Criar um backup criptografado

Este tópico descreve as etapas necessárias para criar um backup criptografado usando o Transact-SQL.

Fazer backup em disco com criptografia

Pré-requisitos:

• Acesso a um disco local ou ao armazenamento com espaço adequado para criar um backup do banco de dados.

• Uma Chave Mestra de Banco de Dados para o banco de dados mestre e um certificado ou chave assimétrica disponível na instância do SQL Server. Para obter requisitos e permissões de criptografia, consulte a Criptografia de Backup.

Use as etapas a seguir para criar um backup criptografado de um banco de dados em um disco local. Este exemplo usa um banco de dados de usuário chamado MyTestDB.

1. Crie uma chave mestra de banco de dados do banco de dados mestre: Escolha uma senha para criptografar a cópia da chave mestra que será armazenada no banco de dados. Conecte-se ao mecanismo de banco de dados, inicie uma nova janela de consulta e copie e cole o exemplo a seguir e clique em Executar.

   -- Creates a database master key.   
   -- The key is encrypted using the password "<master key password>"  
   USE master;  
   GO  
   CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';  
   GO  
   
   

2. Criar um certificado de backup: Crie um certificado de backup no banco de dados mestre. Copie e cole o exemplo a seguir na janela de consulta e clique em Executar

   Use Master  
   GO  
   CREATE CERTIFICATE MyTestDBBackupEncryptCert  
      WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';  
   GO  
   
   

3. Faça backup do banco de dados: Especifique o algoritmo de criptografia e o certificado a serem usados. Copie e cole o exemplo a seguir na janela de consulta e clique em Executar.

   BACKUP DATABASE [MyTestDB]  
   TO DISK = N'C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\MyTestDB.bak'  
   WITH  
     COMPRESSION,  
     ENCRYPTION   
      (  
      ALGORITHM = AES_256,  
      SERVER CERTIFICATE = MyTestDBBackupEncryptCert  
      ),  
     STATS = 10  
   GO  
   
   

Para obter um exemplo de criptografia de um backup protegido por um EKM, consulte Gerenciamento extensível de chaves usando o Azure Key Vault (SQL Server).

Fazer backup no Armazenamento do Azure com Criptografia

Se você estiver criando um backup para o armazenamento do Azure usando a opção backup para URL do SQL Server , as etapas de criptografia serão as mesmas, mas você deverá usar a URL como o destino e uma Credencial de SQL para autenticar no armazenamento do Azure. Se você quiser configurar o Backup Gerenciado do SQL Server para o Microsoft Azure com opções de criptografia, consulte Como configurar o Backup Gerenciado do SQL Server no Azure e configurar o Backup Gerenciado do SQL Server no Azure para Grupos de Disponibilidade.

Pré-requisitos:

• Uma conta de armazenamento do Windows e um contêiner. Para saber mais, confira. Lição 1: criar objetos de armazenamento do Azure.

• Uma chave mestra de banco de dados para o banco de dados mestre e um certificado ou chave assimétrica na instância do SQL Server. Para obter requisitos e permissões de criptografia, consulte a Criptografia de Backup.

1. Criar credencial do SQL Server: Para criar uma credencial do SQL Server, conecte-se ao Mecanismo de Banco de Dados, abra uma nova janela de consulta e copie e cole o exemplo a seguir e clique em Executar.

   CREATE CREDENTIAL mycredential   
   WITH IDENTITY= 'mystorageaccount' - this is the name of the storage account you specified when creating a storage account    
   , SECRET = '<storage account access key>' - this should be either the Primary or Secondary Access Key for the storage account  
   

2. Criar uma chave mestra de banco de dados: Escolha uma senha para criptografar a cópia da chave mestra que será armazenada no banco de dados. Conecte-se ao mecanismo de banco de dados, inicie uma nova janela de consulta e copie e cole o exemplo a seguir e clique em Executar.

   -- Creates a database master key.  
   -- The key is encrypted using the password "<master key password>"  
   USE Master;  
   GO  
   CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';  
   GO  
   
   

3. Criar um certificado de backup: Crie um Certificado de Backup no banco de dados mestre. Copie e cole o exemplo a seguir na janela de consulta e clique em Executar

   USE Master;  
   GO  
   CREATE CERTIFICATE MyTestDBBackupEncryptCert  
      WITH SUBJECT = 'MyTestDBBackupEncryptCert ';  
   GO  
   
   

4. Faça backup do banco de dados: Especifique o algoritmo de criptografia e o certificado a ser usado. Copie e cole o exemplo a seguir na janela de consulta e clique em Executar.

   BACKUP DATABASE [MyTestDB]  
   TO URL = N'C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\MyTestDB.bak'  
   WITH  
     CREDENTIAL 'mycredential' - this is the name of the credential created in the first step.  
     ,COMPRESSION  
     ,ENCRYPTION   
      (  
      ALGORITHM = AES_256,  
      SERVER CERTIFICATE = MyTestDBBackupEncryptCert  
      ),  
     STATS = 10  
   GO