Рекомендации по TDE и шифрованию диска

Мы небольшой бизнес, который размещает приложения и данные для клиентов. Некоторые из наших клиентов просят нас защитить их данные с помощью «шифрования в состоянии покоя», хотя никогда не очень ясно, знают ли они, что это на самом деле означает.

В настоящее время данные находятся на виртуальной машине Azure, на которой работает SQL Server Standard.

Один из вариантов для нас — использовать TDE, но он доступен только в SQL Enterprise, и дополнительные затраты на лицензирование будут для нас значительными.

Другой способ — бесплатно использовать шифрование диска Azure на существующей виртуальной машине SQL Standard.

Есть ли большая практическая разница в результатах между использованием TDE и Disk Encryption, когда дело доходит до уверенности клиента в том, что его данные зашифрованы в состоянии покоя.

Какие различия я должен учитывать?


sql-server azure-sql-database tde
person userSteve    schedule 08.10.2019    source источник
comment
есть несколько сторонних инструментов, которые предоставляют TDE для всех выпусков SQL Server от Express до Enterprise. Один из них наш: NetLib Encryptionizer for SQL Server. Отказ от ответственности, я из NetLib Security   -  person Neil Weicher    schedule 11.11.2019

Ответы (1)


arrow_upward
4
arrow_downward

Данные в состоянии покоя включают информацию, которая находится в постоянном хранилище на физическом носителе в любом цифровом формате. Носитель может включать файлы на магнитных или оптических носителях, архивные данные и резервные копии данных.

TDE и Disk Encryption защищают от разных (хотя и похожих) рисков. При шифровании диска или файла пользователь компьютера, имеющий доступ к файлам, может скопировать файлы базы данных (mdf, ndf, ldf) на другой компьютер, расшифровав их. А потом прикрепить файлы к другому SQL Server от имени администратора и все прочитать. Возможно, это делает мошеннический оператор резервного копирования.

При включенном TDE новый SQL Server не сможет читать файлы, которые будут зашифрованы с помощью ключа, неизвестного новому SQL Server.

Как вы упомянули, TDE — это функция SQL Server Enterprise Edition, поэтому шифрование диска Azure может быть вашим лучшим вариантом для виртуальной машины SQL Server, если вы не можете позволить себе платить за лицензию Enterprise.

Если вы можете рассмотреть возможность переноса вашей клиентской базы данных с IaaS на PaaS (модель DTU базы данных SQL Azure), то вы можете использовать TDE как часть службы, и вам не нужно платить за лицензии SQL Server, что сэкономит тысячи долларов на затратах на лицензирование. вы экономите на функциях безопасности и экономите на дисках для хранения, используемых для резервных копий (у вас есть бесплатные 35 дней резервных копий, предоставляемых PaaS).

person Alberto Morillo    schedule 09.10.2019