Tutorial: Migración de bases de datos habilitadas para TDE (versión preliminar) a Azure SQL en Azure Data Studio
Para proteger una base de datos de SQL Server, puede tomar precauciones como diseñar un sistema seguro, cifrar recursos confidenciales y crear un firewall. Sin embargo, el robo físico de medios como unidades o cintas todavía puede poner en peligro los datos.
TDE proporciona una solución a este problema, mediante el cifrado o descifrado de datos en reposo (datos y archivos de registro) en tiempo real al usar una clave de cifrado de base de datos simétrica (DEK) protegida por un certificado. Para obtener más información sobre cómo migrar certificados TDE manualmente, consulte Mover una base de datos protegida por TDE a otro SQL Server.
Al migrar una base de datos protegida por TDE, el certificado (clave asimétrica) que se usa para abrir la clave de cifrado de base de datos (DEK) también debe moverse junto con la base de datos de origen. Por lo tanto, debe volver a crear el certificado de servidor en la base de datos master
de la instancia de SQL Server de destino para que esta tenga acceso a los archivos de base de datos.
Puede usar la extensión de migración de Azure SQL para Azure Data Studio para facilitar la migración de bases de datos habilitadas para TDE (versión preliminar) desde una instancia local de SQL Server a Azure SQL.
El proceso de migración de bases de datos habilitadas para TDE automatiza las tareas manuales, como realizar copias de seguridad de las claves de certificado de base de datos (DEK), copiar los archivos de certificado desde la instancia de SQL Server local al destino de Azure SQL y volver a configurar TDE para la base de datos de destino de nuevo.
Importante
Actualmente solo se admiten los destinos de Azure SQL Managed Instance. No se admiten copias de seguridad cifradas.
En este tutorial, aprenderá a migrar la base de datos cifrada de ejemplo AdventureWorksTDE
desde una instancia local de SQL Server a una instancia administrada de Azure SQL.
- Abrir el Asistente para migrar a Azure SQL en Azure Data Studio.
- Ejecutar una evaluación de las bases de datos de origen de SQL Server de origen.
- Configuración de la migración de certificados TDE
- Conexión al destino de Azure SQL
- Iniciar la migración del certificado TDE y supervisar el progreso hasta su finalización
Requisitos previos
Antes de comenzar el tutorial:
Instale la extensión Azure SQL Migration desde el marketplace de Azure Data Studio.
Ejecute Azure Data Studio como administrador.
Debe tener una cuenta de Azure que esté asignada a uno de los siguientes roles integrados:
- Colaborador de la instancia administrada de destino (y cuenta de almacenamiento para cargar las copias de seguridad de los archivos de certificado TDE desde el recurso compartido de red a través de SMB).
- Rol de Lector de los grupos de recursos de Azure que contienen la instancia administrada de destino o la cuenta de almacenamiento de Azure.
- Rol propietario o colaborador para la suscripción de Azure (obligatorio si se crea un nuevo servicio DMS).
- Como alternativa al uso de los roles integrados mencionados, puede asignar un rol personalizado. Para obtener más información, consulte Roles personalizados: migraciones de SQL Server a SQL Managed Instance con ADS.
Cree una instancia de destino de Azure SQL Managed Instance.
Asegúrese de que el inicio de sesión que usa para conectarse al origen de SQL Server sea miembro del rol de servidor sysadmin.
La máquina en la que Azure Data Studio ejecuta la migración de base de datos habilitada para TDE debe tener conectividad con orígenes y servidores SQL de destino.
Abrir el Asistente para migrar a Azure SQL en Azure Data Studio.
Para abrir el Asistente para la migración a Azure SQL:
En Azure Data Studio, vaya a Conexiones. Conéctese a la instancia local de SQL Server. También puede conectarse a SQL Server en una máquina virtual de Azure.
Haga clic con el botón derecho en la conexión del servidor y seleccione Administrar.
En el menú del servidor, en General, seleccione Azure SQL Migration.
En el panel Azure SQL Migration, seleccione Migrar a Azure SQL para abrir el Asistente para la migración.
En la primera página del asistente, inicie una nueva sesión o reanude una guardada anteriormente.
Ejecución de la evaluación de la base de datos
En el Paso 1: Bases de datos para la evaluación del Asistente para la migración a Azure SQL, seleccione las bases de datos que quiere evaluar. Después, seleccione Siguiente.
En Paso 2: Resultados de la evaluación, realice los pasos siguientes:
En Elegir el destino de Azure SQL, seleccione Azure SQL Managed Instance.
Seleccione Ver o seleccionar para ver los resultados de la evaluación.
En los resultados de la evaluación, seleccione la base de datos y revise los resultados de la evaluación. En este ejemplo, puede ver que la base de datos
AdventureWorksTDE
está protegida con cifrado de datos transparente (TDE). La evaluación recomienda migrar el certificado TDE antes de migrar la base de datos de origen al destino de la instancia administrada.Elija Seleccionar para abrir el panel de configuración de migración de TDE.
Configuración de las opciones de migración de TDE
En la sección Base de datos cifrada seleccionada, seleccione Exportar mis certificados y clave privada al destino.
En la sección Cuadro de información, se describen los permisos necesarios para exportar los certificados DEK.
Debe asegurarse de que la cuenta de servicio de SQL Server tenga acceso de escritura a la ruta de acceso del recurso compartido de red que se usa para realizar una copia de seguridad de los certificados DEK. Además, el usuario actual debe tener privilegios de administrador en el equipo donde existe esta ruta de acceso de red.
Escriba la ruta de acceso de red.
A continuación, marque la casilla Doy consentimiento para usar mis credenciales para acceder a los certificados. Con esta acción, va a permitir que el Asistente para la migración de bases de datos realice una copia de seguridad del certificado DEK en el recurso compartido de red.
Puede que no desee que el Asistente para la migración le ayude a migrar bases de datos habilitadas para TDE. Seleccione No quiero que Azure Data Studio exporte los certificados. para omitir este paso.
Importante
Debe migrar los certificados antes de continuar con la migración; de lo contrario, se producirá un error en la migración. Para obtener más información sobre cómo migrar certificados TDE manualmente, consulte Mover una base de datos protegida por TDE a otro SQL Server.
Si desea continuar con la migración de certificación de TDE, seleccione Aplicar.
El panel de configuración de migración de TDE se cerrará, pero puede seleccionar Editar para modificar la configuración del recurso compartido de red en cualquier momento. Seleccione Siguiente para continuar con el proceso de migración.
Configuración de valores de migración
En Paso 3: Destino de Azure SQL en el Asistente para la migración a Azure SQL, realice estos pasos para la instancia administrada de destino:
Seleccione la cuenta, la suscripción, la región o la ubicación de Azure y el grupo de recursos que contiene la instancia administrada.
Cuando esté listo, seleccione Migrar certificados para iniciar la migración de certificados TDE.
Inicio y supervisión de la migración de certificados TDE
En Paso 3: Estado de migración, se abrirá el panel Migración de certificados. Los detalles del progreso de la migración de certificados TDE se muestran en la pantalla.
Una vez completada la migración de TDE (o si tiene errores), la página muestra las actualizaciones pertinentes.
En caso de que tenga que volver a intentar la migración, seleccione Reintentar la migración.
Cuando esté listo, seleccione Listo para continuar con el Asistente para la migración.
Para supervisar el proceso de cada certificado de TDE, seleccione Migrar certificados.
Seleccione Siguiente para continuar con el asistente para la migración hasta completar la migración de la base de datos.
Consulte los siguientes tutoriales paso a paso para obtener más información sobre la migración de bases de datos en línea o sin conexión a los destinos de Azure SQL Managed Instance:
Pasos posteriores a la migración
La instancia administrada de destino ahora debería contener las bases de datos y sus respectivos certificados migrados. Para comprobar el estado actual de la base de datos migrada recientemente, copie y pegue el ejemplo siguiente en una nueva ventana de consulta en Azure Data Studio mientras está conectado al destino de la instancia administrada. Luego, seleccione Ejecutar.
USE master;
GO
SELECT db_name(database_id),
key_algorithm,
encryption_state_desc,
encryption_scan_state_desc,
percent_complete
FROM sys.dm_database_encryption_keys
WHERE database_id = DB_ID('Your database name');
GO
La consulta devuelve la información sobre la base de datos, el estado de cifrado y el porcentaje pendiente completado. En este caso, es cero porque el certificado TDE ya se ha completado.
Para obtener más información sobre el cifrado con SQL Server, consulte: Cifrado de datos transparente (TDE).
Limitaciones
En la tabla siguiente se describe el estado actual de las migraciones de base de datos habilitadas para TDE compatibles con el destino de Azure SQL:
Destino | Soporte técnico | Estado |
---|---|---|
Azure SQL Database | No | |
Instancia administrada de Azure SQL | Sí | Versión preliminar |
SQL Server en máquina virtual de Azure | No |
Contenido relacionado
- Migración de bases de datos con la extensión Azure SQL Migration para Azure Data Studio
- Tutorial: Migración de SQL Server a Azure SQL Database sin conexión
- Tutorial: Migración de SQL Server a Azure SQL Managed Instance en línea
- Tutorial: Migración de SQL Server a SQL Server en Azure Virtual Machines en línea