我在生产环境中有一个使用 AE 配置的 SQL Server 2016 数据库。列主密钥证书在数据库服务器以外的不同服务器中可用(在 Windows 证书存储 -> 本地计算机位置下),并且托管 ASP.NET 应用程序的 Web 服务器也具有加密/解密数据的证书。
出于故障排除或运营支持目的,我们通常会根据需要将此生产数据库备份并还原到我们的登台/UAT 环境中。
还原数据库后,Web 应用程序无法按预期工作,因为它缺少用于在生产环境中配置 AE 的证书。
根据安全策略,客户端不愿意将 AE 证书从 Windows 证书存储区带到目标环境。
在这方面,当我们将数据库从一个环境恢复到另一个环境时,要遵循哪些最佳实践来使 Web 应用程序正常工作?或者是否有任何其他方法可以在不携带证书的情况下使 Web 应用程序正常工作?
我们想为我们的应用程序数据库实现 Always Encrypted 功能。有一个表,varbinary(max)其中有一列存储图像、pdf 文档等的二进制数据。
varbinary(max)列加密? 非常感谢任何支持。
我已经使用 SQL Server 2016 在自定义数据库上配置了 Always Encrypted。默认情况下,它会创建有效期为一年的证书。
是否有任何解决方法可以在最开始阶段创建此证书两三年?
我不想每年在我们的生产环境中轮换密钥,而是至少创建两三年的证书。
请高手指教。
使用列级加密方法时,我们是否需要显式关闭存储过程/视图中的对称密钥,还是不需要?后续空缺是如何处理的?
例如:
CLOSE SYMMETRIC KEY SQLSymmetricKey
当我们在 SQL Server 2016 中实现 Always Encrypted 功能时,.mdf 文件、.ldf 文件和 .bak 文件是否也会被加密?
我想知道数据/日志/备份文件是否被加密。
我们要求使用 SQL Server 2016 加密敏感列数据,并选择始终加密 (AE) 功能来使用确定性方法加密这些列。
由于 AE 确定性加密不允许对这些加密列进行不等式、范围或 LIKE 查询,因此我们尝试使用对称密钥(列级)加密技术对这些类型的列进行加密。
在某些列(不需要任何不等式、范围或 LIKE 查询)上实现 AE 功能并在需要生成不等式、范围或 LIKE 查询的列上实现对称密钥类型加密是一种好习惯吗?
考虑到性能、安全性和维护,将 AE 加密和列级加密结合在一个表上是否是一种好习惯?
请高手指教。