SQL Server TDE kullanarak uzak yedekler yazarken ağ trafiği şifreli mi?


9

“Aptalca bir soru” diye bir şey olmadığını söylüyorlar, işte burada:

SQL Server Saydam Veri Şifrelemesi'nin (TDE) beklemedeki verileri şifrelediğini anlıyorum , böylece veritabanı dosyalarınız (.mdf) ve yedek dosyalarınız (.bak), birisinin depolama alanınıza girmesi ve bu dosyaları çalması durumunda şifrelenmesi sağlanır. Ayrıca, verilerin bellekten (hareket halindeyken) şifrelenmemesi için diskten okunduğunda şifresinin çözüldüğünü de anlıyorum. Bu nedenle, uzak sorgu çalıştıran (SensitiveData'dan * seçin) bir kullanıcı tarafından talep edilen veriler, ağ üzerinden seyahat ederken şifrelenmeyecek ve bu nedenle müdahaleye açık hale gelecektir.

Yani, yukarıdakilerin tümünün doğru olduğunu varsayarsak, aptalca bir sorum var: SQL Server örneğim A bilgisayarındaysa ve TDE-veritabanı yedeklemelerim uzak bilgisayar B'deki depolamaya yazılırsa, yedekleme işlemi verileri şifrelenir bilgisayar A bilgisayar B diske yazılacak? Bunun olması gerektiğini varsayıyorum (şifreleme işleminin A bilgisayarında gerçekleştiğini varsayalım), ancak bunun onayını Microsoft belgelerinden herhangi birinde veya bloglarda bulamıyorum. Benzer şekilde, bir geri yükleme işlemi sırasında - A bilgisayarındaki veritabanını geri yüklemek için B bilgisayarındaki diskten aktarılan verileri kesecek olan herhangi biri - hareket halindeki verileri şifreli bulurlar mıydı?


2
Bu gerçekten iyi bir soru
Shanky

Yanıtlar:


7

Evet, TDE verileri diskte şifrelendiği ve yedekleme işlemi asla şifresini çözmediği için yedekler ağ üzerinden taşınırken şifrelenir .

Paul Randal'ın Yedek Efsaneleri :

Efsane 30-09), yedekleri tampon havuzundan okur

Hayır . Yedekleme alt sistemi, her şeyi SQL Server'ın belleğine okumak ve yedekleme cihazına geri dönmek zorunda kalmamak için performans kanallarından kaçınmak için veritabanı kanallarına kendi kanallarını açar (ve ayrıca işlemdeki tampon havuzunu etkili bir şekilde temizler). Sayfa sağlama toplamı denetimini sorarsanız, belleğin kendi küçük bölümünü kullanır.

Sayfalar arabellek havuzuna yüklendiyse (SQL'in veritabanı tablosunu ve dizin verilerini önbelleğe almak için kullandığı "normal" bellek alanı), bunların şifresi çözülmelidir. Ancak yedeklemeler bunu yapmaz, sadece yedeklenmiş ham şifreli "uzantıları" (bitişik 8 sayfalık parçalar) yedekleme hedefinize atarlar.

Paul Randal'dan yukarıdaki yorumunun hala TDE ile ilgili olduğunu teyit edebildim :

Aynı şekilde çalışır. Arabellek havuzu şifreleme yapar ve diske bir sayfa yazmadan önce bir sayfa sağlama toplamı ekler. Yedeklemeler hiçbir zaman arabellek havuzundan okunmaz. Yani evet, TDE veritabanının bir yedeği hala içinde şifreleme var. Sayfa sağlama toplamları doğrulanır, ancak yedek kodla, arabellek havuzu kodu ile doğrulanmaz.

Başka bir deyişle, bir veritabanında CHECKSUM'ları etkinleştirdiyseniz, bunlar şifreleme gerçekleştikten sonra (normal SQL yazma işlemleri sırasında) eklenir . Bu, yedekleme işleminin ham (şifreli) kapsamı okuyabileceği, sağlama toplamını doğrulayabileceği ve yedeklemenin tümünü verilerin şifresini çözmeden yazabileceği anlamına gelir.

Şifrelenmiş veriler çok sıkıştırılabilir olmadığından , TDE ile veritabanında yedek sıkıştırmayı etkinleştiren (SQL 2016'dan önce) neredeyse hiçbir neden yoktu :

Bunun nedeni, bir TDE şifreli veritabanının yedekleri alındığında, veritabanı sayfalarının yedeklendiğinde şifresinin çözülmemesidir. Normalde oldukları gibi şifrelenmiş durumda yedeklenirler, sonra sıkıştırılırlar . Doğası gereği şifrelenmiş veriler çok benzersizdir, bu nedenle veri sıkıştırma şifrelenmiş verilere karşı pek iyi değildir.

Geri yükleme işlemi için aynı prensip geçerlidir. Şifrelenmiş yedekleme, ağ genelinde şifrelenmiş olarak kalır ve geri yüklenen sunucunun diskine hala şifrelenmiş durumlarında yazılır. Yalnızca veritabanı geri yükleme işlemi tamamlandıktan sonra belleğe yüklendiğinde şifresi çözülür.


3

... yedekleme işlemi verileri A bilgisayarından B bilgisayarına diske yazılmak üzere seyahat ederken şifreleniyor mu?

Evet, arabellek havuzuna girdiğinde şifresi çözülür ve ayrıldığında şifrelenir. Bu durumda diske yazdığımız için önce şifrelenir, sonra yazılır. Yazmalar ağ üzerinden geçtiği için, verilerin kendisi şifrelenir, ancak ağ trafiğinin diğer bölümleri şifrelenmez.

... bir geri yükleme işlemi sırasında ... hareket halindeki verilerin şifrelenmiş olduğunu fark ederler miydi?

Evet, yukarıdaki ile aynı olduğu için ancak ters sırada. Veriler diskte şifrelenmiştir, şifrelenmiş durumda okunmakta ve aktarılmaktadır. Daha sonra örneğe ulaşır ve yolda bir adım olarak şifrelenmemiş tampon havuzuna yüklenir.


1
Bunun doğru olduğunu düşünüyorum, ancak söylediğiniz nedenlerden dolayı doğru olduğundan emin değilim. Bir YEDEKLEME'nin diske ham veritabanı EXTENTS (sayfalar değil) göndereceğini, dolayısıyla belleğe yüklendiğinde şifre çözme adımını atlayacağını düşündüm. Yanılıyor olabilirim, ama şimdi belge arıyorum.
BradC

1
Bulun , bakınız Paul Randal'ın efsanesi 30-09 : "Yedekleme alt sistemi, her şeyi SQL Server'ın belleğine okumak ve yedekleme cihazına geri dönmek zorunda kalmamak için kendi kanallarını veritabanı dosyalarına açar". Özellikle TDE'den bahsetmiyor, ancak yedekleme işlemi kendi kanalı ise, sadece yeniden şifrelemek için şifresini çözmek bir atık gibi görünüyor. Hatta etkinleştirilirse CHECKSUMS'u doğrulayabilir ve / veya şifresini çözmeden sıkıştırma uygulayabilir.
BradC

@BradC Yedeklemenin kendisinin bu şekilde çalışacağını söylemiyordum, ancak şifreleme / şifre çözme işleminin dinlenme verilerinde nasıl çalışacağını söylemiyordum. Belirsizse değiştiririm, ancak şifreleme / şifre çözme işleminin ne zaman ve nerede gerçekleştiğinin bu şekilde çalıştığını söylemiyorum.
Sean Gallardy - Emekli Kullanıcı

Ancak yedekleme işlemi arabellek havuzunu kullanmıyorsa, sonuç (yedekleme paketleri şifreli) farklı bir nedenle doğru olsa bile, nedeniniz yanlıştır.
BradC

@BradC Hayır, bunun nedeni zaten diske yazılmış olması ve zaten şifrelenmiş olması ... Nasıl bir yedek olduğunu belirten aldığımdan emin değilim ve BP üzerinden tekrar şifreleniyor. Zaten şifreli olduğunu söyleyerek oldukça ileri olduğunu düşündüm, bu yüzden başka bir diske kopyalamak veya başka bir diskten kopyalamak şifresini çözmez ... Bunu nasıl karıştırdığınızdan emin değilim.
Sean Gallardy - Emekli Kullanıcı
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.