Criar um backup criptografado

Aplica-se a: SQL Server

Este artigo descreve as etapas necessárias para criar um backup criptografado usando Transact-SQL. Para obter um exemplo usando o SQL Server Management Studio, consulte Criar um backup completo de banco de dados.

Cuidado

Para restaurar um banco de dados criptografado, você precisa ter acesso ao certificado ou à chave assimétrica usada para criptografar o banco de dados. Sem o certificado ou a chave assimétrica, não é possível restaurar o banco de dados. Salve o certificado usado para criptografar a chave de criptografia do banco de dados durante o tempo que precisar salvar o backup. Para obter mais informações, consulte SQL Server Certificates and Asymmetric Keys.

Pré-requisitos

• Armazenamento para o backup criptografado. Dependendo da opção escolhida, uma das opções é:

  • Ter um disco local ou um armazenamento com espaço suficiente para criar um backup do banco de dados.
  • Ter uma conta de armazenamento do Azure e um contêiner. Para obter mais informações, consulte Criar uma conta de armazenamento.

• Uma chave mestra do banco de dados (DMK) para o banco de dados master, e um certificado ou uma chave assimétrica na instância do SQL Server. Para requisitos e permissões de criptografia, consulte Backup encryption.

Criar uma chave mestra de banco de dados (DMK)

Escolha uma senha para criptografar a cópia do DMK que será armazenada no banco de dados. Conecte-se ao Mecanismo de Banco de Dados, inicie um novo período de consulta, copie e cole o exemplo a seguir e selecione Executar.

Substitua <master key password> por uma senha forte e certifique-se de manter uma cópia do DMK e da senha em um local seguro.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Crie um certificado de backup

Crie um certificado de backup no banco de dados master. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Faça backup do banco de dados com criptografia

Há duas opções principais para criar um backup criptografado:

• Fazer backup em disco
• Fazer backup no Armazenamento do Azure

Fazer backup em disco

Use as etapas a seguir para criar um backup criptografado de um banco de dados em um disco local. Este exemplo usa um banco de dados de usuário chamado MyTestDB.

Especifique o algoritmo de criptografia e o certificado a ser usado. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Substitua <path_to_local_backup> para um caminho local no qual o SQL Server tem permissão para gravar. Por exemplo, esse caminho pode ser D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Para obter um exemplo de como criptografar um backup protegido por um gerenciamento extensível de chaves (EKM), consulte Gerenciamento extensível de chaves usando o Azure Key Vault (SQL Server).

Fazer backup no Armazenamento do Azure

Se você estiver criando um backup no armazenamento do Azure usando a opção de Backup do SQL Server para URL, as etapas de criptografia serão as mesmas, mas você deve usar a URL como destino e uma Credencial SQL a ser autenticada no armazenamento do Azure. Se quiser configurar o backup gerenciado do SQL Server para o Microsoft Azure com opções de criptografia, consulte Habilitar o backup gerenciado do SQL Server no Azure.

Criar uma credencial do SQL Server

para criar uma credencial do SQL Server, conecte-se ao Mecanismo de Banco de Dados, abra uma nova janela de consulta, copie e cole o exemplo a seguir e selecione Executar.

Substitua <mystorageaccount> pelo nome da conta de armazenamento especificada ao criar uma conta de armazenamento e <storage account access key> pela Chave de Acesso Primária ou Secundária da conta de armazenamento.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Fazer backup do banco de dados

especifique o algoritmo de criptografia e o certificado a ser utilizado. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Neste exemplo, mycredential é o nome da credencial criada anteriormente, <mystorageaccountname> é o nome da sua conta de armazenamento e <mycontainername> é o nome do contêiner de armazenamento.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Conteúdo relacionado

• Restore a Database Backup Using SSMS
• Hierarquia de criptografia
• Visão geral de backup (SQL Server)