SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

2015/4/10 時点の SQL Database v12 の TDE の対応状況について

leave a comment

SQL Database v12 がリリースされた際に、 Azure is the Ideal Cloud for Your Database Workloads with Increased SQL Server Compatibility, Security, Automation, and Power などで、TDE (透過的データ暗号化 / Transparent Data Encryption) の実装についてのアナウンスがされていました。

Today also marks the introduction of a suite of security features coming to the latest version of SQL Database; Row-Level Security, Dynamic Data Masking, and Transparent Data Encryption.

具体的な構文等のアナウンスがなかったのであまり調べていなかったのですが、2015/4/10 時点の情報を少しまとめてみたいと思います。

TDE ですが、What’s new in SQL Database V12 / SQL データベース V12 の新機能 を見ると現状は記載されていないようです。

現状、プレビューとして提供されている行レベルセキュリティや、動的データマスクについては記載がありますが TDE については記載がありません。

どうなったのかなと思って、調べていると英語版の新機能のページのコメントに回答が。

Yes, we will have more to announce on that soon. Stay tuned.

Love the high interest level in Azure SQL Database and in the Transparent Data Encryption (TDE) feature. But we ain’t gonna prematurely announce specific dates. :-) Tommy’s word "soon" was and is a good description.
.
FOLLOW US ON TWITTER: @SQLTechCenter (and #Azure)…
…is the easiest way for you to hear about new features to Azure SQL Database.
.
We will TWEET about TDE the day it becomes active on Azure SQL Database V12. This WhatsNew topic (above) will also mention TDE on that day.
Please seriously consider following our Twitter account of @SQLTechCenter (as 2590 other tech savvy followers already do). And #Azure in Twitter. Thanks!

TDE が使用できる日の具体的なアナウンスはまだで、準備ができ次第発表があるという感じでしょうか。
@SQLTechCenter をウォッチしておけば TDE のアナウンスがあった際に、発信があるようですので定期的に確認しておくとよさそうですね。

とりあえず、現状の実装状態をこそっと確認してみたところ、今の SQL Database v12 でも有効化はできるようでした。
ただし、地理的復元でリストアするとエラーになったりと、予期せぬ動作が発生してしまうため、お遊び用のデータベース以外では絶対に有効にしないほうがよいかと。

現状でも以下のクエリは実行することができます。

CREATE DATABASE EncTest
ALTER DATABASE EncTest SET ENCRYPTION ON
SELECT * FROM sys.dm_database_encryption_keys

 

トランザクションログを確認すると暗号化の処理のログが書き込まれているため、実際に暗号化が行われているようです。

# AES 256 での暗号化のみがサポートされそうな感じですね。


通常の SQL Server では、

master データベースで

  1. マスターキーの作成
  2. 証明書の作成

TDE を有効にしたいデータベースで

  1. 暗号化キーの作成
  2. データベースの暗号化を有効

というステップが必要となりますが、これが v12 ではどのような手順となるのかの情報を待つ必要があります。

# 現状、いきなり ALTER DATABASE で ON できるのですが、この辺の仕組みがどうしてなのかの情報が公開されていないため、他のサーバーにリストアすることができない状態です。フェールオーバーが発生した場合の挙動もちょっと気になりますよね。

以下のステートメントについては SQL Database v12 のサポートがすでに記載されています。

CREATE MASTER KEY (Transact-SQL)

CREATE CERTIFICATE (Transact-SQL)

sys.symmetric_keys (Transact-SQL)

sys.dm_database_encryption_keys (Transact-SQL)

しかし、

CREATE DATABASE ENCRYPTION KEY (Transact-SQL)

については SQL Databse の記載がありません。

# 通常の構文で実行してみてもエラーとなってしまいました。

機能実装は予定されているようですが、通常の SQL Server の流れとは異なる雰囲気がありますね。

ということで、TDE についてはアナウンスがあるのを待つ状態ですかね。

Written by masayuki.ozawa

4月 10th, 2015 at 8:19 am

Posted in SQL Database

Tagged with

Leave a Reply

*