Eles dizem que não existe uma "pergunta estúpida", então aqui vai:
Entendo que a TDE ( criptografia de dados transparente) do SQL Server criptografa os dados em repouso, para que seus arquivos de banco de dados (.mdf) e arquivos de backup (.bak) sejam criptografados caso alguém invadir seu armazenamento e roubar esses arquivos. Também entendo que os dados são descriptografados quando lidos do disco, para que não sejam criptografados na memória (em movimento). Portanto, os dados solicitados por um usuário executando uma consulta remota (selecione * a partir de SensitiveData) não serão criptografados ao viajar pela rede e, portanto, vulneráveis à interceptação.
Portanto, supondo que todas as opções acima estejam corretas, eis a minha pergunta estúpida: se minha instância do SQL Server estiver no computador A e meus backups do banco de dados TDE forem baixados para armazenamento no computador remoto B, os dados da operação de backup serão criptografados à medida que eles passam computador A a ser gravado no disco no computador B? Suponho que deve ser (porque suponho que a operação de criptografia ocorra primeiro no computador A), mas não consigo encontrar confirmação disso em nenhuma documentação da Microsoft ou nos blogs. Da mesma forma, durante uma operação de restauração - alguém interceptou os dados que estão sendo transferidos do disco no computador B para restaurar o banco de dados no computador A - eles acham esses dados em movimento criptografados?