Прозрачное шифрование данных - Transparent data encryption

Прозрачное шифрование данных (часто сокращенно TDE) - это технология, используемая Microsoft, IBM и Oracle к зашифровать база данных файлы. TDE предлагает шифрование на уровне файлов. TDE решает проблему защиты данные в состоянии покоя, шифрование баз данных как на жестком диске, так и соответственно на резервный средства массовой информации. Не защищает данные в пути ни данные в использовании. Предприятия обычно используют TDE для решения таких проблем, как: PCI DSS которые требуют защиты данных в состоянии покоя.

Microsoft предлагает TDE как часть своего Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 и 2019.[1] TDE поддерживался только в выпусках Microsoft SQL Server Evaluation, Developer, Enterprise и Datacenter, пока не стал доступен в выпуске Standard на 2019 год. [2]. SQL TDE поддерживается аппаратные модули безопасности от Thales e-Security, Townsend Security и SafeNet, Inc.

IBM предлагает TDE как часть Db2 начиная с версии 10.5 fixpack 5.[3] Он также по умолчанию поддерживается в облачных версиях продукта: Db2 on Cloud и Db2 Warehouse on Cloud.

Oracle требует Oracle Advanced Security опция для Oracle 10g и 11g для включения TDE.[нужна цитата ] Oracle TDE отвечает требованиям шифрования, связанным с общедоступными и частными требованиями к конфиденциальности и безопасности, такими как PCI и Калифорния SB 1386. Шифрование столбцов Oracle Advanced Security TDE было представлено в Oracle Database 10g Release 2. Шифрование табличного пространства Oracle Advanced Security TDE и поддержка аппаратные модули безопасности (HSM) были представлены в Oracle Database 11gR1. Ключи для TDE могут храниться в HSM для управления ключами на серверах, защиты ключей с помощью оборудования и введения разделения обязанностей.

Один и тот же ключ используется для шифрования столбцов в таблице независимо от количества столбцов, которые нужно зашифровать. Эти ключи шифрования зашифровываются с помощью главного ключа сервера базы данных и хранятся в таблице словаря в базе данных.

Microsoft SQL Server TDE

SQL Server использует иерархию шифрования, которая позволяет совместно использовать базы данных в кластере или переносить их в другие экземпляры без их повторного шифрования. Иерархия состоит из комбинации симметричных и асимметричных шифров:[4]

  • Windows API защиты данных (DPAPI) защищает единый общий служебный ключ (SMK).
  • Главный ключ службы шифрует главный ключ базы данных (DMK).
  • Главный ключ базы данных используется вместе с сертификатом для шифрования ключа шифрования базы данных.
  • Ключ шифрования базы данных используется для шифрования файлов базовой базы данных с помощью AES или же 3DES шифр.
  • В владелец база данных, содержащая различную информацию системного уровня, учетные записи пользователей и службы управления, не зашифрована.

Во время резервного копирования базы данных сжатие происходит после шифрования. Из-за того, что сильно зашифрованные данные нельзя значительно сжать, для резервного копирования баз данных с шифрованием TDE требуются дополнительные ресурсы.

Чтобы включить автоматическую загрузку, SQL Server хранит ключи шифрования самого низкого уровня в постоянном хранилище (используя DPAPI хранить). Это представляет собой потенциальную проблему безопасности, поскольку хранимые ключи можно напрямую восстановить из действующей системы или из резервных копий и использовать для расшифровки баз данных.[5]

Смотрите также

Рекомендации

  1. ^ "SQL Server TDE против CLE". Получено 2017-06-02.
  2. ^ «SQL Server 2019 Standard Edition»Техническое сообщество Microsoft
  3. ^ https://www.ibm.com/support/knowledgecenter/SSEPGG_10.5.0/com.ibm.db2.luw.wn.doc/doc/c0061179.html
  4. ^ «Прозрачное шифрование данных (TDE)» Microsoft TechNet
  5. ^ Саймон МакОлифф, «Анатомия и (не) безопасность прозрачного шифрования данных Microsoft SQL Server (TDE)», 19-мар-2016

внешняя ссылка