サービスマスターキーをバックアップする必要があるのはいつですか?

14

トランスペアレントデータ暗号化に関するドキュメントとホワイトペーパーを読んでいます。一部のドキュメントでは、サービスマスターキーのバックアップについても言及されています(説明のため、データベースマスターキーについては説明していません)。サービスマスターキーを使用せずに、サーバーA(バックアップ)からサーバーB(復元)にTDE暗号化を使用してデータベースをバックアップ/復元できたため、なぜこれが必要なのか正確に理解していません。

どのようなシナリオでサービスマスターキーを復元する必要がありますか?

sql-server  encryption  transparent-data-encryption 
グシャープ
ソース
データベースで暗号化を有効にしましたか?また、TDEを有効にした後、データベースのバックアップを作成しましたか?
トーマスストリンガー
はい、しました。サーバーBで復元するには、証明書とキーが必要でした(証明書とキーのバックアップを作成しました)。ただし、BIで新しいマスターキーを作成し(サーバーAからは復元しません)、データベースを復元できました。
gsharp
サーバーBでTDE証明書と秘密キーを復元した場合、TDEデータベースを復号化できるはずです。SMKの要件を読んだドキュメントをポイントできますか?たぶんもっと微妙...何かである
レムスRusanu
@RemusRusanuに同意します。証明書は暗号化を推進するものです。サービスマスターキーについては、DRのバックアップ(最初に行うべきであったこと)をバックアップすることは、一般的な管理上のベストプラクティスであると思います。
トーマスストリンガー
1
@gsharp:SMKのバックアップ方法を文書化しています。TDEで暗号化されたDBを転送するときにSMKバックアップが必要な理由を説明するドキュメントに興味がありました。
レムスルサヌ

回答:

6

SQLサービスのマスターキーについて話している場合、それを本当に復元する必要があるまれなケースがあります。

SMKを復元する必要があるいくつかのシナリオを考えています...

  1. どういうわけか、それは破損しました。

  2. SQLサーバーを再構築し、システムデータベースを含むすべてのデータベースをバックアップから復元することを計画しています。通常、この場合、同じSQLサービスアカウントとパスワードを使用している場合、SMKを復元する必要はありません。

TDEでは、SMKを復元する必要はありません。誰もが言ったように、証明書と秘密鍵だけが必要です。バックアップから証明書を作成するとき、宛先マシンのDMKによって暗号化されるので、同じデータベースマスターキーを持つ必要はありません。

アリジット
ソース
2

TDEデータベースを新しいインスタンスに移動する場合、適切な証明書(または非対称キー)が宛先masterのデータベースにもあることを確認する必要があります。これを行わないと、次のエラーが表示されます。

メッセージ33111、レベル16、状態3、行2 thumb印「0xA085414434DB4A36B29 ..................」のサーバー証明書が見つかりません。

TDE対応のデータベースバックアップと共に移動する必要があるのはサービスマスターキーではなく、証明書です。たとえば、MyTDECertmasterという名前の証明書を使用してDEK(データベース暗号化キー)を作成したとします。宛先インスタンスにその証明書がないと、データベースを復元できません。

トーマス・ストリンガー
ソース
はい、それは明らかです。私の質問は、なぜサービスマスターキーをバックアップする必要があるのか​​(またはどのような目的のために)あるのかということです。参照してくださいtechnet.microsoft.com/en-us/library/aa337561
gsharp
-1

SMKをバックアップおよび復元する必要がある場合の1つは、レプリケーショントポロジをアップグレードするときです。

JYatesDBA
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.