![\"twitter\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/twitter.png\" "\\"Share")
<\/a><\/a>![\"linkedin\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/linkedin.png\" "\\"Share")
<\/a>![\"mail\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/mail.png\" "\\"Share")
<\/a>Dans un premier \u00e9pisode (https:\/\/blog.capdata.fr\/index.php\/le-chiffrement-et-sql-server-episode-1-transparent-data-encryption-tde-vs-always-encrypted<\/a> ) nous avons eu l’occasion de voir les deux grandes approches du chiffrement dans SQL Server, sous un angle th\u00e9orique.<\/p>\n Maintenant que l’on a couvert les concepts derri\u00e8re le chiffrement “at rest” de SQL Server, voici comment le mettre en \u0153uvre concr\u00e8tement.<\/p>\n On notera que cela a \u00e9t\u00e9 maquett\u00e9 en SQL Server 2022, mais que mis \u00e0 part la sauvegarde (cf. Episode 1), les concepts sont les m\u00eames.<\/p>\n <\/p>\n Le fonctionnement est donc le suivant :<\/p>\n La cl\u00e9 de chiffrement par Windows \u00e0 SQL Server va permettre de cr\u00e9er la Database Master Key de la base Master. Celle-ci servira \u00e0 signer le certificat de la base Master. Ce certificat stockera les cl\u00e9s asym\u00e9triques utilis\u00e9s pour chiffrer les bases de donn\u00e9es utilisateurs.<\/p>\n Windows fourni une Service Master Key<\/a> au premier d\u00e9marrage de SQL Server apr\u00e8s son installation. Celle-ci n’est visible et exploitable que par le compte de service SQL Server. Elle peut \u00eatre identifi\u00e9e ainsi :<\/p>\n Elle porte le nom de ##MS_ServiceMasterKey##. Par mesure de s\u00e9curit\u00e9, on va sauvegarder cette SMK<\/a> :<\/p>\n On peut donc d\u00e9sormais cr\u00e9er le certificat dans la base master . Par d\u00e9faut, celui-ci a une dur\u00e9e de vie d’un an. Cela peut potentiellement alourdir la maintenance, car il faudra d\u00e9chiffrer la base, cr\u00e9er un nouveau certificat et re-chiffrer la base. Dans l’exemple ci-dessous, nous partons sur une dur\u00e9e de vie… “lointaine” :<\/p>\n On peut la v\u00e9rifier avec la commande suivante :<\/p>\n De la m\u00eame mani\u00e8re que l’on a sauvegard\u00e9 la Service Master Key, on va sauvegarder ce certificat : il nous servira si l’on souhaite restaurer la base sur un autre serveur ou bien pour des solutions de haute disponibilit\u00e9 :<\/p>\n Maintenant que l’on a ce certificat, on peut enfin cr\u00e9er les cl\u00e9s de chiffrements TDE pour la base m\u00e9tier que l’on souhaite chiffrer :<\/p>\n Egalement, on peut v\u00e9rifier la pr\u00e9sence de notre paire de cl\u00e9s avec :<\/p>\n Deux lignes doivent apparaitre avec le key_id 101.<\/p>\n Il est possible que l’avertissement suivant apparaisse :<\/p>\n C’est parce que vous avez oubli\u00e9 de r\u00e9aliser une sauvegarde du certificat. Cela peut \u00eatre v\u00e9rifi\u00e9 ais\u00e9ment :<\/p>\n <\/p>\n On voit donc le certificat associ\u00e9 \u00e0 la paire de cl\u00e9 ainsi que la date de la derni\u00e8re sauvegarde.<\/p>\n Maintenant que les pr\u00e9-requis cryptographiques sont pr\u00e9sents, on peut activer enfin TDE :<\/p>\n Cela se fera en fond de t\u00e2che et n’emp\u00eachera pas l’utilisation de la base. La dur\u00e9e de l’op\u00e9ration d\u00e9pendera de la volum\u00e9trie, de la version de SQL Server et des CPU pr\u00e9sents (cf. Episode 1).<\/p>\n On peu cependant mettre en suspend si jamais cela consommait trop de ressource, \u00e0 partir de SQL Server 2019 avec les commandes suivantes\u00a0 :<\/p>\n Si jamais vous ne savez plus o\u00f9 vous en \u00eates du chiffrement de vos bases, vous pouvez \u00e9galement interroger v\u00e9rifier ainsi :<\/p>\n Cela nous renvoie ainsi le tableau suivant :<\/p>\n On voit ainsi que notre base AdventureWorks est bien chiffr\u00e9e (et non pas “chiffrement en cours”). On voit \u00e9galement que la TempDb est chiffr\u00e9e ! Eh oui : si jamais il y avait des op\u00e9rations avec des tables temporaires, il faut bien entendu que les donn\u00e9es soient chiffr\u00e9e sur celle-ci. Cela veut donc dire un impact en terme de de performances pour les autres bases m\u00e9tier qui seraient sur le m\u00eame serveur, m\u00eame si elles ne sont pas chiffr\u00e9es !<\/p>\n Maintenant, imaginons que l’on veuille mettre cette base de donn\u00e9es dans un groupe de disponibilit\u00e9 AlwaysOn : comment faire ? Il suffit simplement de restaurer le certificat et sa cl\u00e9 priv\u00e9 sur le(s) r\u00e9plicat(s) secondaire(s) pour pouvoir acc\u00e9der aux donn\u00e9es. C’est \u00e9galement la m\u00eame proc\u00e9dure si on veut juste restaurer la base sur un autre serveur.<\/p>\n Dans un premier temps, on va s’assurer que le serveur qui nous servira de r\u00e9plica secondaire a bien une Master Key\u00a0 :<\/p>\n On copie la paire de fichiers sauvegard\u00e9s avec le certificat plus t\u00f4t sur le serveur destination (par exemple dans le r\u00e9pertoire de backup, mais attention \u00e0 ne pas les y laisser trainer trop longtemps) :<\/p>\n A partir de maintenant, une base de donn\u00e9es chiffr\u00e9e avec une paire de cl\u00e9 issue de ce certificat sera lisible sur ce serveur !<\/p>\n On peut donc par exemple l’int\u00e9grer \u00e0 un groupe de disponibilit\u00e9 d\u00e9j\u00e0 pr\u00e9sent. Sur le r\u00e9plica principal (LAB1SQL1 et LAB1SQL2 est le secondaire):<\/p>\n puis sur le r\u00e9plica secondaire :<\/p>\n Avec l’Automatic Seeding, la base sera cr\u00e9e et dupliqu\u00e9e chiffr\u00e9e, sans m\u00eame passer par l’\u00e9tape de backup.<\/p>\n Dans l’\u00e9pisode 1, on parlait de l’impact du chiffrement sur la taille des backups. Ici, dans notre exemple avec SQL Server 2022 et la base AdventureWorks, la base de donn\u00e9es sans TDE fait 54 688 Ko, tandis que la version avec TDE fait 52 292 Ko : autant dire que c’est n\u00e9gligeable et que l’\u00e9cart est li\u00e9 \u00e0 la fragmentation apr\u00e8s le d\u00e9chiffrement.<\/p>\n Une fois de plus et comme expliqu\u00e9 dans l’\u00e9pisode 1, pensez \u00e0 mettre les sauvegardes de vos cl\u00e9s et certificats dans un endroit s\u00e9curis\u00e9 !! En l’absence de votre certificat, vous serez incapable de restaurer vos donn\u00e9es !<\/strong><\/p>\n Dans le prochain \u00e9pisode, nous verrons concr\u00e8tement comment d\u00e9ployer une strat\u00e9gie de chiffrement avec Always Encrypted : stay tuned !<\/p>\n Dans un premier \u00e9pisode (https:\/\/blog.capdata.fr\/index.php\/le-chiffrement-et-sql-server-episode-1-transparent-data-encryption-tde-vs-always-encrypted ) nous avons eu l’occasion de voir les deux grandes approches du chiffrement dans SQL Server, sous un angle th\u00e9orique. Maintenant que l’on a couvert les concepts derri\u00e8re le chiffrement “at rest” de SQL Server,… Continuer la lecture Concepts de Transparent Data Encryption<\/h2>\n
![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2023\/11\/TDE_architecture-278x300.png\")
<\/p>\n Cr\u00e9er les cl\u00e9s de chiffrement<\/h2>\n
\r\n\r\nuse master\r\ngo\r\nselect * from sys.symmetric_keys ;\r\n\r\n<\/pre>\n
\r\n\r\nBACKUP SERVICE MASTER KEY TO FILE = 'C:\\Program Files\\Microsoft SQL Server\\MSSQL16.MSSQLSERVER\\MSSQL\\Backup\\Service_Master_Key.smk' ENCRYPTION BY PASSWORD = 'HugEEEEEP@$$word4SMK!' ;\r\nGO\r\n\r\n<\/pre>\n
\r\nUse master\r\ngo\r\nCREATE CERTIFICATE MyServerMasterCertForTDE WITH SUBJECT = 'DEK Certificate used for TDE keys' ,EXPIRY_DATE = '2100-12-31';\r\nGO\r\n\r\n<\/pre>\n
\r\nselect * from sys.certificates where SUBJECT = 'DEK Certificate used for TDE keys';\r\n<\/pre>\n
\r\nBACKUP CERTIFICATE MyServerMasterCertForTDE TO FILE = 'C:\\Program Files\\Microsoft SQL Server\\MSSQL16.MSSQLSERVER\\MSSQL\\Backup\\Master_Certificate_for_TDE.crt' \r\nWITH PRIVATE KEY (FILE = 'C:\\Program Files\\Microsoft SQL Server\\MSSQL16.MSSQLSERVER\\MSSQL\\Backup\\Master_Certificate_for_TDE_PrivateKey' , \r\nENCRYPTION BY PASSWORD = 'HugEEEEEP@$$word4Cert!');\r\n<\/pre>\n
\r\nUse AdventureWorks\r\nGO\r\nCREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE MyServerMasterCertForTDE ; \r\nGO\r\n<\/pre>\n
\r\nUse AdventureWorks\r\nGO\r\nselect * from sys.key_encryptions\r\n<\/pre>\n
\r\nWarning: The certificate used for encrypting the database encryption key has not been backed up. You should immediately back up the certificate and the private key\r\nassociated with the certificate. If the certificate ever becomes unavailable or if you must restore or attach the database on another server,\r\nyou must have backups of both the certificate and the private key or you will not be able to open the database.\r\n<\/pre>\n
\r\n\r\nUse AdventureWorks\r\nGO\r\nSELECT pvt_key_last_backup_date,\r\nDb_name(dek.database_id) AS encrypteddatabase,\r\nc.name AS Certificate_Name\r\nFROM master.sys.certificates c\r\nINNER JOIN sys.dm_database_encryption_keys dek ON c.thumbprint = dek.encryptor_thumbprint;\r\n\r\n<\/pre>\n
![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2023\/11\/tde_check1-300x92.png\")
<\/p>\n Activation de TDE pour la base<\/h2>\n
\r\nUse AdventureWorks\r\nGO\r\nALTER DATABASE AdventureWorks SET ENCRYPTION ON ;\r\nGO\r\n<\/pre>\n
\r\nALTER DATABASE AdventureWorks SET ENCRYPTION SUSPEND ;\r\nALTER DATABASE AdventureWorks SET ENCRYPTION RESUME ;\r\n<\/pre>\n
\r\nselect\r\ndb.name,\r\nEncryptionStatus = CASE encryption_state\r\nWHEN 0 THEN 'Pas de DEK, pas chiffr\u00e9e' -- oui, alors dans les faits, si c'est le cas il n'y pas de ligne dans la table dek. Mais dans la doc...\r\nWHEN 1 THEN 'DEK pr\u00e9sente, pas chiffr\u00e9e'\r\nWHEN 2 THEN 'Chiffrement en cours'\r\nWHEN 3 THEN 'Chiffr\u00e9e'\r\nWHEN 4 THEN 'Changement de cl\u00e9 en cours'\r\nWHEN 5 THEN 'D\u00e9chiffrement en cours'\r\nWHEN 6 THEN 'Changement de certificat ou cl\u00e9 en cours'\r\nELSE 'Statut inconnu'\r\nEND\r\nfrom sys.dm_database_encryption_keys dek\r\nLEFT OUTER JOIN sys.databases db ON dek.database_id = db.database_id\r\n<\/pre>\n
![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2023\/11\/tde_check2-300x89.png\")
<\/p>\n Int\u00e9gration du chiffrement TDE dans un groupe de disponibilit\u00e9 Always-On<\/h2>\n
\r\nUse master\r\nGO\r\nCREATE MASTER KEY ENCRYPTION BY PASSWORD = 'HugEEEEEP@$$word!'\r\nGO\r\n<\/pre>\n
\r\nUse master\r\ngo\r\nCREATE CERTIFICATE MyServerMasterCertForTDE FROM FILE = 'C:\\Program Files\\Microsoft SQL Server\\MSSQL16.MSSQLSERVER\\MSSQL\\Backup\\Master_Certificate_for_TDE.crt'\r\nWITH PRIVATE KEY (FILE = 'C:\\Program Files\\Microsoft SQL Server\\MSSQL16.MSSQLSERVER\\MSSQL\\Backup\\Master_Certificate_for_TDE_PrivateKey',\r\nDECRYPTION BY PASSWORD = 'HugEEEEEP@$$word4Cert!') ;\r\nGO\r\n<\/pre>\n
\r\nUSE [master]\r\nGO\r\nALTER AVAILABILITY GROUP [LAB1AG]\r\nMODIFY REPLICA ON N'LAB1SQL2' WITH (SEEDING_MODE = AUTOMATIC)\r\nGO\r\n\r\nALTER AVAILABILITY GROUP [LAB1AG]\r\nADD DATABASE [AdventureWorks];\r\nGO\r\n<\/pre>\n
\r\nALTER AVAILABILITY GROUP [LAB1AG] GRANT CREATE ANY DATABASE;\r\nGO\r\n<\/pre>\n
Remarques sur les diff\u00e9rences de taille de base<\/h2>\n
<\/a><\/a><\/a>","protected":false},"excerpt":{"rendered":"