Aracılığıyla paylaş


Saydam veri şifrelemesi (tde) Anlama

Güvenli bir sistem tasarımı, gizli varlıklar şifreleme ve güvenlik duvarı geçici veritabanı sunucuları oluşturma gibi veritabanını güvenli hale getirmek için çeşitli önlemler alabilir.Ancak, burada çalınıyor (sürücüler veya yedek teyplerini gibi) fiziksel ortam bir senaryoda, kötü amaçlı bir parti yalnızca geri yükleme veya veritabanını iliştirmek ve verileri göz.Tek çözüm ise şifrelemek için gizli veri veritabanındaki bir sertifika ile verileri şifrelemek için kullanılan anahtarları koruma.Bu anahtarlar olmadan herkes verileri kullanmasını önler, ancak bu tür bir koruma önceden planlanmış gerekir.

Saydam veri şifrelemesi (tde) gerçekleştiren gerçek -saat g/Ç şifreleme ve şifre çözme veri ve günlük dosyaları.Şifreleme kurtarma sırasında kullanılabilirlik için veritabanı önyükleme kaydında depolanan bir veritabanı şifreleme anahtar (dek) kullanır.dek bir simetrik anahtar dizininde depolanan bir sertifika kullanarak güvenli olduğu asıl veritabanı sunucu veya bir ekm modülü tarafından korunan bir asimetrik anahtar.tde verileri korur "rest" anlamına gelen veri ve günlük dosyaları, at.Bunu birçok yasaları, düzenlemeleri ve çeşitli sektörün belirlenen talimatları uymanız olanağı sağlar.Bu yazılım geliştiricilerin varolan uygulamaları değiştirmeden aes ve 3DES şifreleme algoritmaları kullanarak verileri şifreleme sağlar.

Önemli notÖnemli

tde iletişim kanalları şifreleme sağlamaz.Veri iletişim kanalları şifrelemek hakkında daha fazla bilgi için bkz: SQL Server bağlantıları şifreleme.

Güvenlik altına alınır sonra veritabanı doğru sertifika kullanılarak geri yüklenebilir.Sertifikalar hakkında daha fazla bilgi için bkz: SQL ServerSertifikaları ve asimetrik anahtarları.

Not

tde etkinleştirirken, hemen gereken yedeklemek sertifika ve sertifikayla ilişkili özel anahtar.Sertifika bugüne kadar kullanılamaz duruma gelir veya geri yükleme yüklemek veya başka bir sunucuda veritabanını iliştirmek, hem sertifika ve özel anahtar yedeklemelerini olmalıdır veya veritabanını açmanız mümkün olmayacaktır.Şifreleme sertifika veya tde artık veritabanında etkin olsa bile, asimetrik korunması.Veritabanı şifrelenmiş olsa da, veritabanı şifreleme anahtar veritabanında korunur ve bazı operasyonlar için erişilmesi gerekebilir.

Veritabanı dosyası şifreleme işlemi gerçekleştirildiğinde sayfa düzeyi.Şifrelenmiş bir veritabanı sayfaları için yazılmış önce şifrelenir disk ve ne zaman şifresi belleğe okuyun.tde şifrelenmiş veritabanı boyutunu artırmaz.Veritabanı sayfaları hakkında daha fazla bilgi için bkz: Anlama sayfaları ve kapsam.

tde şifreleme mimarisi aşağıda gösterilmiştir:

Konuda açıklanan hiyerarşiyi görüntüler.

Saydam veri şifrelemesi kullanarak

tde kullanmak için aşağıdaki adımları izleyin.

  • Ana anahtar oluşturma

  • Oluşturmak veya ana anahtar tarafından korunan bir sertifika alın

  • Bir veritabanı şifreleme anahtar oluşturmak ve sertifika tarafından koruma

  • Şifreleme kullanmak için veritabanı ayarlama

Aşağıdaki örnekte, şifreleme ve şifre çözme gösterilmektedir AdventureWorks2008R2 adlı sunucusunda yüklü sertifika kullanarak veritabanı MyServerCert.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';
go
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';
go
USE AdventureWorks2008R2;
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO
ALTER DATABASE AdventureWorks2008R2
SET ENCRYPTION ON;
GO

Şifreleme ve şifre çözme işlemleri, arka plan iş parçacığı tarafından planlanmış olması SQL Server.Kullanarak bu işlem durumunu görüntüleyebilirsiniz katalog görünümleri ve dinamik yönetimi görünümleri listesinde bu konunun ilerleyen bölümlerinde görüntülenir.

Dikkat notuDikkat

tde etkin olan veritabanlarının yedekleme dosyalarını da veritabanı şifreleme anahtar kullanılarak şifrelenir.Sonuç olarak, ne zaman geri yükleme bu yedekleme veritabanı şifreleme koruma sertifikası anahtar olması gerekir.Bu veritabanını yedeklemeye ek olarak, veri kaybını önlemek için sunucu sertifikaları yedekleri korumak emin olduğunuz anlamına gelir.Sertifika artık kullanılabilir değilse, veri kaybına neden olur.Daha fazla bilgi için bkz: SQL ServerSertifikaları ve asimetrik anahtarları.

Komutlar ve İşlevler

tde sertifikalar aşağıdaki ifadeleri tarafından kabul edilmesi için veritabanı ana anahtar tarafından şifrelenmiş olmalıdır.Deyimleri yalnızca parola ile şifrelenir, bunları encryptors reddeder.

Önemli notÖnemli

tde tarafından kullanılan sonra parola korumalı sertifikaları değiştirme veritabanı yeniden başlatmadan sonra erişilemez duruma gelmesine neden olur.

Aşağıdaki tablo bağlar ve açıklamalarını tde komutlar ve işlevler sağlar.

Komut veya işlev

Amaç

Veritabanı şifreleme anahtarı (Transact-sql) oluştur

Bir veritabanını şifrelemek için kullanılan bir anahtar oluşturur.

Veritabanı şifreleme anahtarı (Transact-sql) Değiştir

Bir veritabanını şifrelemek için kullanılan anahtar değiştirir.

Veritabanı şifreleme anahtarı (Transact-sql) bırak

Bir veritabanını şifrelemek için kullanılan anahtar kaldırır.

alter database set seçenekleri (Transact-sql)

Açıklar ALTER DATABASE etkinleştirmek için kullanılan seçeneğitde.

Katalog görünümler ve dinamik yönetimi görünümleri

Aşağıdaki tablo tde katalog görünümler ve dinamik yönetimi görünümleri gösterir.

Katalog görünümü veyadinamik yönetim görünümü

Amaç

sys.Databases (Transact-sql)

Katalog Veritabanı bilgilerini görüntüleyen görünüm.

sys.Certificates (Transact-sql)

Bir veritabanındaki sertifikaların gösterir Katalog görünümü

sys.dm_database_encryption_keys (Transact-sql)

Dinamik yönetimi görünümü bir veritabanı ve veritabanı şifreleme durumunu kullanılan şifreleme anahtarları hakkında bilgi sağlar.

İzinler

Her tde özellik ve komut daha önce gösterilen tablolarda açıklanan bağımsız izin gereksinimleri vardır.

tde ile ilgili meta veriler görüntüleme, sertifika üzerinde görünüm TANIMI izni gerektirir.Daha fazla bilgi için bkz: Görünüm TANIMINI izni.

Dikkate Alınacak Noktalar

Bir veritabanını şifreleme işlemi için yeniden şifreleme tarama devam ederken, veritabanına bakım işlemleri devre dışı bırakılır. Veritabanı tek kullanıcı modu ayarı, bakım işlemi gerçekleştirmek için kullanabilirsiniz.Daha fazla bilgi için bkz: Nasıl yapılır: Bir veritabanı tek kullanıcı modu (sql Server Management Studio'yu) ayarla.

Veritabanı şifreleme kullanarak durumunu bulabilirsiniz sys.dm_database_encryption_keys Dinamik yönetim görünümü.For more information, see the "Catalog Views and Dynamic Management Views"section earlier in this topic).

tde tüm dosyaları ve dosya gruplarını veritabanında şifreli.Bir veritabanındaki tüm filegroups read only işaretliyse, veritabanını şifreleme işlemi başarısız olur.

Veritabanında bir veritabanı kullanılıyorsa, yansıtma veya günlük Sevkiyat, her iki veritabanı şifrelenir.Bunlar arasında gönderilen günlük işlemler şifrelenir.

Önemli notÖnemli

Bir veritabanı, tüm yeni tam metin dizinlerini şifreli küme şifreleme için.Yükseltme sırasında tam metin dizinleri önceden oluşturulmuş alınacak ve içine veri yüklendikten sonra tde olacaktır SQL Server.Bir sütun üzerinde bir tam metin dizini etkinleştirme o sütunun veri tam metin dizin tarama sırasında düz metin diske yazılmasına neden olabilir.Tam metin dizini duyarlı şifreli verileri oluşturmayın öneririz.

Şifrelenmiş verileri önemli ölçüde küçüktür eşdeğer şifrelenmemiş veri sıkıştırır.tde bir veritabanını şifrelemek için kullanılan, yedekleme sıkıştırma önemli ölçüde yedek depolama sıkıştırmak mümkün olacaktır.Bu nedenle, tde ve yedek sıkıştırma birlikte kullanılması önerilmez.

Kısıtlamalar

Aşağıdaki işlemleri ilk veritabanını şifreleme anahtar değiştirme veya veritabanı şifre çözme sırasında izin verilmez:

  • Bir veritabanındaki dosya grubu gelen bir dosya siliniyor

  • Veritabanını bırakma

  • Veritabanı çevrimdışı duruma getirme

  • Bir veritabanını ayırmak

  • Veritabanı veya dosya grubu bir read only durumuna geçmekte

Aşağıdaki işlemleri sırasında veritabanı şifreleme anahtarı oluşturmak, alter veritabanı şifreleme anahtarı, veritabanı şifreleme anahtarı bırak veya alter database izin verilir...AYARLAMA şifreleme deyimleri.

  • Bir dosya veritabanındaki bir dosya grubu tarafından atılıyor.

  • Veritabanı bırakarak.

  • Veritabanı çevrimdışı duruma getirme.

  • Bir veritabanını ayırmak.

  • Veritabanı veya dosya grubu bir read only durumuna geçmekte.

  • alter database komutunu kullanarak.

  • Bir veritabanı veya veritabanı başlatma dosya yedeği.

  • Bir veritabanı veya veritabanı başlatma dosya geri yükleme yüklemesi.

  • Anlık görüntü oluşturma.

Aşağıdaki işlemleri veya koşulları alter veritabanı şifreleme anahtarı, veritabanı şifreleme anahtarı bırak veya alter database veritabanı şifreleme anahtarı oluşturma engeller...AYARLAMA şifreleme deyimleri.

  • Veritabanı salt okunur veya salt okunur dosya grupları var.

  • alter database komutu yürütülüyor.

  • Tüm veri yedeği çalışıyor.

  • Veritabanı, bir çevrimdışı veya koşul geri yükleme yükleyebilirsiniz.

  • Bir anlık görüntü devam ediyor.

  • Veritabanı bakım görevleri.

tde etkin olduğunda veritabanı dosyalarını oluştururken, anlık dosya başlatma kullanılamaz.

Saydam veri şifrelemesi ve hareket günlükleri

tde kullanmak bir veritabanını etkinleştirme out "sıfırlama" nın etkisi sonraki sanal işlem günlüğü zorlamak için sanal işlem günlüğü geri kalan bölümü.Bu veritabanı sonra şifresiz metin işlem günlüklerinde sol garanti eder küme şifreleme için.Günlük dosya şifreleme durumunu görüntüleyerek bulabilirsiniz encryption_state sütun , sys.dm_database_encryption_keys Bu örnekte olduğu gibi görüntüleyin:

USE AdventureWorks2008R2;
GO
/* The value 3 represents an encrypted state 
   on the database and transaction logs. */
SELECT *
FROM sys.dm_database_encryption_keys
WHERE encryption_state = 3;
GO

Hakkında daha fazla bilgi için SQL Server , günlük dosyası mimarisi Bkz: İşlem günlüğünün fiziksel yapısı.

Önceki veritabanı şifreleme anahtar kullanarak bir veritabanı şifreleme anahtar değişiklik önce hareket günlüğüne yazılan tüm veriler şifrelenir.

Bir veritabanı şifreleme anahtar iki kez değişiklik yapılmış sonra günlük yedeği veritabanı şifreleme anahtar yeniden değiştirilebilir önce gerçekleştirilmelidir.

Saydam veri şifrelemesi ve tempdb sistem veritabanı

The tempdb system database will be encrypted if any other database on the instance of SQL Server is encrypted by using TDE.Bu bir performans etkisi şifresiz veritabanları için aynı olabilir örnek , SQL Server.Hakkında daha fazla bilgi için tempdb Sistem Veritabanı Bkz: tempdb veritabanı.

Saydam veri şifrelemesi ve çoğaltma

Çoğaltma otomatik olarak veri tde etkin bir veritabanından şifrelenmiş bir biçimde çoğaltma yapmaz.Dağıtım korumak istiyorsanız, ayrı ayrı tde etkinleştirmeniz gerekir ve abone veritabanları.Anlık görüntüsünü ilk dağıtım verilerinin yanı sıra, çoğaltma işlem ve birleştirme çoğaltması, şifrelenmemiş Ara dosyalarda; veri depolayabilir Örneğin, bcp dosyaları.İşlem sırasında veya birleştirme çoğaltma, iletişim kanalı korumak için şifreleme etkinleştirilebilir.Daha fazla bilgi için bkz: Nasıl yapılır: Veritabanı Altyapısı'nın (SQL Server Configuration Manager) şifreli bağlantıları etkinleştir.

Saydam veri şifrelemesi ve FILESTREAM veri

tde etkin olsa bile FILESTREAM veriler şifrelenmez.