Transparent Data Encryption versleutelt datafiles en backups on-rest met een database-encryption-key, beschermd door een server-master-key en een certificaat. Voor AVG-compliance op gevoelige data is TDE een laag die regulators expliciet verwachten.
Key hierarchy en certificaat-backup
Service Master Key, Database Master Key, Server Certificate, Database Encryption Key. De keten is alleen zo sterk als de zwakste backup. Het certificaat plus zijn private key moeten apart, off-host, in een KMS of HSM bewaard worden. Verlies van het certificaat betekent verlies van data.
Initial encryption en performance
Bij ALTER DATABASE SET ENCRYPTION ON encrypteert SQL Server alle bestaande pages on-the-fly. Dit kost CPU en log-volume. Voor een 1TB-database rekent u op 6 tot 12 uur. Wij plannen dat op een rustig moment en monitoren met sys.dm_database_encryption_keys.
Backup-strategie met TDE
Backups van een TDE-database zijn automatisch encrypted. Restores op een andere server vereisen het certificaat plus private key op die server. Een restore-test hoort verplicht in het schema; de eerste keer dat u dat probeert na een incident is geen leerontwikkeling.
EKM en Azure Key Vault integratie
Voor key management buiten SQL Server: Extensible Key Management met Azure Key Vault of een on-prem HSM. Dit voldoet aan strengere compliance-kaders (DORA, NIS2 voor essentiële entiteiten). De inrichting is technisch maar standaard.
Combineren met Always On
TDE op een database die in een AG zit: certificaat moet op alle replicas staan voordat je TDE inschakelt. Anders breekt synchronisatie. Volgorde: certificaat naar alle nodes, daarna ALTER DATABASE SET ENCRYPTION ON op de primary.
Verwant: Freelance SQL DBA, Always Encrypted.