主页 / dba / 问题 / 164676
Accepted
elty123
Asked: 2017-02-18 05:40:03 +0800 CST

部署透明数据加密

  • 772

我安装了 SQL 2016 Enterprise,我的老板想要部署 TDE。我在网上搜索了一下,所有的说明都是关于“您可以将自签名证书用于测试/开发目的”。大多数指南只是说备份主密钥和证书,仅此而已。

我有两个 SQL Server,它们位于两个独立的域中。我想确保在一台服务器上加密的数据库可以在另一台服务器上恢复。

应该应用于生产服务器的正确方法和步骤是什么。我认为不仅仅是创建一个自签名证书并将其备份到安全的地方。

sql-server sql-server-2016

3 个回答

  1. 本文对如何启用 TDE 进行了重要的一步。这包括生成密钥/证书,一切。当您打开 TDE 时,它会在后台以及访问页面或刷新到磁盘时开始加密。

    此外,旁注,TempDB 也被加密,因此如果您有其他未加密的 DB/SP 并使用 TempDB,当您将数据放在 TempDB 中并将其备份时,性能可能会受到轻微影响。你在 2016 年,所以你仍然可以使用 TDE 进行本机备份压缩(万岁!)

    http://joeysbasisblog.blogspot.com/2013/10/enable-or-disable-transparent-data.html

    • 2

  2. 实施 TDE 的步骤并不多。设计目标是使这对应用程序变得简单和透明(因此得名)。它确实比用户数据库影响更大(例如,tempdb 被加密,tlogs 在循环之前不受保护,等等)并且有一些性能考虑因素(特别是如果您已经承受 CPU 压力)但实际实施步骤很简单。只要确保您记得备份证书并将其保存在安全位置,以防您需要恢复到新的/重建的实例。

    产品文档提供了大量有关技术、如何实施、副作用、如何维护等方面的详细信息...请访问https://msdn.microsoft.com/en-us/library/bb934049 查看。 ASPX

    如果您需要将启用 TDE 的数据库移动到另一个实例/服务器,则需要将证书备份/恢复到新实例/服务器。详细信息记录在https://msdn.microsoft.com/en-us/library/ff773063.aspx

    检查文档并返回特定问题。实施起来真的不复杂。请记住,它可以防止非常具体的威胁。它并不是解决数据库安全问题的万能药。

    • 0
  3. Best Answer

    你描述的是真的。自签名密钥非常适合生产中的 TDE,因为它们不需要远程验证。

    话虽如此,使用 EKM 显然增加了另一层安全性。看这里这里。

    但是对于自签名,您可以使用此信息测试您的多域要求(我很确定这没有区别) 。

    • 0

相关问题