SQL Server 2008 - chiffrement transparent des données d'accès undecrypted
https://stackoverflow.com/questions/3177541
-
02-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Ma question est un double de - Oracle Transparent Data Encryption accès undecrypted -. mais pour SQL Server 2008
Puis-je mettre en place un SQL Server 2008 base de données de manière que tous les énoncés suivants sont vrais?
a) certaines colonnes, potentiellement toutes les colonnes sont cryptées, de sorte que l'accès direct aux fichiers dans le fichier de base de données ne permettrait pas à un attaquant de récupérer tous les enregistrements
b) les colonnes cryptées sont décryptées de manière transparente pour l'utilisateur autorisé, lorsque l'autorisation se produit par exemple en ayant un certain rôle ou privilège
c) un administrateur qui a des privilèges suiteable pour faire des tâches d'administration « normales » (réglage, création / droping objets de schéma, base de données de redémarrer, sélectionner à partir du dictionnaire de données) peut sélectionner les tables mais voir que des données chiffrées dans les colonnes cryptées.
Si cela est possible, comment puis-je le fais. S'il est impossible, quelles sont les options que je dois au moins avoir « proche » de ces exigences?
Je sais) est possible, mais je ne suis pas sûr b) et c).
Merci.
La solution
Non, parce que vous ne pouvez pas effectuer le chiffrement transparent des données sur les colonnes sélectionnées:
chiffrement transparent des données (TDE) le cryptage exécute E / S en temps réel et décryptage des fichiers de données et journaux. Le cryptage utilise une base de données clé de chiffrement (DEK), qui est stocké dans la chaussure de base de données record pour la disponibilité lors de la récupération. le DEK est une clé symétrique fixée à l'aide d'un certificat stocké dans le maître la base de données du serveur ou une clé asymétrique protégé par un EKM module. TDE protège les données « au repos », signifie que les fichiers de données et journaux. Il offre la possibilité de se conformer De nombreuses lois, règlements et directives mis en place dans diverses industries. Cela permet aux développeurs de logiciels de crypter des données en utilisant AES et 3DES algorithmes de cryptage sans changer les applications existantes. Ref .
Voici quelques choses que vous devriez considérer au sujet de TDE (avec la permission de Le blog de Brad McGehee de ):
-
TDE ne pas les données en mémoire, protègent donc les données sensibles peut être vu par toute personne qui a des droits à une base de données DBO ou droits SA à l'instance SQL Server. En d'autres termes, TDE ne peut pas empêcher l'affichage des CBM de données qu'ils veulent voir.
-
TDE n'est pas granulaire. base de données, toute en crypté.
-
TDE ne protège pas les communications entre les applications clientes et SQL Server, de sorte que d'autres méthodes de chiffrement doivent être utilisées pour protéger les données circulant sur le réseau.
-
données FILESTREAM ne sont pas cryptées.
-
Quand une base de données sur une instance SQL Server a TDE activée, puis est automatiquement crypté la base de données tempdb, ce qui peut entraîner une mauvaise performance pour les bases de données cryptées et non-cryptées en cours d'exécution sur la même instance.
-
Bien que moins de ressources sont nécessaires pour mettre en œuvre TDE que le chiffrement au niveau de la colonne, il engage encore des frais généraux, ce qui peut l'empêcher d'être utilisé sur les serveurs SQL qui connaissent des goulots d'étranglement CPU.
-
Les bases de données cryptées avec TDE ne peuvent pas bénéficier d'une nouvelle compression de sauvegarde de SQL Server 2008. Si vous voulez profiter à la fois la compression et le cryptage de sauvegarde, vous devrez utiliser une application tierce, telles que la sauvegarde SQL, ce qui vous permet d'effectuer ces deux tâches sans pénalité.
Cela pourrait intéresser: Comment: Chiffrer une colonne de données
