Przejrzyste szyfrowanie danych

Transparent Data Encryption (często w skrócie TDE ) to technologia stosowana przez firmy Microsoft , IBM i Oracle do szyfrowania plików baz danych . TDE oferuje szyfrowanie na poziomie plików. TDE rozwiązuje problem ochrony danych w stanie spoczynku , szyfrując bazy danych zarówno na dysku twardym, jak iw konsekwencji na nośnikach kopii zapasowych . Nie chroni przesyłanych ani używanych danych . Przedsiębiorstwa zazwyczaj wykorzystują TDE do rozwiązywania problemów ze zgodnością, takich jak PCI DSS które wymagają ochrony danych w stanie spoczynku.

Microsoft oferuje TDE jako część Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 i 2019. TDE było obsługiwane tylko w wersjach Evaluation, Developer, Enterprise i Datacenter Microsoft SQL Server, dopóki nie zostało również udostępnione w edycji Standard na rok 2019. SQL TDE jest wspierany przez sprzętowe moduły bezpieczeństwa firm Thales e-Security, Townsend Security oraz SafeNet, Inc.

IBM oferuje TDE jako część Db2 począwszy od wersji 10.5 z pakietem poprawek 5. Jest również domyślnie obsługiwane w chmurowych wersjach produktu, Db2 on Cloud i Db2 Warehouse on Cloud.

Oracle wymaga opcji Oracle Advanced Security dla Oracle 10g i 11g, aby włączyć TDE. ^{[ potrzebne źródło ]} Oracle TDE spełnia wymagania dotyczące szyfrowania związane z publicznymi i prywatnymi wymogami dotyczącymi prywatności i bezpieczeństwa, takimi jak PCI i California SB 1386 . Szyfrowanie kolumn Oracle Advanced Security TDE zostało wprowadzone w Oracle Database 10g Release 2. Szyfrowanie obszaru tabel Oracle Advanced Security TDE i obsługa sprzętowych modułów bezpieczeństwa (HSM) zostały wprowadzone wraz z Oracle Database 11gR1. Klucze dla TDE można przechowywać w HSM w celu zarządzania kluczami między serwerami, ochrony kluczy za pomocą sprzętu i wprowadzenia rozdziału obowiązków.

Ten sam klucz jest używany do szyfrowania kolumn w tabeli, niezależnie od liczby kolumn do zaszyfrowania. Te klucze szyfrowania są szyfrowane przy użyciu klucza głównego serwera bazy danych i są przechowywane w tabeli słownika w bazie danych.

Microsoft SQL Server TDE

SQL Server wykorzystuje hierarchię szyfrowania, która umożliwia udostępnianie baz danych w klastrze lub migrację do innych instancji bez ich ponownego szyfrowania. Hierarchia składa się z kombinacji szyfrów symetrycznych i asymetrycznych:

Interfejs API ochrony danych systemu Windows (DPAPI) chroni pojedynczy klucz główny usługi (SMK) obejmujący całą instancję.
Klucz główny usługi szyfruje klucz główny bazy danych (DMK).
Klucz główny bazy danych jest używany w połączeniu z certyfikatem do szyfrowania klucza szyfrowania bazy danych.
Klucz szyfrowania bazy danych służy do szyfrowania podstawowych plików bazy danych za pomocą szyfru AES lub 3DES .
Główna baza danych zawierająca różne informacje na poziomie systemu, konta użytkowników i usługi zarządzania nie jest szyfrowana .

Podczas tworzenia kopii zapasowych bazy danych kompresja następuje po zaszyfrowaniu. Ze względu na fakt, że silnie zaszyfrowanych danych nie można znacznie skompresować, kopie zapasowe baz danych zaszyfrowanych TDE wymagają dodatkowych zasobów.

Aby włączyć automatyczne uruchamianie, SQL Server przechowuje klucze szyfrowania najniższego poziomu w magazynie trwałym (przy użyciu magazynu DPAPI ). Stanowi to potencjalny problem z bezpieczeństwem, ponieważ przechowywane klucze można odzyskać bezpośrednio z działającego systemu lub z kopii zapasowych i użyć do odszyfrowania baz danych.

Zobacz też

Linki zewnętrzne