В SQL Server 2016, в чем разница между всегда зашифрованным и прозрачным шифрованием данных?

Как я пишу это, я все еще жду официального релиза SQL Server 2016, чтобы мы могли изучить полезность его функции «Всегда зашифровано».

Я просто хотел бы узнать, каковы будут конкретные различия между Always Encrypted & доступное в настоящее время прозрачное шифрование данных в SQL Server 2016, чтобы мы могли принять правильное решение для будущих проектов.

36 голосов | спросил RoastBeast 4 Maypm16 2016, 18:37:39

2 ответа


45

Недостатки прозрачного шифрования данных по сравнению с Always Encrypted:

  • Только защищает данные в состоянии покоя - резервные копии и файлы данных «безопасны», но данные в движении или в памяти уязвимы.
  • Только для всей базы данных
  • Все данные шифруются одинаково.
  • Резервное сжатие может занять больше времени и быть контрпродуктивным

    • Ну, на самом деле, в SQL Server 2016 есть некоторые улучшения , которые игнорируют то, что мы обычно знаем о попытке сжатия зашифрованных данных - это намного лучше, чем предыдущие версии, но, по-видимому, еще хуже, чем только шифрование нескольких колонок (непроверенных)
  • tempdb также наследует шифрование - остается даже после отключения TDE
  • Требуется Enterprise Edition
  • Данные всегда доступны для sysadmin

Всегда зашифровывает все эти проблемы частично или полностью:

  • Данные защищены в покое, в движении и в памяти - гораздо больше контроля над сертификатами, ключами и точно, кто может расшифровывать данные.
  • Может быть только один столбец
  • Тип шифрования - это выбор:
    • Может использовать детерминированное шифрование для поддержки индексов и точечных поисков (скажем, SSN).
    • Можно использовать произвольное шифрование для более высокой защиты (например, номер кредитной карты)
  • Поскольку это не касается всей базы данных, сжатие резервной копии не обязательно затрагивается - конечно, чем больше колонок вы шифруете, тем хуже удача вам будет
  • tempdb не задействован
  • Начиная с SQL Server 2016 с пакетом обновления 1, Всегда зашифровано сейчас работает во всех выпусках
  • Данные могут быть защищены от sysadmin (но не системных администраторов и администраторов безопасности Windows /cert /key), другими словами, вы можете отделить ответственность до тех пор, пока эти две группы не сгруппированы).

Однако существует ограничение, и не все драйверы и приложения могут напрямую обращаться к зашифрованным данным, поэтому в некоторых случаях это потребует обновления /изменения драйверов и /или изменения кода.

ответил Aaron Bertrand 4 Maypm16 2016, 18:43:48
2

Проще говоря, TDE - это данные, зашифрованные в покое (на диске), а AE - данные, зашифрованные на проводе дополнительно.

ответил Chad Mattox 4 Maypm16 2016, 18:42:17

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132