it-swarm.com.de

Was ist in SQL Server 2016 der Unterschied zwischen immer verschlüsselter und transparenter Datenverschlüsselung?

Während ich dies schreibe, warte ich noch auf die offizielle Veröffentlichung von SQL Server 2016, damit wir die Nützlichkeit der Funktion "Immer verschlüsselt" untersuchen können.

Ich möchte nur wissen, welche spezifischen Unterschiede zwischen Always Encrypted und der derzeit verfügbaren transparenten Datenverschlüsselung in SQL Server 2016 bestehen, damit wir die richtige Entscheidung für zukünftige Projekte treffen können.

40
RoastBeast

Nachteile der transparenten Datenverschlüsselung im Vergleich zu Always Encrypted:

  • Schützt nur Daten im Ruhezustand - Sicherungen und Datendateien sind "sicher", aber Daten in Bewegung oder im Speicher sind anfällig
  • Nur ganze Datenbank
  • Alle Daten werden auf die gleiche Weise verschlüsselt
  • Die Sicherungskomprimierung kann länger dauern und kontraproduktiv sein

    • Nun, eigentlich es gibt einige Verbesserungen hier in SQL Server 2016 , die sich dem widersetzen, was wir normalerweise über den Versuch wissen, verschlüsselte Daten zu komprimieren - es ist viel besser als frühere Versionen, aber vermutlich noch schlechter als nur eine Handvoll Spalten zu verschlüsseln (ungetestet)
  • tempdb erbt auch die Verschlüsselung - bleibt auch nach dem Deaktivieren von TDE erhalten
  • Benötigt Enterprise Edition
  • Daten, auf die Sysadmin immer zugreifen kann

Always Encrypted behebt alle diese Probleme teilweise oder vollständig:

  • Daten werden in Ruhe, in Bewegung und im Speicher geschützt - viel mehr Kontrolle über Zertifikate, Schlüssel und genau, wer Daten entschlüsseln kann
  • Kann nur eine einzelne Spalte sein
  • Der Verschlüsselungstyp ist eine Wahl:
    • Kann deterministische Verschlüsselung verwenden, um Indizes und Punktsuchen zu unterstützen (z. B. SSN)
    • Kann zufällige Verschlüsselung für einen höheren Schutz verwenden (z. B. Kreditkartennummer)
  • Da es nicht datenbankweit ist, ist die Sicherungskomprimierung nicht unbedingt betroffen. Je mehr Spalten Sie verschlüsseln, desto mehr Glück haben Sie natürlich
  • tempdb ist nicht beteiligt
  • Ab SQL Server 2016 Service Pack 1 ist Immer verschlüsselt funktioniert jetzt in allen Editionen
  • Daten können vor sysadmin geschützt werden (jedoch nicht vor sysadmin UND Windows-Sicherheits-/Zertifizierungs-/Schlüsseladministratoren. Mit anderen Worten, Sie können die Verantwortung trennen, solange diese beiden Gruppen nicht zusammenarbeiten.)

Es gibt jedoch eine Einschränkung, und das heißt, dass nicht alle Treiber und Anwendungen direkt mit den verschlüsselten Daten umgehen können. In einigen Fällen müssen daher die Treiber aktualisiert/geändert und/oder der Code geändert werden.

48
Aaron Bertrand

Einfach ausgedrückt, TDE sind Daten, die im Ruhezustand (auf der Festplatte) verschlüsselt sind, und AE sind zusätzlich Daten, die auf dem Kabel verschlüsselt sind.

3
Chad Mattox