数据库必知词汇: 透明数据加密(TDE)

企业一般可以采取多种预防措施来帮助保护数据库,例如,设计安全系统、加密机密资产,以及围绕数据库服务器构建防火墙。但是,如果物理媒体(如驱动器或备份磁带)失窃,恶意方可能会还原或附加数据库并浏览数据。一种解决方案是加密数据库中的敏感数据,并通过证书保护用于加密数据的密钥。这可以防止任何没有密钥的人使用这些数据,但这种保护必须事先计划。

透明数据加密(TDE)针对数据和日志文件执行实时 I/O 加密和解密。加密使用数据库加密密钥 (DEK),它存储在数据库引导记录中,可在恢复时使用。 DEK 是使用存储在服务器的 master 数据库中的证书保护的对称密钥,或者是由 EKM 模块保护的非对称密钥。 TDE 保护“处于休眠状态”的数据,即数据和日志文件。 它提供了遵从许多法律、法规和各个行业建立的准则的能力。软件开发人员籍此可以使用 AES 和 3DES 加密算法来加密数据,且无需更改现有的应用程序。

数据库文件加密在页面级执行。已加密数据库中的页在写入磁盘之前会进行加密,在读入内存时会进行解密。TDE不会增加已加密数据库的大小。

启用 TDE 时,应该立即备份证书和与证书相关联的私钥。 如果证书变为不可用,或者如果必须在另一台服务器上还原或附加数据库,则必须同时具有证书和私钥的备份,否则将无法打开该数据库。 即使不再对数据库启用 TDE,也应该保留加密证书。 即使数据库未加密,事务日志的某些部分仍可能保持受到保护,但在执行数据库的完整备份前,对于某些操作可能需要证书。 超过过期日期的证书仍可以用于通过 TDE 加密和解密数据。

资料来源:
透明数据加密 (TDE) https://docs.microsoft.com/zh-cn/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15
数据加密 - TDE透明数据加密原理 https://www.cnblogs.com/tdcqma/p/6307511.html

上一篇:【技术贴】安装sql2000出现以前的某个程序安装已在安装计算机上创建挂起的文件操作的解决办法。


下一篇:VisualSvn Server安装和使用