非生产数据库更新和 TDE 的最佳实践

在一个完美的世界中，如果您在生产环境中存储个人身份数据，您永远不会将数据库恢复到开发环境。

您不能仅依靠混淆。例如，迟早有人会对生产中的表进行备份。他们将选择 dbo.Customers 表到一个新表中以便在对它进行更改之前妥善保管，并且他们将忘记删除它。您的混淆代码不会期望包含个人身份数据的新随机表，因此在混淆过程之后，数据仍然存在。

相反，当您需要开发数据时，请从头开始生成它。

（请记住：您要求的是最佳实践，而不是妥协。如果您的回答是“但我们需要开发中的生产数据”，那么您已经错过了最佳实践。）

正如 Brent 指出的那样：真实数据（即使是其中最小的部分也是敏感的）根本不应该在开发/测试^[1]系统上，即使是暂时的。

如果您确实对真实数据进行非个性化处理以用于测试环境，我们会在执行此操作时采取一些预防措施：

1. 再次强调：真实数据根本不应该在开发/测试系统上，即使是暂时的。使用暗示的完整安全措施在已签名的生产环境中恢复副本和去个性化，然后将修改后的数据移动到您的其他环境。您可能不希望在您的主要生产设置^[2]上增加这种额外负载，在这种情况下，在该环境中有一个单独的数据库服务器专门用于此任务^[3]。

2. 确保您的过程安全失败并且严重失败，即使这意味着它经常失败。如果存在任何新的表或列，就让它倒下，直到你给它一个新的预期列表，以缓解 Brent 讨论的临时模式更改的问题。还要确保任何失败的步骤都会停止整个过程，以便任何更改数据的错误都会阻止从生产中移出。

最佳实践^[4]是根据生产中看到的模式生成测试数据，而不是在不改变数据中的任何模式的情况下进行生产并试图使其无法识别。除了消除因过程错误而意外使用真实数据的风险外，您还可以在测试数据中包含生产中未发生（但您知道）的边缘情况。

即使你的人格解体起作用了，你可能会发现任何有一点决心的人如果对你的客户的组织有所了解，就可以部分地取消它。

预生产系统具有来自生产的加密证书的副本

这是你的红旗。向你上面任何质疑将生产数据远离非生产环境的额外费用和/或麻烦的人挥手致意。不必要的密钥副本会大大扩大您的攻击面。

^{[1] 有些人可能会建议 UAT 服务例外，但无论如何我都会考虑生产。}

^{[2] 除非您服务于一组相当特定的时区，例如您的所有客户和他们的绝大多数用户都在美国，所以在夜间有一个大窗口，在此期间性能受到影响无关紧要}

^{[3] 它不一定需要昂贵的“生产级”工具包（高性能驱动器、企业许可的 SQL 和操作系统，...），只要足够快就足以让这个过程足够快，因为你不会看到并发最终用户活动，但当然仍会涉及成本}

^{[4] 我们已经转向所有最近和未来的发展 - 我们只在某些即将退休的遗留服务上使用像这样的生产数据处理，这些服务在它们完全过时之前不值得重新设计。}