SQL Server 2016'da, Her Zaman Şifreli ve Şeffaf Veri Şifrelemesi arasındaki fark nedir?


40

Bunu yazarken, "Her Zaman Şifreli" özelliğinin kullanışlılığını keşfedebilmemiz için SQL Server 2016'nın resmi olarak yayımlanmasını bekliyorum.

Gelecekteki projeler için doğru kararı verebilmemiz için, Her Zaman Şifreli ile şu anda mevcut olan Şeffaf Veri Şifreleme arasındaki belirli farkların ne olacağını bilmek istiyorum.


Always Encrypted ile, istemci sürücüler TDE SQL Server'da çalışırken, SQL Server'a çarpmadan önce verileri şifreler / şifresini çözer . IMHO TDE çoğunlukla bulut / güvenli veri merkezi senaryolarında kullanışsızdır ("TDE bulutta çok kullanışlı değil" e gidin). Gelişmiş veri güvenliği ile ilgileniyorsanız, Crypteron out'u da kontrol edin . Tam açıklama: Orada çalışıyorum
DeepSpace101

Yanıtlar:


48

Her Zaman Şifreli ile karşılaştırıldığında Şeffaf Veri Şifrelemenin Dezavantajları:

  • Yalnızca dinlenme durumundaki verileri korur - yedeklemeler ve veri dosyaları "güvenlidir" ancak hareket halindeki veya bellekteki veriler savunmasızdır
  • Yalnızca tam veritabanı
  • Tüm veriler aynı şekilde şifrelenir
  • Yedek sıkıştırma daha uzun sürebilir ve karşı üretken olabilir

    • Aslında, burada, SQL Server 2016'da , şifrelenmiş verileri sıkıştırmayı denemekle ilgili genellikle bildiklerimize meydan okuyan bazı gelişmeler var - önceki sürümlerden çok daha iyi, ancak muhtemelen bir avuç sütunu şifrelemekten daha kötü (muhtemelen denenmemiş)
  • tempdb ayrıca şifrelemeyi miras alır - TDE'yi devre dışı bıraktıktan sonra bile kalır
  • Kurumsal Sürüm gerektirir
  • Verilere her zaman sysadmin tarafından erişilebilir

Her Zaman Şifreli bu sorunların tümünü kısmen veya tamamen giderir:

  • Veriler istirahat, hareket halindeyken ve bellekte korunur - cer'ler, anahtarlar ve verilerin kimlerle şifresini çözebilecek çok daha fazla kontrol
  • Sadece tek bir sütun olabilir
  • Şifreleme türü bir seçimdir:
    • Dizinleri ve nokta aramalarını desteklemek için deterministic şifrelemeyi kullanabilir (örneğin, SSN)
    • Daha yüksek koruma için rasgele şifreleme kullanabilir (örneğin, kredi kartı numarası)
  • Veritabanı genelinde olmadığı için, yedekleme sıkıştırmasının mutlaka etkilenmesi gerekmemektedir - elbette şifrelemeniz gereken sütun sayısı arttıkça
  • tempdb çözülmemiş
  • SQL Server 2016 Service Pack 1'den itibaren, Her Zaman Şifreli artık tüm sürümlerde çalışıyor
  • Veriler sysadmin'den korunabilir (ancak sysadmin VE Windows güvenlik / cert / anahtar yöneticilerinden değil, başka bir deyişle, bu iki grup uyuşmadığı sürece sorumluluğu ayırabilirsiniz)

Bununla birlikte, bir sınırlama vardır ve bu, tüm sürücülerin ve uygulamaların doğrudan şifrelenmiş verilerle başa çıkamayacağından, bazı durumlarda bunun için sürücülerin güncellenmesi / değiştirilmesi ve / veya kodun değiştirilmesi gerekebilir.


Lütfen, Her Zaman Şifreli'nin bellekteki verileri nasıl şifrelediğini açıklar mısınız? Bu bilgiyi MSDN'de bulmaya çalıştım, ancak sadece durgun veriler ve hareket şifrelemesindeki veriler hakkında yazıyor. Teşekkür ederim :)
Victoria Malaya

1
@Victoria, SQL Server hiç görmeden önce veriler sağlayıcı tarafından şifrelenir. Böylece, SQL Server şifreli bir değer alır, bu şifreli değeri diske koyar ve şifreli değeri bu sayfa bellekte olduğunda belleğe yükler. Şifreleme, düşündüğünüz şekilde bellekte gerçekleşmez ve şifre çözme yalnızca bir müşteri şifre çözme yeteneğine sahip bir sertifikaya sahip olduğunda gerçekleşir ...
Aaron Bertrand

2
Bildiğim kadarıyla, en büyük farklardan biri, verilerin sorgulanmasıdır. TDE ile normalde yaptığınız gibi herhangi bir sorguyu çalıştırabilirsiniz, AE ile şifreli sütunları sorgulama konusunda çok kısıtlı olursunuz, yani sadece eşitlik karşılaştırmaları yapabilirsiniz (ve bu, deterministik şifreleme için göz atmayı gerektirir). Hiçbir kontrol tarihi aralığı yok, LIKE sorgusu vb.
Yok

3

Basitçe söylemek gerekirse, TDE istirahatte şifrelenmiş verilerdir (Diskte) ve AE ayrıca kabloda şifrelenmiş verilerdir.


Sanırım bunu geriye alabilirsin, değil mi?
zwerdlds

Olmaması gereken: AE telde, dinlenmede ve bellekte veri şifrelenmişken TDE istirahatte veri şifreli mi?
RoastBeast

AFAIK: TDE ve Zorla Protokolü Şifrelemesini MS SQL sunucusu üzerinde birleştirerek kabloda şifrelenmiş hale getirebilirsiniz .
TiloBunt
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.