Condividi tramite

Esercitazione: eseguire la migrazione di database abilitati per TDE (anteprima) ad Azure SQL in Azure Data Studio

  • Articolo

È possibile adottare diverse precauzioni per proteggere il database SQL, ad esempio la progettazione di un sistema sicuro, la crittografia di risorse riservaei e la creazione di un firewall. Tuttavia, il furto fisico di supporti come unità o nastri può comunque compromettere i dati.

TDE offre una soluzione a questo problema, con crittografia/decrittografia in tempo reale dei dati inattivi (file di dati e di log) usando una chiave Symmetric Database Encryption Key (DEK ) protetta da un certificato. Per altre informazioni sulla migrazione manuale dei certificati TDE, vedere Spostare un database protetto da TDE in un'altro SQL Server.

Quando si esegue la migrazione di un database protetto da TDE, anche il certificato (chiave asimmetrica) usata per aprire la chiave di crittografia del database (DEK) deve essere spostato insieme al database di origine. Pertanto, è necessario ricreare il certificato server nel database master di SQL Server di destinazione per l'accesso ai file di database.

È possibile usare l'estensione Migrazione di Azure SQL per Azure Data Studio per facilitare la migrazione di database abilitati per TDE (anteprima) da un'istanza locale di SQL Server ad Azure SQL.

Il processo di migrazione del database abilitato per TDE automatizza le attività manuali, ad esempio il backup delle chiavi del certificato del database (DEK), la copia dei file di certificato dall'istanza locale di SQL Server alla destinazione Azure SQL e la riconfigurazione di TDE per il database di destinazione.

Importante

Attualmente sono supportate solo destinazioni Istanza gestita di SQL di Azure. I backup crittografati non sono supportati.

Questa esercitazione illustra come eseguire la migrazione del database crittografato di esempio AdventureWorksTDE da un'istanza locale di SQL Server a un'istanza gestita di SQL di Azure.

  • Aprire la procedura guidata Migrazione ad Azure SQL in Azure Data Studio
  • Eseguire una valutazione dei database SQL Server di origine
  • Configurare la migrazione dei certificati TDE
  • Connettersi alla destinazione Azure SQL
  • Avviare la migrazione dei certificati TDE e monitorare lo stato di avanzamento fino al completamento

Prerequisiti

Prima di iniziare l'esercitazione:

  • Scaricare e installare Azure Data Studio.

  • Installare l'estensione di Migrazione Azure SQL dal Marketplace Azure Data Studio.

  • Eseguire Azure Data Studio come amministratore.

  • Assicurarsi che un account Azure sia assegnato a uno dei ruoli predefiniti seguenti:

    • Contributore per l'istanza gestita di destinazione (e account di archiviazione per caricare i backup dei file di certificato TDE dalla condivisione di rete SMB).
    • Ruolo proprietario o Collaboratore per i gruppi di risorse di Azure contenenti l'istanza gestita di Azure SQL di destinazione o l'account di archiviazione di Azure.
    • Ruolo Proprietario o Collaboratore per la sottoscrizione di Azure (obbligatorio se si crea una nuova istanza del Servizio Migrazione del database).
    • In alternativa all'uso di uno dei ruoli predefiniti sopra, è possibile assegnare un ruolo personalizzato. Per altre informazioni, vedere Ruoli personalizzati: migrazioni online da SQL Server a Istanza gestita di SQL di Azure con ADS.

  • Creare un’istanza di destinazione di Istanza gestita di SQL di Azure.

  • Assicurarsi che gli accessi utilizzati per connettersi all'istanza SQL Server di origine siano membri del ruolo del server sysadmin.

  • Il computer in cui Azure Data Studio esegue la migrazione del database abilitata per TDE deve avere connettività a entrambe le origini e ai server SQL di destinazione.

Aprire la procedura guidata Migrazione ad Azure SQL in Azure Data Studio

Per aprire la procedura guidata Migrazione ad Azure SQL:

  1. In Azure Data Studio, passare a Connessioni. Connettersi all'istanza locale di SQL Server. È possibile anche connettersi a SQL Server in una macchina virtuale di Azure.

  2. Fare clic con il pulsante destro del mouse sulla connessione del server e selezionare Gestisci.

    Screenshot che mostra una connessione al server e l'opzione Gestisci in Azure Data Studio.

  3. Nel menu del server, in Generale selezionare Migrazione Azure SQL.

    Screenshot che mostra il menu del server di Azure Data Studio.

  4. Nel dashboard di Migrazione Azure SQL, selezionare Migrazione ad Azure SQL per aprire la procedura guidata per la migrazione.

    Screenshot che mostra la procedura guidata Migrazione ad Azure SQL.

  5. Nella prima pagina della procedura guidata, avviare una nuova sessione o riavviare una sessione salvata in precedenza.

Eseguire la valutazione del database.q

  1. Nel passaggio 1: Database per la valutazione nella procedura guidata Migrazione ad Azure SQL, selezionare i database da valutare. Quindi seleziona Avanti.

    Screenshot che mostra la selezione di un database per la valutazione.

  2. Nel passaggio 2: risultati della valutazione, completare i passaggi seguenti:

    1. In Scegliere la destinazione Azure SQL, selezionare Istanza gestita di SQL di Azure.

      Schermata che mostra la selezione dell’Istanza gestita di SQL di Azure di destinazione.

    2. Selezionare Visualizza/Seleziona per visualizzare i risultati della valutazione.

      Screenshot che mostra la visualizzazione/selezione dei risultati della valutazione.

    3. Nei risultati della valutazione, selezionare il database e quindi esaminare gli esiti della valutazione. In questo esempio, è possibile vedere che il database AdventureWorksTDE è protetto con Transparent Data Encryption (TDE). La valutazione consiglia di eseguire la migrazione del certificato TDE prima di eseguire la migrazione del database di origine alla destinazione dell'istanza gestita.

      Screenshot che mostra un report con gli esiti della valutazione.

    4. Scegliere Seleziona per aprire il pannello di configurazione della migrazione TDE.

Configurare le impostazioni di migrazione TDE

  1. Nella sezione Database crittografato selezionato, selezionare Esporta certificati personali e chiave privata nella destinazione.

    Screenshot che mostra il riepilogo della configurazione della migrazione TDE.

    La sezione Info box descrive le autorizzazioni necessarie per esportare i certificati DEK.

    È necessario assicurarsi che l'account del servizio SQL Server abbia accesso in scrittura al percorso di condivisione di rete usato per eseguire il backup dei certificati DEK. Inoltre, l'utente corrente deve disporre dei privilegi di amministratore nel computer in cui è presente questo percorso di rete.

  2. Immettere il percorso di rete.

    Screenshot che mostra la configurazione della migrazione TDE per una condivisione di rete.

    Controllare quindi Io concedo il consenso per usare le credenziali per l'accesso ai certificati. Con questa azione si consente alla procedura guidata per la migrazione del database di eseguire il backup del certificato DEK nella condivisione di rete.

  3. Se non si vuole eseguire la procedura guidata della migrazione, è possibile eseguire la migrazione dei database abilitati per TDE. Per ignorare questo passaggio, selezionare Non voglio che Azure Data Studio esporti i certificati..

    Screenshot che mostra come rifiutare la migrazione TDE.

    Importante

    È necessario eseguire la migrazione dei certificati prima di procedere con la migrazione. In caso contrario, la migrazione avrà esito negativo. Per altre informazioni sulla migrazione manuale dei certificati TDE, vedere Spostare un database protetto da TDE in un'altro SQL Server.

  4. Se si vuole procedere con la migrazione della certificazione TDE, selezionare Applica.

    Screenshot che mostra come applicare la configurazione della migrazione TDE.

    Il pannello di configurazione della migrazione TDE verrà chiuso, ma è possibile selezionare Modifica per modificare la configurazione della condivisione di rete in qualsiasi momento. Selezionare Avanti per continuare il processo di migrazione.

    Screenshot che mostra come modificare la configurazione della migrazione TDE.

Configurare le impostazioni di migrazione

Nel passaggio 3: Azure SQL di destinazione, nella procedura guidata Migrazione ad Azure SQL, completare questi passaggi per l'istanza gestita di destinazione:

  1. Selezionare l'account Azure, la sottoscrizione Azure, l’area o la posizione Azure e il gruppo di risorse che contiene l'istanza gestita.

    Screenshot che mostra i dettagli dell'account Azure.

  2. Quando si è pronti, selezionare Eseguire la migrazione dei certificati per avviare la migrazione dei certificati TDE.

Avviare e monitorare la migrazione del certificato TDE

  1. Nel passaggio 3: stato della migrazione ,verrà aperto il pannello Migrazione dei certificati. I dettagli sullo stato di avanzamento della migrazione dei certificati TDE vengono visualizzati sullo schermo.

    Screenshot che mostra come si avvia il processo di migrazione TDE.

  2. Una volta completata la migrazione TDE (o in caso di errori), la pagina visualizza gli aggiornamenti pertinenti.

    Screenshot che mostra l’avanzamento del processo di migrazione TDE.

  3. Nel caso in cui sia necessario ripetere la migrazione, selezionare Riprovare la migrazione.

    Screenshot che mostra come riprovare la migrazione TDE.

  4. Quando si è pronti, selezionare Fine per continuare la procedura guidata della migrazione.

    Screenshot che mostra come completare il processo di migrazione TDE.

  5. È possibile monitorare il processo per ogni certificato TDE selezionando Eseguire la migrazione dei certificati.

  6. Selezionare Avanti per continuare la procedura guidata della migrazione fino a quando non si completa la migrazione del database.

    Screenshot che mostra come continuare la migrazione del database.

    Per altre informazioni sulla migrazione online o offline alle destinazioni Istanza gestita di SQL di Azure, vedere le esercitazioni dettagliate seguenti:

Passaggi post-migrazione

L'istanza gestita di destinazione dovrebbe ora avere i database e i rispettivi certificati migrati. Per verificare lo stato corrente del database migrato di recente, copiare e incollare l'esempio seguente in un nuovo intervallo di query in Azure Data Studio mentre è connesso alla destinazione dell'istanza gestita. Selezionare quindi Esegui.

USE master;
GO

SELECT db_name(database_id),
       key_algorithm,
       encryption_state_desc,
       encryption_scan_state_desc,
       percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO

La query restituisce le informazioni sul database, lo stato di crittografia e la percentuale di completamento in sospeso. In questo caso, è zero perché il certificato TDE è già stato completato.

Screenshot che mostra i risultati restituiti dalla query TDE fornita in questa sezione.

Per altre informazioni sulla crittografia del database con SQL Server, vedere Transparent Data Encryption (TDE).

Limiti

La tabella seguente descrive lo stato corrente delle migrazioni di database abilitate per TDE supportate dalla destinazione Azure SQL:

Destinazione Supporto tecnico Status
Database SQL di Azure No
Istanza gestita di database SQL di Azure Anteprima
SQL Server in una macchina virtuale Azure No

Contenuto correlato