Прозрачное шифрование данных

Прозрачное шифрование данных (часто сокращенно TDE ) — это технология, используемая Microsoft , IBM и Oracle для шифрования файлов баз данных . TDE обеспечивает шифрование на уровне файлов. TDE обеспечивает шифрование данных в состоянии покоя , шифруя базы данных как на жестком диске, так и, следовательно, на резервных носителях. Он не защищает данные при передаче или данные в процессе использования . Предприятия обычно используют TDE для решения проблем соответствия, таких как PCI DSS , которые требуют защиты данных в состоянии покоя.

Microsoft предлагает TDE как часть своих Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 и 2019. ^[1] TDE поддерживался только в выпусках Microsoft SQL Server Evaluation, Developer, Enterprise и Datacenter, пока не стал доступен в выпуске Standard в 2019 году. ^[2] SQL TDE поддерживается аппаратными модулями безопасности от Thales e-Security, Townsend Security и SafeNet, Inc.

IBM предлагает TDE как часть Db2, начиная с версии 10.5 fixpack 5. ^[3] Он также поддерживается в облачных версиях продукта по умолчанию, Db2 on Cloud и Db2 Warehouse on Cloud.

Oracle требует опцию Oracle Advanced Security для Oracle 10g и 11g для включения TDE. ^{[ требуется ссылка ]} Oracle TDE удовлетворяет требованиям шифрования, связанным с публичными и частными требованиями конфиденциальности и безопасности, такими как PCI и California SB 1386. Шифрование столбцов Oracle Advanced Security TDE было представлено в Oracle Database 10g Release 2. Шифрование табличного пространства Oracle Advanced Security TDE и поддержка аппаратных модулей безопасности (HSM) были представлены в Oracle Database 11gR1. Ключи для TDE могут храниться в HSM для управления ключами на разных серверах, защиты ключей с помощью оборудования и введения разделения обязанностей.

Один и тот же ключ используется для шифрования столбцов в таблице, независимо от количества столбцов, которые необходимо зашифровать. Эти ключи шифрования шифруются с использованием главного ключа сервера базы данных и хранятся в таблице словаря в базе данных.

Microsoft SQL Server TDE

SQL Server использует иерархию шифрования, которая позволяет совместно использовать базы данных в кластере или переносить их в другие экземпляры без повторного шифрования. Иерархия состоит из комбинации симметричных и асимметричных шифров: ^[4]

• API защиты данных Windows (DPAPI) защищает единый главный ключ службы (SMK) для всего экземпляра.
• Главный ключ сервиса шифрует главный ключ базы данных (DMK).
• Главный ключ базы данных используется вместе с сертификатом для шифрования ключа шифрования базы данных.
• Ключ шифрования базы данных используется для шифрования базовых файлов базы данных с помощью шифра AES или 3DES .
• Основная база данных, содержащая различную информацию системного уровня, учетные записи пользователей и службы управления , не зашифрована.

При резервном копировании баз данных сжатие происходит после шифрования. В связи с тем, что сильно зашифрованные данные не могут быть существенно сжаты, резервное копирование баз данных, зашифрованных с помощью TDE, требует дополнительных ресурсов.

Для включения автоматической загрузки SQL Server хранит ключи шифрования самого низкого уровня в постоянном хранилище (используя хранилище DPAPI ). Это представляет потенциальную проблему безопасности, поскольку сохраненные ключи могут быть напрямую восстановлены из работающей системы или из резервных копий и использованы для расшифровки баз данных. ^[5]

Смотрите также

• Шифрование диска
• Шифрование
• Аппаратный модуль безопасности

Ссылки

1. "SQL Server TDE против CLE" . Получено 2017-06-02 .
2. "SQL Server 2019 Standard Edition" Сообщество Microsoft Tech
3. "Обзор пакета исправлений". IBM .
4. «Прозрачное шифрование данных (TDE)» Microsoft TechNet
5. Саймон МакОлифф, «Анатомия и (не)безопасность прозрачного шифрования данных (TDE) Microsoft SQL Server», 19 марта 2016 г.

Внешние ссылки

• Альтернативное решение стороннего производителя для всех редакций SQL Server
• Еще одно альтернативное стороннее решение для всех редакций SQL Server
• Функции безопасности предприятия, поддерживаемые выпусками Microsoft SQL Server 2008 R2
• Функции безопасности, поддерживаемые выпусками Microsoft SQL Server 2012
• Понимание прозрачного шифрования данных (TDE) (Microsoft)
• Использование прозрачного шифрования данных в Oracle Database 11g
• Лучшие практики прозрачного шифрования данных Oracle
• Шифрование столбцов TDE и шифрование табличного пространства TDE в Oracle Database 11gR1
• http://download.oracle.com/docs/cd/B19306_01/network.102/b14268/asotrans.htm#BABDFHHH
• Поставщик PKCS#11 P6R и Oracle TDE
• [1]