Saya membaca beberapa dokumentasi dan whitepaper tentang Enkripsi Data Transparan. Beberapa dokumentasi menyebutkan untuk membuat cadangan Service Master Key juga (Untuk klarifikasi saya tidak berbicara tentang Database Master Key). Saya hanya tidak mengerti persis mengapa ini diperlukan, karena saya dapat membuat cadangan / memulihkan Database dengan Enkripsi TDE dari Server A (cadangan) ke Server B (memulihkan) tanpa menggunakan Kunci Master Layanan.
Dalam skenario apa saya perlu mengembalikan Kunci Master Layanan?
Jawaban:
Jika Anda berbicara tentang kunci master layanan SQL, maka ada kejadian langka di mana Anda benar-benar perlu mengembalikannya.
Saya sedang memikirkan beberapa skenario di mana Anda perlu mengembalikan SMK ...
Entah bagaimana itu rusak.
Anda sedang membangun kembali server SQL Anda dan berencana untuk memulihkan setiap basis data termasuk basis data sistem dari cadangan. Biasanya dalam kasus ini juga Anda mungkin tidak perlu mengembalikan SMK jika Anda menggunakan akun layanan dan kata sandi SQL yang sama.
Di TDE Anda tidak perlu mengembalikan SMK. Seperti yang dikatakan semua orang, Anda hanya perlu sertifikat dan kunci pribadi. Anda tidak perlu memiliki kunci master basis data yang sama, juga seperti ketika Anda membuat sertifikat dari cadangan itu akan dienkripsi oleh DMK mesin tujuan.
sumber
Saat Anda memindahkan basis data TDE ke instance baru, yang perlu Anda pastikan adalah bahwa sertifikat yang tepat (atau kunci asimetris) juga ada di
master
basis data tujuan . Jika Anda gagal melakukan ini, Anda akan menerima kesalahan berikut:Itu bukan Service Master Key yang perlu dipindahkan dengan cadangan basis data yang diaktifkan TDE, tetapi itu akan menjadi sertifikat. Misalnya, Anda membuat DEK (kunci enkripsi basis data) dengan sertifikat
master
bernama MyTDECert . Tanpa sertifikat itu pada instance tujuan Anda, Anda tidak akan dapat memulihkan database Anda.sumber
Satu kasus di mana Anda perlu membuat cadangan dan memulihkan SMK adalah ketika Anda meningkatkan topologi replikasi.
sumber