SQL Server 2008 - Transparente cifrado de datos de acceso undecrypted
https://stackoverflow.com/questions/3177541
-
02-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Mi pregunta es un duplicado de - Oracle Transparent Data Encryption undecrypted acceso -., pero para SQL Server 2008
¿Puedo configurar un SQL Server 2008 base de datos de una manera que todas las siguientes afirmaciones son ciertas?
a) ciertas columnas, potencialmente todas las columnas están cifrados, por lo que el acceso directo a los archivos del archivo de base de datos no permitiría a un atacante para recuperar todos los registros
b) las columnas cifrados se descifran de forma transparente para el usuario autorizado, cuando la autorización sucede por ejemplo por tener un cierto papel o privilegio
c) un administrador con privilegios suiteable para hacer las tareas 'normales' de administrador (sintonización, creando / droping objetos de esquema, reiniciar la base de datos, la selección del diccionario de datos) puede seleccionar las tablas, pero verá sólo los datos cifrados en las columnas cifradas.
Si esto es posible, ¿cómo lo hago. Si no es posible, ¿cuáles son las opciones que tengo por lo menos conseguir 'cerca' a estos requisitos?
Sé que a) es posible, pero no estoy seguro sobre b) yc).
Gracias.
Solución
No, porque no se puede realizar Transparente cifrado de datos en columnas seleccionadas solamente:
cifrado de datos transparente (TDE) lleva a cabo en tiempo real de E / S y el cifrado descifrado de los archivos de datos y de registro. La encriptación utiliza una base de datos clave de cifrado (DEK), que se almacena en el registro de arranque de base de datos para disponibilidad durante la recuperación. el DEK está una clave simétrica asegurada mediante el uso de una certificado almacenado en el maestro base de datos del servidor o una clave asimétrica protegido por un EKM módulo. TDE protege los datos "en reposo", es decir, los archivos de datos y de registro. Eso proporciona la capacidad de cumplir con las muchas leyes, reglamentos y directrices establecido en diversas industrias. Esto permite a los desarrolladores de software cifrar los datos mediante el uso de AES y 3DES algoritmos de cifrado sin cambiar las aplicaciones existentes. Ref .
Aquí hay algunas cosas que debe tener en cuenta acerca de TDE (cortesía de de Brad McGehee el blog):
-
TDE hace no proteja los datos en la memoria, por lo que los datos sensibles puede ser visto por cualquier persona que tenga derechos de DBO a una base de datos, o derechos SA a la instancia de SQL Server. En otras palabras, TDE no puede impedir que los administradores de bases de ver todos los datos que quieren ver.
-
TDE no es granular. Entonces toda la base de datos en cifrada.
-
TDE no Protección de comunicaciones entre las aplicaciones cliente y SQL Server, por lo que otros métodos de encriptación deben ser utilizados para Proteger Datos que fluyen a través de la red.
-
datos FILESTREAM no está encriptada.
-
Cuando cualquier base de datos en una instancia de SQL Server ha TDE se activa, entonces la base de datos tempdb se encripta automáticamente, lo que puede contribuir al mal desempeño de ambas bases de datos cifrados y no cifrados que se ejecutan en la misma instancia.
-
A pesar de que se requieren menos recursos para implementar TDE de cifrado a nivel de la columna, todavía incurre en cierta sobrecarga, lo que puede evitar que sea utilizado en servidores SQL Server que están experimentando los cuellos de botella de la CPU.
-
Bases de datos cifrados con TDE no puede tomar ventaja de la nueva compresión de copia de seguridad de SQL Server 2008. Si usted desea tomar ventaja de la compresión de copia de seguridad y cifrado, tendrá que utilizar una aplicación de terceros, tales como copia de seguridad de SQL, que permite llevar a cabo ambas tareas sin penalización.
Esto puede ser de interés: Cómo: Cifrar una columna de datos
