Início / dba / Perguntas / 137531
Accepted
RoastBeast
Asked: 2016-05-05 07:37:39 +0800 CST

No SQL Server 2016, qual é a diferença entre Always Encrypted e Transparent Data Encryption?

  • 772

Enquanto escrevo isso, ainda estou aguardando o lançamento oficial do SQL Server 2016 para que possamos explorar a utilidade de seu recurso "Always Encrypted".

Gostaria apenas de saber quais serão as diferenças específicas entre o Always Encrypted e o Transparent Data Encryption atualmente disponível no SQL Server 2016 para que possamos tomar a decisão correta para projetos futuros.

sql-server sql-server-2016

2 respostas

  1. Best Answer

    Desvantagens da criptografia transparente de dados em comparação com o Always Encrypted:

    • Protege apenas os dados em repouso - backups e arquivos de dados são "seguros", mas os dados em movimento ou na memória são vulneráveis
    • Somente banco de dados inteiro
    • Todos os dados são criptografados da mesma maneira

    • A compactação de backup pode demorar mais e ser contraproducente

      • Bem, na verdade, existem algumas melhorias aqui no SQL Server 2016 que desafiam o que normalmente sabemos sobre a tentativa de compactar dados criptografados - é muito melhor do que as versões anteriores, mas presumivelmente ainda pior do que apenas criptografar um punhado de colunas (não testado)
    • tempdb também herda a criptografia – permanece mesmo depois de desabilitar o TDE
    • Requer Enterprise Edition
    • Dados sempre acessíveis ao administrador do sistema

    O Always Encrypted aborda todos esses problemas em parte ou totalmente:

    • Os dados são protegidos em repouso, em movimento e na memória - muito mais controle sobre certificados, chaves e exatamente quem pode descriptografar os dados
    • Pode ser apenas uma única coluna
    • O tipo de criptografia é uma escolha:
      • Pode usar criptografia determinística para oferecer suporte a índices e pesquisas de pontos (digamos, SSN)
      • Pode usar criptografia aleatória para maior proteção (digamos, número do cartão de crédito)
    • Como não abrange todo o banco de dados, a compactação de backup não é necessariamente afetada - é claro que quanto mais colunas você criptografar, pior sorte você terá
    • tempdb não está envolvido
    • A partir do SQL Server 2016 Service Pack 1, o Always Encrypted agora funciona em todas as edições
    • Os dados podem ser protegidos do sysadmin (mas não do sysadmin E dos administradores de segurança/cert/chave do Windows, em outras palavras, você pode separar a responsabilidade, desde que esses dois grupos não entrem em conluio)

    Porém, há uma limitação: nem todos os drivers e aplicativos podem lidar diretamente com os dados criptografados; portanto, em alguns casos, isso exigirá a atualização/alteração dos drivers e/ou modificação do código.

    • 49

  2. Simplificando, TDE são dados criptografados em repouso (no disco) e AE também são dados criptografados na rede.

    • 3

relate perguntas