Hizmet Ana Anahtarını ne zaman yedeklemem gerekir?

14

Şeffaf Veri Şifreleme hakkında bazı belgeleri ve teknik belgeleri okuyorum. Bazı belgeler Hizmet Ana Anahtarını da yedeklemeyi belirtmektedir (Açıklamak için Veritabanı Ana Anahtarından bahsetmiyorum). Bunun neden gerekli olduğunu tam olarak anlamıyorum, çünkü herhangi bir Servis Ana Anahtarı kullanmadan Sunucu A'dan (yedekleme) Sunucu B'ye (geri yükleme) TDE Şifrelemesi ile bir Veritabanını yedekleyebildim / geri yükleyebildim.

Hangi senaryoda Servis Ana Anahtarını geri yüklemem gerekir?

sql-server  encryption  transparent-data-encryption 
gsharp
kaynak
Veritabanınızda şifrelemeyi etkinleştirdiğinizden emin misiniz? Ayrıca, TDE etkinleştirildikten sonra veritabanı yedeğini oluşturdunuz mu?
Thomas Stringer
Evet yaptım. Sertifika ve anahtarı Sunucu B'ye geri yüklemek için gerekli. (Sertifika ve Anahtarın bir yedeğini aldım). Ancak BI üzerinde yeni bir Ana Anahtar (Sunucu A'dan geri yüklenmemiş) oluşturdu ve veritabanımı geri yükleyebildi.
gsharp
B sunucusunda TDE sertifikasını ve özel anahtarı geri yüklediyseniz, TDE veritabanının şifresini çözebilmelidir. SMK gereksinimini okuduğunuz belgeye işaret edebilir misiniz? Belki daha nüanslı bir şey ...
Remus Rusanu
@RemusRusanu ile aynı fikirdeyim. Sertifika şifrelemeyi tetikleyen şeydir. Hizmet Ana Anahtarına gelince, DR için (başlangıçta yapılması gereken bir şey) bunu desteklemenin sadece genel idari en iyi uygulama olduğuna inanıyorum.
Thomas Stringer
1
@gsharp: SMK'nın nasıl yedekleneceğini belgeler . Bir TDE şifreli DB aktarılırken neden SMK yedeklemesinin gerekli olduğunu açıklayan bir belge ilgimi çekti .
Remus Rusanu

Yanıtlar:

7

SQL hizmeti ana anahtarı hakkında konuşuyorsanız, gerçekten geri yüklemeniz gereken nadir bir durum vardır.

SMK'yi geri yüklemeniz gereken birkaç senaryo düşünüyorum ...

  1. Her nasılsa bozuldu.

  2. SQL sunucunuzu yeniden oluşturuyorsunuz ve sistem veritabanları dahil her veritabanını yedekten geri yüklemeyi planlıyorsunuz. Genellikle bu durumda aynı SQL hizmet hesabını ve parolasını kullanıyorsanız SMK'yı geri yüklemeniz gerekmeyebilir.

TDE'de SMK'yı geri yüklemenize gerek yoktur. Herkesin söylediği gibi, sadece sertifikaya ve özel anahtara ihtiyacınız var. Aynı veritabanı ana anahtarına sahip olmanız gerekmez, ayrıca sertifikayı yedeklemeden oluşturduğunuzda, hedef makinenin DMK'sı tarafından şifrelenir.

Arijit
kaynak
2

Bir TDE veritabanını yeni bir örneğe taşırken, doğru sertifikanın (veya asimetrik anahtarın) hedef masterveritabanında da olduğundan emin olmanız gerekir . Bunu yapamazsanız, aşağıdaki hatayı alırsınız:

Msg 33111, Seviye 16, Durum 3, Satır 2 '0xA085414434DB4A36B29 ..................' parmak izine sahip sunucu sertifikası bulunamıyor.

TDE etkin veritabanı yedeklemesiyle birlikte hareket etmesi gereken Hizmet Ana Anahtarı değil, ancak sertifika olacaktır. Örneğin, DEK'inizi (veritabanı şifreleme anahtarı) MyTDECertmaster adlı bir sertifika ile oluşturduğunuzu varsayalım . Hedef örneğinizde bu sertifika olmadan, veritabanınızı geri yükleyemezsiniz.

Thomas Stringer
kaynak
Evet bu açık. Sorum daha fazla, neden Hizmet ana anahtarını yedeklemeye (veya hangi amaçla) ihtiyaç duyulduğudur. Bkz technet.microsoft.com/en-us/library/aa337561
gsharp
-1

SMK'yi yedeklemeniz ve geri yüklemeniz gereken bir durum, çoğaltma topolojisini yükselttiğiniz zamandır.

JYatesDBA
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.