En la publicación de blog de hoy, discutiremos el proceso de rotación de claves de cifrado para Always Encrypted en SQL Server. El cifrado es un aspecto esencial de la seguridad de los datos y la rotación regular de claves es necesaria para mantener la fortaleza de su cifrado con el tiempo.

Always Encrypted en SQL Server utiliza dos claves: la Clave Maestra de Columna (CMK) y la Clave de Cifrado de Columna (CEK). La CEK es una clave simétrica almacenada dentro de SQL Server y no cambia durante la rotación. Por otro lado, la CMK es un certificado que debe rotarse periódicamente.

La CMK se almacena fuera de SQL Server, generalmente en el almacén de certificados de Windows. Como resultado, los administradores de bases de datos pueden requerir asistencia de los administradores de Windows o los administradores de seguridad durante el proceso de rotación.

Veamos los pasos para rotar la CMK:

1. Abra SQL Server Management Studio y vaya a su base de datos.
2. Expanda la carpeta Seguridad, luego la carpeta Always Encrypted Keys y finalmente la carpeta Column Master Keys.
3. Haga clic derecho en la carpeta Column Master Keys y seleccione “Nueva clave maestra de columna…”.
4. Proporcione un nombre para la nueva clave y elija la ubicación para la clave. Las opciones suelen ser “Almacén de certificados de Windows – Usuario actual” o “Almacén de certificados de Windows – Equipo local”.
5. Haga clic en “Generar certificado” para crear la nueva clave.
6. Una vez que la nueva clave aparezca en la lista, haga clic en “Aceptar” para guardar los cambios.
7. Para rotar la clave, haga clic derecho en la clave que desea rotar y seleccione “Rotar”.
8. Elija la nueva clave en el asistente que aparece.
9. Después de un breve momento, la ventana se cerrará, lo que indica que la rotación está completa.

Es crucial recordar duplicar la nueva clave en todas las máquinas cliente que necesiten descifrar los datos protegidos por Always Encrypted. Este paso garantiza que los datos sigan siendo accesibles para los usuarios autorizados.

También es posible automatizar el proceso de rotación de claves utilizando PowerShell. Microsoft proporciona instrucciones detalladas y ejemplos en su documentación para ambos entornos con y sin separación de funciones.

Al rotar regularmente sus claves de cifrado para Always Encrypted, puede mejorar la seguridad de su base de datos de SQL Server y proteger los datos sensibles contra el acceso no autorizado.

Gracias por leer esta publicación de blog sobre la rotación de claves de cifrado para Always Encrypted en SQL Server. Estén atentos para más artículos informativos sobre SQL Server y seguridad de datos.

Fuente: The Data Files