Estou lendo alguma documentação e white paper sobre Transparent Data Encryption. Algumas documentações também mencionam o backup da chave mestra do serviço (para esclarecimento, não estou falando sobre a chave mestra do banco de dados). Só não entendo exatamente por que isso é necessário, porque consegui fazer backup/restaurar um banco de dados com criptografia TDE do servidor A (backup) para o servidor B (restaurar) sem usar nenhuma chave mestra de serviço.
Em que cenário preciso restaurar a chave mestra de serviço?
Se você está falando sobre a chave mestra do serviço SQL, há uma ocorrência rara em que você realmente precisa restaurá-la.
Estou pensando em alguns cenários em que você precisa restaurar o SMK...
De alguma forma, ele foi corrompido.
Você está reconstruindo seu servidor SQL e planejando restaurar todos os bancos de dados, incluindo os bancos de dados do sistema a partir do backup. Normalmente, neste caso, você também pode não precisar restaurar o SMK se estiver usando a mesma conta e senha do serviço SQL.
No TDE você não precisa restaurar o SMK. Como todos disseram, você só precisa do certificado e da chave privada. Você não precisa ter a mesma chave mestra do banco de dados, pois quando você cria o certificado a partir do backup, ele é criptografado pelo DMK da máquina de destino.
Ao mover um banco de dados TDE para uma nova instância, o que você precisa garantir é que o certificado adequado (ou chave assimétrica) também esteja no
masterbanco de dados de destino. Se você não fizer isso, receberá o seguinte erro:Não é a Chave Mestra de Serviço que precisa ser movida com o backup do banco de dados habilitado para TDE, mas seria o certificado. Por exemplo, digamos que você criou seu DEK (chave de criptografia de banco de dados) com um certificado
masterchamado MyTDECert . Sem esse certificado em sua instância de destino, você não poderá restaurar seu banco de dados.Um caso em que é necessário fazer backup e restaurar o SMK é quando você está atualizando uma topologia de replicação.