SQL Server TDE kullanarak uzak yedekler yazarken ağ trafiği şifreli mi?

“Aptalca bir soru” diye bir şey olmadığını söylüyorlar, işte burada:

SQL Server Saydam Veri Şifrelemesi'nin (TDE) beklemedeki verileri şifrelediğini anlıyorum , böylece veritabanı dosyalarınız (.mdf) ve yedek dosyalarınız (.bak), birisinin depolama alanınıza girmesi ve bu dosyaları çalması durumunda şifrelenmesi sağlanır. Ayrıca, verilerin bellekten (hareket halindeyken) şifrelenmemesi için diskten okunduğunda şifresinin çözüldüğünü de anlıyorum. Bu nedenle, uzak sorgu çalıştıran (SensitiveData'dan * seçin) bir kullanıcı tarafından talep edilen veriler, ağ üzerinden seyahat ederken şifrelenmeyecek ve bu nedenle müdahaleye açık hale gelecektir.

Yani, yukarıdakilerin tümünün doğru olduğunu varsayarsak, aptalca bir sorum var: SQL Server örneğim A bilgisayarındaysa ve TDE-veritabanı yedeklemelerim uzak bilgisayar B'deki depolamaya yazılırsa, yedekleme işlemi verileri şifrelenir bilgisayar A bilgisayar B diske yazılacak? Bunun olması gerektiğini varsayıyorum (şifreleme işleminin A bilgisayarında gerçekleştiğini varsayalım), ancak bunun onayını Microsoft belgelerinden herhangi birinde veya bloglarda bulamıyorum. Benzer şekilde, bir geri yükleme işlemi sırasında - A bilgisayarındaki veritabanını geri yüklemek için B bilgisayarındaki diskten aktarılan verileri kesecek olan herhangi biri - hareket halindeki verileri şifreli bulurlar mıydı?

Evet, TDE verileri diskte şifrelendiği ve yedekleme işlemi asla şifresini çözmediği için yedekler ağ üzerinden taşınırken şifrelenir .

Paul Randal'ın Yedek Efsaneleri :

Efsane 30-09), yedekleri tampon havuzundan okur

Hayır . Yedekleme alt sistemi, her şeyi SQL Server'ın belleğine okumak ve yedekleme cihazına geri dönmek zorunda kalmamak için performans kanallarından kaçınmak için veritabanı kanallarına kendi kanallarını açar (ve ayrıca işlemdeki tampon havuzunu etkili bir şekilde temizler). Sayfa sağlama toplamı denetimini sorarsanız, belleğin kendi küçük bölümünü kullanır.

Sayfalar arabellek havuzuna yüklendiyse (SQL'in veritabanı tablosunu ve dizin verilerini önbelleğe almak için kullandığı "normal" bellek alanı), bunların şifresi çözülmelidir. Ancak yedeklemeler bunu yapmaz, sadece yedeklenmiş ham şifreli "uzantıları" (bitişik 8 sayfalık parçalar) yedekleme hedefinize atarlar.

Paul Randal'dan yukarıdaki yorumunun hala TDE ile ilgili olduğunu teyit edebildim :

Aynı şekilde çalışır. Arabellek havuzu şifreleme yapar ve diske bir sayfa yazmadan önce bir sayfa sağlama toplamı ekler. Yedeklemeler hiçbir zaman arabellek havuzundan okunmaz. Yani evet, TDE veritabanının bir yedeği hala içinde şifreleme var. Sayfa sağlama toplamları doğrulanır, ancak yedek kodla, arabellek havuzu kodu ile doğrulanmaz.

Başka bir deyişle, bir veritabanında CHECKSUM'ları etkinleştirdiyseniz, bunlar şifreleme gerçekleştikten sonra (normal SQL yazma işlemleri sırasında) eklenir . Bu, yedekleme işleminin ham (şifreli) kapsamı okuyabileceği, sağlama toplamını doğrulayabileceği ve yedeklemenin tümünü verilerin şifresini çözmeden yazabileceği anlamına gelir.

Şifrelenmiş veriler çok sıkıştırılabilir olmadığından , TDE ile veritabanında yedek sıkıştırmayı etkinleştiren (SQL 2016'dan önce) neredeyse hiçbir neden yoktu :

Bunun nedeni, bir TDE şifreli veritabanının yedekleri alındığında, veritabanı sayfalarının yedeklendiğinde şifresinin çözülmemesidir. Normalde oldukları gibi şifrelenmiş durumda yedeklenirler, sonra sıkıştırılırlar . Doğası gereği şifrelenmiş veriler çok benzersizdir, bu nedenle veri sıkıştırma şifrelenmiş verilere karşı pek iyi değildir.

Geri yükleme işlemi için aynı prensip geçerlidir. Şifrelenmiş yedekleme, ağ genelinde şifrelenmiş olarak kalır ve geri yüklenen sunucunun diskine hala şifrelenmiş durumlarında yazılır. Yalnızca veritabanı geri yükleme işlemi tamamlandıktan sonra belleğe yüklendiğinde şifresi çözülür.

... yedekleme işlemi verileri A bilgisayarından B bilgisayarına diske yazılmak üzere seyahat ederken şifreleniyor mu?

Evet, arabellek havuzuna girdiğinde şifresi çözülür ve ayrıldığında şifrelenir. Bu durumda diske yazdığımız için önce şifrelenir, sonra yazılır. Yazmalar ağ üzerinden geçtiği için, verilerin kendisi şifrelenir, ancak ağ trafiğinin diğer bölümleri şifrelenmez.

... bir geri yükleme işlemi sırasında ... hareket halindeki verilerin şifrelenmiş olduğunu fark ederler miydi?

Evet, yukarıdaki ile aynı olduğu için ancak ters sırada. Veriler diskte şifrelenmiştir, şifrelenmiş durumda okunmakta ve aktarılmaktadır. Daha sonra örneğe ulaşır ve yolda bir adım olarak şifrelenmemiş tampon havuzuna yüklenir.