Configurar o Always Encrypted usando o SQL Server Management Studio

  • Artigo

Aplica-se a:SQL ServerBanco de Dados SQL do AzureInstância Gerenciada de SQL do Azure

Este artigo descreve as tarefas para configurar o Always Encrypted e gerenciar bancos de dados que usam o Always Encrypted como SSMS (SQL Server Management Studio).

Considerações de segurança ao usar o SSMS para configurar o Always Encrypted

Quando você usa o SSMS para configurar o Always Encrypted, o SSMS lida com dados sensíveis e chaves do Always Encrypted, por isso, as chaves e os dados aparecem em texto não criptografado dentro do processo do SSMS. Portanto, é importante que você execute o SSMS em um computador seguro. Se seu banco de dados estiver hospedado no SQL Server, certifique-se de que o SSMS seja executado em um computador diferente do computador que hospeda a instância do SQL Server. Como o objetivo principal do Always Encrypted é garantir que os dados confidenciais criptografados estejam seguros mesmo se o sistema do banco de dados for comprometido, a execução de um script do PowerShell que processa chaves ou dados confidenciais no computador do SQL Server pode reduzir ou anular os benefícios do recurso. Para obter recomendações adicionais, consulte Security Considerations for Key Management(Considerações de segurança para o Gerenciamento de Chaves).

O SSMS não dá suporte à separação de funções entre aquelas que gerenciam o banco de dados (DBAs) e aquelas que gerenciam os segredos de criptografia e têm acesso aos dados de texto não criptografado (Administradores de Segurança e/ou Administradores de Aplicativos). Se sua organização impõe a separação de funções, você deve usar o PowerShell para configurar o Always Encrypted. Para saber mais, confira Visão geral do gerenciamento de chaves do Always Encrypted e Configurar o Always Encrypted usando o PowerShell.

Tarefas do Always Encrypted usando o SSMS

Confira também