TDE hazırlığı: geri yüklemeler için anahtar / sertifika yedekleme

10

TDEŞifrelemeyi daha iyi anlamak için geliştirici bir ortamda çalışıyorum . Ben yedekleri ile birlikte çalışma var ve başka bir sunucuya geri yükler. Birkaç sorum vardı, ilgili özel anahtarla sertifikayı yedeklemem gerektiğini biliyorum.

USE master; 
GO 
BACKUP CERTIFICATE Test
TO FILE = 'C:\Test.cer'
WITH PRIVATE KEY
(FILE = 'C:\Test.pvk',
ENCRYPTION BY PASSWORD = 'Example12#')

Bir arıza durumunda bunların yeni sunucuda taşınması / geri yüklenmesi gerekir. Kaynak sunucudan başka bir sunucuya geri yüklemeniz gerektiğinde yedeklemem gereken başka bir şey var mı?

Ayrıca özel anahtar saklama konusunda herhangi bir öneriniz var mı? Şu anki düşüncem, sertifikayı, özel anahtarı ve şifreyi ayrı olarak yedeklenen ve site dışında çoğaltılmış bir KeePass veritabanına yedeklemektir.

Bu, KeePass özel anahtarının nereye yedekleneceği sorusunu bırakıyor?

sql-server  encryption  transparent-data-encryption 
Thorin
kaynak

Yanıtlar:

5

Farklı bir sunucuya geri yüklemek istiyorsanız, bunu sertifika, özel anahtar ve veritabanı yedekleme dosya (lar) ı ile yapabilmeniz gerekir.

SQL Server'daki herhangi bir veritabanında sertifika oluşturulduğunda, şifreleme hiyerarşisinin bir parçasıdır . Ana veritabanındaki sertifika yalnızca koruma gerektirmeyen bir ortak anahtar içerir, ancak ana veritabanı ayrıca korunması gereken ayrı ancak matematiksel olarak ilgili bir özel anahtar içerir. Özel anahtarı korumanın yöntemi, sertifikayı oluşturmadan önce ana veritabanında oluşturduğunuz veritabanı ana anahtarını kullanarak şifrelemektir. Şifreleme hiyerarşisindeki bir sonraki katman, DMK'nin servis ana anahtarı tarafından şifrelenmesidir. Sistemde yalnızca bir SMK vardır ve ana veritabanındadır.

Şifreli bir yedeği başka bir sunucuya geri yüklemek için DMK ve SMK'ya ihtiyacınız olmasa da, kurtarma işlemini daha esnek hale getirdiği için bu iki anahtarı yine de yedeklerdim.

Yedek şifreleme sertifikasını ana veritabanına geri yüklediğinizde, sahne arkasında özel anahtarın dosyadan okunması, geri yükleme komutunda verdiğiniz parola kullanılarak şifresinin çözülmesi, sonra veritabanı ana anahtarı kullanılarak şifrelenmesi ve kaydedilmesidir. Bildiğiniz gibi, sertifikadaki özel anahtar daha sonra yedekleme dosyasındaki Veritabanı Şifreleme Anahtarının şifresini çözmek ve veritabanını başarıyla geri yüklemek için kullanılabilir.

Sertifika ve anahtar yedekleme dosyalarını depolamak için özel bir tavsiyem yok, ancak bunların sizin için ve kuruluşunuzdaki olağanüstü durum kurtarma işlemini kimin yapması gerekiyor.

Michael Keleher
kaynak
1

Denny Cherry'nin SQL Server Güvenliğini Sağlama kitabında sertifikaları yedeklemek için en iyi güvenlik yöntemini buldum:

  • Sertifika yedeklerini iki farklı CD'ye yazın
  • Her CD'yi mühürlü ve imzalı bir zarfa yerleştirin
  • Bu sertifikaların hangi sisteme ait olduğu zarfını işaretleyin
  • Bir CD'yi şirketin yöneticisinin kasasına koyun
  • İkinci CD'yi başka bir güvenli yerde saklayın
Poldba
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.