Estou tentando descobrir quais efeitos indesejáveis o uso de uma gMSA como conta de serviço para MS SQL Server pode ter ao usar certificados TDE para criptografar bancos de dados.
Pelo que entendi, existe uma hierarquia de criptografia no SQL Server. No nível superior está a Service Master Key, que é gerada automaticamente quando a instância do SQL Server é iniciada pela primeira vez. A chave mestra de serviço é criptografada com uma chave, mais ou menos baseada nas credenciais do Windows da conta de serviço do SQL Server e nas credenciais do computador. A chave mestra de serviço, por sua vez, criptografa a chave mestra do banco de dados.
A chave mestra do banco de dados, por sua vez, é usada para proteger as chaves privadas dos certificados.
Ao usar certificados TDE para criptografar bancos de dados, é uma prática recomendada criar um backup desse certificado e da chave privada.
Uma característica especial de um gMSA é que a senha será gerenciada pelo diretório ativo. Pelo que sei, parte desse gerenciamento é que o Active Directory altera essa senha regularmente.
Então minhas perguntas são:
- O que acontece quando a senha do gMSA for alterada pelo diretório ativo em relação à chave mestra de serviço, chave mestra de banco de dados e certificados existentes?
- Os bancos de dados (criptografados com certificados TDE) nesta instância do SQL Server ainda podem ser descriptografados?
- O backup do certificado e sua chave privada ainda podem ser usados para anexar bancos de dados criptografados com esses certificados em outra instância do SQL Server?
Fiz algumas pesquisas sobre esse tópico, mas foi um pouco difícil encontrar informações precisas sobre como toda a hierarquia de criptografia é afetada quando a senha da conta de serviço é alterada. Este artigo, por exemplo, afirma que a chave mestra de serviço ficará inutilizável: https://www.sqlserverscience.com/security/data-security/filesystem-security-tde-keys-certificates/?utm_medium=referral&utm_source=dba.stackexchange.com&utm_campaign= 232330
Por outro lado, é difícil acreditar que usar um gMSA - que normalmente é uma boa escolha como conta de serviço para SQL Server - possa causar tais problemas.
Então, eu ficaria muito grato pela ajuda neste tópico. Agradeço antecipadamente!
Nada, não importa qual seja ou era a senha da conta, desde que o gMSA consiga fazer o login e se verificar, está tudo bem.
Sim.
Sim.
A senha em si realmente não desempenha um papel, mas você precisa da conta e da senha para fazer um logon, o que o serviço precisará fazer quando for iniciado. Se você não tiver isso, o serviço não será iniciado. Dito isto, você pode alterar a conta de serviço para outra conta e, adicionando as permissões necessárias, iniciar o SQL Server e ter acesso a tudo. O que não dá é alterar a conta da máquina e a conta do serviço ao mesmo tempo.
Observe que estou usando a senha aqui como se alguém soubesse a senha de um gMSA, o que não acontece.
Você realmente só precisa de uma cópia do certificado, é isso que criptografa a chave de criptografia do banco de dados (dek) no banco de dados do usuário (este certificado reside no mestre ou em um dispositivo EKM). Se você tiver o certificado, poderá restaurá-lo no banco de dados mestre em qualquer instância do SQL Server e, em seguida, anexar/restaurar o banco de dados do usuário e ele será descriptografado. Não há necessidade de usar as mesmas contas ou servidor. É por isso que é muito importante ter cópias boas e seguras do certificado.