TDE.

Configuración de valores de migración

En Paso 3: Destino de Azure SQL en el Asistente para la migración a Azure SQL, realice estos pasos para la instancia administrada de destino:

  1. Seleccione la cuenta, la suscripción, la región o la ubicación de Azure y el grupo de recursos que contiene la instancia administrada.

    Captura de pantalla que muestra los detalles de la cuenta de Azure.

  2. Cuando esté listo, seleccione Migrar certificados para iniciar la migración de certificados TDE.

Inicio y supervisión de la migración de certificados TDE

  1. En Paso 3: Estado de migración, se abrirá el panel Migración de certificados. Los detalles del progreso de la migración de certificados TDE se muestran en la pantalla.

    Captura de pantalla que muestra cómo iniciar el proceso de migración de TDE.

  2. Una vez completada la migración de TDE (o si tiene errores), la página muestra las actualizaciones pertinentes.

    Captura de pantalla que muestra cómo continúa el proceso de migración de TDE.

  3. En caso de que tenga que volver a intentar la migración, seleccione Reintentar la migración.

    Captura de pantalla que muestra cómo reintentar la migración de TDE.

  4. Cuando esté listo, seleccione Listo para continuar con el Asistente para la migración.

    Captura de pantalla que muestra cómo completar la migración de TDE.

  5. Para supervisar el proceso de cada certificado de TDE, seleccione Migrar certificados.

  6. Seleccione Siguiente para continuar con el asistente para la migración hasta completar la migración de la base de datos.

    Captura de pantalla que muestra cómo continuar la migración de la base de datos.

    Consulte los siguientes tutoriales paso a paso para obtener más información sobre la migración de bases de datos en línea o sin conexión a los destinos de Azure SQL Managed Instance:

Pasos posteriores a la migración

La instancia administrada de destino ahora debería contener las bases de datos y sus respectivos certificados migrados. Para comprobar el estado actual de la base de datos migrada recientemente, copie y pegue el ejemplo siguiente en una nueva ventana de consulta en Azure Data Studio mientras está conectado al destino de la instancia administrada. Luego, seleccione Ejecutar.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

La consulta devuelve la información sobre la base de datos, el estado de cifrado y el porcentaje pendiente completado. En este caso, es cero porque el certificado TDE ya se ha completado.

Captura de pantalla que muestra los resultados devueltos por la consulta de TDE proporcionada en esta sección.

Para obtener más información sobre el cifrado con SQL Server, consulte: Cifrado de datos transparente (TDE).

Limitaciones

En la tabla siguiente se describe el estado actual de las migraciones de base de datos habilitadas para TDE compatibles con el destino de Azure SQL:

Destino Soporte técnico Estado
Azure SQL Database No
Instancia administrada de Azure SQL Versión preliminar
SQL Server en máquina virtual de Azure No