{"id":424,"date":"2022-04-09T23:03:20","date_gmt":"2022-04-10T02:03:20","guid":{"rendered":"https:\/\/ederlelis.com.br\/blog\/?p=424"},"modified":"2022-05-28T23:19:41","modified_gmt":"2022-05-29T02:19:41","slug":"criptografia-dados-transparente-tde-criptografar-database-mssql","status":"publish","type":"post","link":"https:\/\/ederlelis.com.br\/blog\/criptografia-dados-transparente-tde-criptografar-database-mssql\/","title":{"rendered":"Criptografia Dados Transparente – TDE: Como Criptografar sua Database MSSQL?"},"content":{"rendered":"

Ol\u00e1, espero que voc\u00ea esteja bem! \ud83d\ude09<\/p>\n

Neste post vou falar de uma demanda que est\u00e1 aumentando muito atualmente, devido a LGPD.<\/p>\n

LGPG: n\u00e3o vou aprofundar muito neste assunto, poder ser assunto para outro post, rsrs. Mas tenho o dever de falar o b\u00e1sico, para voc\u00eas entenderem a import\u00e2ncia deste \u201cLab\u201d que faremos hoje.<\/p>\n

<\/p>\n

Com base no que diz a Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD)<\/strong>
Art. 46 da Lei 13709\/18 (jusbrasil.com.br)<\/em><\/a><\/p>\n

Art. 46.<\/strong> Os agentes de tratamento devem adotar medidas de seguran\u00e7a, t\u00e9cnicas e administrativas aptas a proteger os dados pessoais de acessos n\u00e3o autorizados e de situa\u00e7\u00f5es acidentais ou il\u00edcitas de destrui\u00e7\u00e3o, perda, altera\u00e7\u00e3o, comunica\u00e7\u00e3o ou qualquer forma de tratamento inadequado ou il\u00edcito.<\/em><\/p>\n

\u00a7 1\u00ba<\/strong> A autoridade nacional poder\u00e1 dispor sobre padr\u00f5es t\u00e9cnicos m\u00ednimos para tornar aplic\u00e1vel o disposto no caput deste artigo, considerados a natureza das informa\u00e7\u00f5es tratadas, as caracter\u00edsticas espec\u00edficas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sens\u00edveis, assim como os princ\u00edpios previstos no caput do art. 6\u00ba desta Lei.<\/em><\/p>\n

\u00a7 2\u00ba<\/strong> As medidas de que trata o caput deste artigo dever\u00e3o ser observadas desde a fase de concep\u00e7\u00e3o do produto ou do servi\u00e7o at\u00e9 a sua execu\u00e7\u00e3o.<\/em><\/p>\n

Por isso, as Empresas est\u00e3o se adequando. Adotando algumas medidas relacionadas \u00e0 seguran\u00e7a do banco de dados, tratamento e armazenamento. Com o prop\u00f3sito de evitar vazamentos de informa\u00e7\u00f5es e a exposi\u00e7\u00e3o de dados pessoais.<\/p>\n

Portanto, com base nesse processo de gest\u00e3o e governan\u00e7a de dados, um grande aliado \u201cagregado\u201d ao SQL Server \u00e9 o TDE (Transparent Data Encryption). A criptografia de dados transparente,<\/strong> criptografa os arquivos de dados (mdf) e arquivos de log (ldf) no SQL Server. Mas infelizmente n\u00e3o s\u00e3o todas as vers\u00f5es que possuem este recurso. O TDE est\u00e1 dispon\u00edvel desde a vers\u00e3o SQL Server 2008 edi\u00e7\u00f5es Evaluation, Developer e Enterprise.<\/p>\n

Esse processo de criptografia transparente l\u00ea a p\u00e1gina dos arquivos de dados para o buffer pool, criptografa a p\u00e1gina, e grava de volta ao disco. E s\u00e3o descriptografadas quando lidas na mem\u00f3ria. Contudo, o TDE n\u00e3o protege os dados na mem\u00f3ria<\/strong>, sendo assim, dados podem ser vistos por quaisquer pessoas que tenham direitos de \u201cdbo\u201d em um BD, ou direitos de \u201csa\u201d para a inst\u00e2ncia do SQL Server. Outra limita\u00e7\u00e3o do TDE \u00e9 que ele n\u00e3o fornece criptografia entre os canais de comunica\u00e7\u00f5es. Por isso recomenda-se utilizar outros m\u00e9todos de criptografia para proteger os dados que trafegam pela rede e podem ser interceptados.<\/p>\n

Pronto, agora podemos iniciar nosso \u201cLab\u201d de hoje. Vamos habilitar a Criptografia (TDE) em uma Database, no SQL Server<\/strong>. Usei uma vers\u00e3o 2019.<\/p>\n

Para esse processo de ativar o TDE vamos seguir uma sequ\u00eancia de 5 etapas:
– Criar uma chave mestra
– Criar um certificado
– Criar uma chave de criptografia
– Ativar criptografia
– Fazer backup do Certificado<\/p>\n

1) Criar uma chave mestra<\/strong>
\u00c9 necess\u00e1rio criar uma chave mestra (Master Key<\/strong>), realizada a n\u00edvel do banco de dados master. Para isso executaremos o seguinte script:<\/p>\n

Caso a Master Key j\u00e1 exista no Servidor, n\u00e3o conseguir\u00e1 cadastrar outra, neste caso uma op\u00e7\u00e3o seria fazer um Drop para depois recadastrar.<\/p>\n\n\n

\"\"<\/figure>\n\n\n
DROP MASTER KEY<\/pre>\n\n
Ap\u00f3s criar a Master Key, que tal validarmos!<\/p>\n\n
SELECT * FROM SYS.SYMMETRIC_KEYS<\/pre>\n\n\n\n\n
\"\"<\/figure>\n\n\n
2) Criar um certificado<\/strong> (protegido pela chave mestre Master Key, criada anteriormente)
Ap\u00f3s a cria\u00e7\u00e3o da Master Key, \u00e9 necess\u00e1rio a cria\u00e7\u00e3o de um certificado.<\/p>\n
CREATE CERTIFICATE<\/span> TDE_Lab<\/span> –nome do certificado que ser\u00e1 criado<\/span> <\/strong>
WITH SUBJECT<\/span> = ‘TDE_ Lab’<\/span><\/strong>
,EXPIRY_DATE<\/span> = ‘2099-12-31’; <\/span>–data de expira\u00e7\u00e3o<\/span><\/strong>
GO<\/span><\/strong><\/p>\n
Vamos tamb\u00e9m validar!<\/p>\n\n
-- Validar os Certificados existentes \nSELECT * FROM SYS.CERTIFICATES<\/pre>\n\n\n
\"\"<\/figure>\n\n\n
Pronto, o certificado j\u00e1 foi criado. E agora, voc\u00ea sabe onde ele est\u00e1? Para fazermos um backup, seguindo as orienta\u00e7\u00f5es da Microsoft.<\/strong><\/p>\n\n\n
\"\"<\/figure>\n\n\n
Nesse momento, ainda n\u00e3o temos um backup dos arquivos do certificado<\/strong>. O certificado criado est\u00e1 armazenado no banco de dados master em um formato criptografado.<\/p>\n
3) Fazer backup do Certificado<\/strong>
Ent\u00e3o vamos fazer o backup e guardar em um local seguro (fora do servidor<\/strong>), n\u00e3o apenas por quest\u00e3o de seguran\u00e7a, para caso de invas\u00e3o, mas tamb\u00e9m por precau\u00e7\u00e3o, pois o servidor pode \u201ccair\u201d e n\u00e3o mais voltar. Nesse caso teremos que restaurar o certificado em outro local, outro servidor.<\/p>\n
OBS:<\/strong> O caminho setado abaixo \u201cF:\\Certificado_TDE\u201d foi usado apenas para gerar os arquivos e logo em seguida retirei do Servidor e guardei em um cofre de senhas.<\/p>\n
BACKUP CERTIFICATE<\/span> TDE_Lab TO FILE =<\/span> ‘F:\\Certificado_TDE\\TDE_Lab’<\/span><\/strong>
WITH PRIVATE KEY (<\/strong><\/span>
               FILE =<\/span> ‘F:\\Certificado_TDE\\TDE_Lab_CertKey.pvk’<\/span><\/strong>
              ,ENCRYPTION BY PASSWORD =<\/span> ‘ChaveMasterkeySenhaForte@#$%’<\/span><\/strong>
              ) –mesma senha usada na master key<\/span><\/strong><\/p>\n
Validando o local, veja:<\/p>\n\n\n
\"\"<\/figure>\n\n\n
Pronto, agora sim, temos o backup e vamos remover ele do servidor e guardar em um local seguro<\/strong>. Ou melhor, super seguro, pois se perder este certificado e a senha, n\u00e3o teremos mais como fazer um restore do banco o qual aplicaremos o TDE<\/strong>.<\/p>\n
4) Criar uma chave de criptografia<\/strong>
Agora vamos ent\u00e3o criar uma chave de criptografia, fazendo uma associa\u00e7\u00e3o entre o banco de dados que ser\u00e1 criptografado e o certificado criado. \u00c9 neste momento que definimos qual ser\u00e1 o tipo de algoritmo de criptografia que vamos utilizar. Em nosso “Lab” vamos usar o AES_256<\/strong>.<\/p>\n
Antes, vamos validar como est\u00e1 o status das Databases.<\/p>\n
SELECT<\/span> DB.NAME<\/strong>
            ,DB.IS_ENCRYPTED<\/strong>
            ,DM.ENCRYPTION_STATE<\/strong>
            ,DM.PERCENT_COMPLETE<\/strong>
            ,DM.KEY_ALGORITHM<\/strong>
            ,DM.KEY_LENGTH<\/strong>
FROM<\/span> SYS.DATABASES DB<\/span><\/strong>
LEFT OUTER JOIN SYS.DM_DATABASE_ENCRYPTION_KEYS DM<\/span> ON<\/span> DB.DATABASE_ID = DM.DATABASE_ID;<\/strong><\/p>\n\n\n
\"\"<\/figure>\n\n\n
Segue script para criar a chave e associar a database desejada, portanto \u00e9 muito importante usar o \u201cUSE\u201d<\/strong> para n\u00e3o executar a criptografia na database errada.<\/p>\n\n\n
\"\"<\/figure>\n\n\n
Cannot find the certificate ‘TDE_CERT’, because it does not exist or you do not have permission<\/span><\/em>.<\/strong><\/p>\n
Hum, deu erro, e agora, o que fazer? Onde ser\u00e1 que errei? ;(<\/p>\n
Ser\u00e1 que voc\u00ea consegue descobrir o erro sem ver a resposta abaixo?<\/p>\n
Esse est\u00e1 muito f\u00e1cil, concordo com voc\u00ea. O certificado usado no script est\u00e1 errado<\/strong>, n\u00e3o \u00e9 este que criamos neste post, portanto n\u00e3o foi encontrado o ‘TDE_CERT’. Vamos ent\u00e3o corrigir.<\/p>\n
USE<\/span> LabTDE<\/strong>
GO<\/strong><\/span><\/p>\n
CREATE DATABASE ENCRYPTION KEY<\/strong><\/span>
WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE<\/span> TDE_Lab;<\/strong>
GO<\/strong><\/span><\/p>\n
Usaremos a mesma query acima para validar a database, veja que legal.<\/p>\n\n\n
\"\"<\/figure>\n\n\n
Nesse momento, veja que n\u00e3o temos nenhuma database criptografada (is_encrypted=0<\/strong>). Temos tamb\u00e9m a coluna encryption_state<\/strong>, onde indicar\u00e1 o status da criptografia. Indica se o banco de dados est\u00e1 criptografado ou n\u00e3o.<\/p>\n
0 = Nenhuma chave de criptografia de banco de dados presente, nenhuma criptografia
1 = N\u00e3o criptografada
2 = Criptografia em andamento
3 = Criptografada
4 = Mudan\u00e7a de chave em andamento
5 = Descriptografia em andamento
6 = Mudan\u00e7a de prote\u00e7\u00e3o em andamento (O certificado ou a chave assim\u00e9trica que est\u00e1 criptografando a chave de criptografia do banco de dados est\u00e1 sendo alterada.)<\/p>\n
E a coluna percent_complete<\/strong> est\u00e1 com 0 pois ainda n\u00e3o ativamos a criptografia.<\/p>\n
5) Ativar criptografia<\/strong>
Vamos agora enfim ativar a criptografia em nossa database “LabTDE”<\/strong>, para isso usaremos o seguinte script:<\/p>\n
ALTER DATABASE LabTDE<\/span><\/strong><\/span><\/p>\n
SET ENCRYPTION ON;<\/strong><\/span><\/p>\n\n\n
\"\"<\/figure>\n\n\n
Ao validar o status das databases, veja que a LabTDE ficou com o encryption_state = 2<\/strong>, ou seja, criptografia em andamento, e percentual no momento do print estava com 2,19%. O tempo final necess\u00e1rio para criptografar uma database vai depender n\u00e3o apenas do tamanho da database mas tamb\u00e9m da performance do servidor.<\/strong> Como exemplo, habilitei o TDE em um servidor cujo a database principal (maior) possu\u00eda em torno de 800GB, j\u00e1 as demais eram menores. Para termos certeza do tempo que levar\u00edamos para habilitar o TDE no ambiente de produ\u00e7\u00e3o, fizemos primeiro no ambiente de homologa\u00e7\u00e3o. Demorou cerca de 5h. Sabendo desse tempo, agendamos uma \u201cjanela de manuten\u00e7\u00e3o\u201d em um final de semana e realizamos todo o procedimento na produ\u00e7\u00e3o, gastando portanto o mesmo tempo da homologa\u00e7\u00e3o.<\/p>\n
No print acima apareceu uma novidade, a database tempdb est\u00e1 como criptografada<\/strong>, mas porqu\u00ea? N\u00e3o ativamos a criptografia nela.<\/p>\n
Segundo a documenta\u00e7\u00e3o da Microsoft, acontece o seguinte:<\/strong><\/p>\n
\n
TDE e o banco de dados de sistema tempdb<\/a><\/p>\n
O banco de dados do sistema tempdb ser\u00e1 criptografado se qualquer outro banco de dados da inst\u00e2ncia do SQL Server for criptografado usando TDE. Essa criptografia poder\u00e1 ter um efeito de desempenho em bancos de dados n\u00e3o criptografados na mesma inst\u00e2ncia do SQL Server. Para obter mais informa\u00e7\u00f5es sobre o banco de dados do sistema tempdb, confira Banco de dados tempdb<\/p>\n<\/blockquote>\n
Como a tempdb pode ser usada por todas as outras databases em alguma consulta tempor\u00e1ria, da\u00ed dados criptografados de outra database pode tamb\u00e9m estar presente na tempdb, por isso a Microsoft achou mais vi\u00e1vel projetar a tempdb para ser criptografada logo ap\u00f3s a ativa\u00e7\u00e3o da criptografia<\/strong>. Ou seja, se criptografar qualquer database em uma determinada inst\u00e2ncia, a tempdb \u00e9 tamb\u00e9m criptografada por default.<\/p>\n
Uma desvantagem que pode acontecer \u00e9 quando (na mesma inst\u00e2ncia) existem outras databases a qual n\u00e3o foram habilitadas o TDE. Com isso, o desempenho em suas transa\u00e7\u00f5es podem ser prejudicado, devido ao fato de atividades de criptografia e descriptografia que pode estar ocorrendo a todo momento envolvendo suas consultas. Portanto a decis\u00e3o de habilitar o TDE precisa ser bem pensada, se vale a pena criptografar apenas uma database (mais a tempdb) ou se j\u00e1 ativa o TDE em todas as demais databases do servidor.<\/strong><\/p>\n\n\n
\"\"<\/figure>\n\n\n
Pronto, nossa Database LabTDE est\u00e1 criptografada. Faremos agora um backup full por seguran\u00e7a.<\/p>\n\n\n
\"\"<\/figure>\n\n\n
Pronto Pessoal, ent\u00e3o acabamos, correto? 
Sim! Criamos a chave mestra, o certificado, a chave de criptografia. Em seguida ativamos a criptografia e depois fizemos um backup do certificado.<\/p>\n
Mas que tal um b\u00f4nus<\/strong>! Vamos fazer um Restore? Fique por a\u00ed, voc\u00ea vai gostar!<\/p>\n
Para fazer este Restore, vou pegar o arquivo de backup que tenho armazenado em um blob cont\u00eainer, no Azure<\/strong>, e vou usar o SSMS. Achou interessante?<\/p>\n
Tenho um Post espec\u00edfico sobre este conte\u00fado, se ainda n\u00e3o viu, recomendo. Segue o link:<\/p>\n
Restore de Backups Armazenados no Azure usando Microsoft SSMS<\/a><\/blockquote>