SQL Server TDEを使​​用してリモートバックアップを書き込むときに、ネットワークトラフィックは暗号化されますか？

はい、TDEデータはディスク上で暗号化されており、バックアップ操作によって暗号化が解除されることはないため、ネットワークを介して移動するときにバックアップは暗号化されます。

ポールランダルのバックアップの神話 ：

神話30-09）バックアップはバッファプールを介してデータを読み取ります

いいえ。バックアップサブシステムは、データベースファイルへの独自のチャネルを開いて、すべてをSQL Serverのメモリに読み込んでバックアップデバイスに戻すというパフォーマンスへの影響を回避します（また、プロセス内のバッファプールを効果的にフラッシュします）。ページのチェックサムチェックを要求すると、それはメモリの小さな部分を使用します。

ページがバッファプールにロードされた場合（SQLがデータベーステーブルとインデックスデータをキャッシュするためにSQLが使用する「通常の」メモリ空間）、それらを復号化する必要があります。しかし、バックアップはそれを行いません、それらはあなたのバックアップ先に生の暗号化された「エクステント」（連続した8ページのチャンク）を単にダンプします。

Paul Randalから 確認を得ることができました。彼の上記のコメントはまだTDEに関連しています ：

まったく同じように機能します。バッファプールは暗号化を行い、ページをディスクに書き込む前にページチェックサムを追加します。 バックアップneverはバッファープールを介して読み取られません。したがって、はい、TDEデータベースのバックアップには暗号化がまだ含まれています。ページチェックサムは検証されますが、バッファープールコードではなくバックアップコードによって検証されます。

つまり、データベースでCHECKSUMを有効にした場合、それらは（通常のSQL書き込み操作中に）暗号化が発生した後に追加されます。つまり、バックアッププロセスでは、データを復号化せずに、生の（暗号化された）エクステントの読み取り、チェックサムの検証、およびバックアップの書き込みを行うことができます。

これは、ほぼ確実に（SQL 2016より前の）TDEを使​​用してデータベースでバックアップ圧縮を有効にしても何も実行されなかった理由です。 暗号化されたデータはあまり圧縮できないため ：

これは、TDE暗号化データベースのバックアップが取られたときに、データベースページがバックアップされたときに復号化されないためです。それらは通常と同じ暗号化された状態でバックアップされ、次に圧縮されます。本来、暗号化されたデータは非常にユニークであるため、データ圧縮は暗号化されたデータに対してあまり効果がありません。

復元操作についても、同じ原則が適用されます。暗号化されたバックアップはネットワーク全体で暗号化されたままであり、まだ暗号化された状態で復元サーバーのディスクに書き込まれます。復元が完了した後、データベースがメモリにロードされたときにのみ暗号化が解除されます。

...バックアップ操作データがコンピューターAからコンピューターBのディスクに書き込まれるときに暗号化されますか？

はい、バッファプールに入るときに復号化され、出るときに暗号化されます。この状況では、ディスクに書き込むため、最初に暗号化されてから書き込まれます。書き込みはネットワークを介して行われるため、データ自体は暗号化されますが、ネットワークトラフィックの他の部分は暗号化されません。

...復元操作中...移動中のデータが暗号化されていることに気付くでしょうか？

はい、上記と同じですが逆順です。データはディスク上で暗号化されており、暗号化された状態で読み取られて転送されています。次に、インスタンスに到達し、バッファプールに読み込まれ、途中で暗号化が解除されます。