SQL Server 2008 - Transparent Data Encryption undecrypted Zugang

Question

Meine Frage ist ein Duplikat - Oracle Transparent Data Encryption undecrypted Zugang -. aber für SQL Server 2008

---

Kann ich eine SQL Server 2008 Datenbank in einer Weise, dass alle folgenden Aussagen wahr sind?

a) bestimmte Spalten, möglicherweise werden alle Spalten verschlüsselt, so dass eine direkte Dateizugriff auf die Datenbankdatei ein Angreifer nicht zulassen, dass alle Datensätze abzurufen

b) werden die verschlüsselten Spalten transparent für autorisierte Benutzer entschlüsselt, wenn die Genehmigung geschieht z.B. durch eine gewisse Rolle oder Privileg mit

c) ein Admin der suiteable Privilegien zu tun ‚normale‘ admin Aufgaben (Tuning, Erstellung / Droping Schemaobjekte hat, Datenbank-Neustart von Data Dictionary Auswahl) kann die Tabellen auswählen, sondern nur verschlüsselte Daten in den verschlüsselten Spalten.

Wenn dies möglich ist, wie soll ich tun es. Wenn es nicht möglich ist, was sind die Optionen, die ich zumindest get ‚close‘ haben auf diese Anforderungen?

Ich weiß, a) ist möglich, aber ich bin mir nicht sicher, b) und c).

Danke.

Answer 1

Nein, denn man kann nicht Transparent Data Encryption auf ausgewählte Spalten auszuführen nur:

Transparente Datenverschlüsselung (TDE) führt Echtzeit-I / O-Verschlüsselung und Entschlüsselung der Daten und Protokolldateien. Die Verschlüsselung verwendet eine Datenbank Verschlüsselungsschlüssel (DEK), die gespeichert ist, in dem Datenbank-Boot-Record für Verfügbarkeit während der Wiederherstellung. die DEK ein symmetrischer Schlüssel wird durch Verwendung eines gesichert Zertifikat in dem Master gespeicherten Datenbank des Servers oder ein asymmetrische Schlüssel durch einen EKM geschützt Modul. TDE schützt die Daten „in Ruhe“, die Daten und Log-Dateien bedeutet. Es bietet die Möglichkeit, mit einzuhalten viele Gesetze, Verordnungen und Richtlinien in verschiedenen Branchen etabliert. Dies ermöglicht es Softwareentwicklern Verschlüsseln von Daten unter Verwendung von AES und 3DES Verschlüsselungsalgorithmen ohne Änderung bestehende Anwendungen. Ref .

Hier sind einige Dinge, die Sie über TDE (mit freundlicher Genehmigung von Brad McGehee Blog ):

• TDE nicht schützen Daten im Speicher können so sensible Daten von jedermann gesehen werden, die DBO-Rechte auf eine Datenbank hat, oder SA Rechte an die SQL Server-Instanz. Mit anderen Worten, TDE nicht DBAs verhindern, sehen alle Daten, die sie sehen wollen.

• TDE ist nicht körnig. Dann gesamte Datenbank verschlüsselt.

• TDE nicht schützt die Kommunikation zwischen Client-Anwendungen und SQL Server, so dass andere Verschlüsselungsverfahren müssen zum Schutz von Daten verwendet werden, fließen über das Netzwerk.

• FILESTREAM-Daten werden nicht verschlüsselt.

• Wenn eine Datenbank auf einer SQL-Server-Instanz hat TDE eingeschaltet wird, dann wird die Datenbank tempdb automatisch verschlüsselt, was zu einem schlechten Leistung für beide verschlüsselten und unverschlüsselt Datenbanken läuft auf derselben Instanz beitragen kann.

• Obwohl weniger Ressourcen benötigt werden TDE als Verschlüsselung auf Spaltenebene zu implementieren, es entsteht noch einige Overhead, die es verhindern kann von auf SQL-Servern verwendet werden, die CPU-Engpässe auftreten.

• Datenbanken mit TDE verschlüsselt wird, kann nicht die Vorteile von SQL Server 2008 der neuen Backup-Komprimierung nehmen. Wenn Sie die Vorteile der beiden Backup-Komprimierung und Verschlüsselung nehmen möchten, müssen Sie eine Drittanbieter-Anwendung verwenden, wie zum Beispiel SQL Backup, die Sie beide Aufgaben ohne Strafe durchführen können.

Dies könnte von Interesse sein: Gewusst wie: Verschlüsseln einer Spalte von Daten