靜態資料加密是企業伺服器網路安全的關鍵要素。透明資料加密(TDE)是資料庫供應商用來加密檔案層級資料的技術。TDE 可在硬碟遭竊或攻擊者將檔案從遭入侵的伺服器竊取時保護資料。這是資料保護策略中額外的安全層。
什麼是 TDE?
TDE 是一種資料庫的檔案級加密形式。資料庫系統儲存對稱金鑰,並在資料寫入硬碟時用來加密資料,並在資料擷取時解密。TDE 也會加密用來備份的記錄檔,並追蹤資料庫伺服器上的交易。
當靜態資料加密時,代表檔案在儲存前會先加密,並在系統擷取檔案時以透明的方式解密。TDE 僅會保護靜態資料,因此管理員必須確保傳輸中的資料也經過加密,這表示從資料庫傳輸到其他位置的資料必須獨立於 TDE 設定加密。如果檔案遭竊,攻擊者將無法使用這些檔案,而無法存取對稱式金鑰,因此 TDE 是進階網路安全和資料保護的可行策略。
什麼是 SQL 中的 TDE?
Microsoft 是一個資料庫開發者,它整合了 TDE 來保護企業資料。當您將 Microsoft SQL Server 配置為與 TDE 搭配使用時,資料庫會產生憑證並儲存在主資料庫中。該憑證用於加密對稱金鑰,然後用於加密儲存在磁碟或擷取的資料並保存在記憶體中,如果被竊取,則無法讀取。
管理員和使用者在處理資料庫查詢時,可以清楚了解整個資料加密和解密的過程。即使儲存和擷取工作流程中額外的加密步驟,TDE 也不會影響效能。對稱式金鑰加密通常速度快,不會影響效能或生產力。
亞馬遜等廠商都使用 Elastic Block Store (EBS)。EBS 會以區塊形式加密資料,而不是在檔案層級。資料在儲存和檢索時被加密,但資料檔案未加密。不同的安全性在於,檔案級加密可保護實體免於遭竊。如果檔案被入侵的系統竊取,TDE 會將檔案加密,讓攻擊者無法使用。
熱門 DBMS 中的 TDE 範例
雖然 Microsoft 在其 SQL Server 資料庫產品中使用 TDE,但 TDE 也納入其他廠商的資料庫應用程式。IBM 在 Db2 資料庫軟體中使用 TDE。Oracle 還使用 TDE 作為其 10g 和 11g 資料庫應用程式的進階安全選項。所有三家廠商都需要管理員先啟用並設定 TDE,然後才能使用。
MySQL 也整合了 TDE。MySQL 中的 TDE 的運作方式與 Microsoft SQL Server 中的 TDE 類似。兩層加密過程會產生一個用於加密對稱金鑰的公有和私有非對稱金鑰。對稱式金鑰會在資料儲存和擷取時,進行加密和解密。主加密金鑰儲存在保存庫中,只有管理員和資料庫系統才能存取。
使用 TDE 的優點
靜態資料是指儲存在裝置上的任何資訊。與傳輸中的資料相反,它描述了從一個裝置傳輸到另一個裝置的資料,或移動到不同位置的資料。靜態資料與傳輸中的資料不同,因此需要自己的資料保護和網路安全策略。
有些合規法規要求將靜態資料加密。健康保險可攜性與責任法案(HIPAA)就是一個很好的例子。HIPAA 對保護靜態資料有嚴格的規定,尤其是在儲存病患資訊的伺服器和工作站。始終確保您的基礎架構遵循監管產業和支付工作流程的任何監管標準。
Microsoft 將 TDE 與其 SQL Server 資料庫引擎無縫整合。使用者和管理員注意到其操作性、效能或 SQL Server 回應查詢的方式沒有差異。管理員可以將檔案移至備份位置,而無需手動加密備份檔案,以遵循合規性和資料保護的最佳做法。
不使用 TDE 的缺點或理由
任何加密工作流程都增加了環境的複雜性,因此有些管理員可能會猶豫要使用它。雖然 TDE 不會干擾現代伺服器與硬體處理企業查詢的效能,但可能會干擾舊硬體的查詢效能。加密資料也需要額外的儲存容量,儲存容量必須隨著公司取得更多資料而擴充。
TDE 會將儲存在磁碟上的整個檔案加密,因此管理員無法精確控制單元層級或欄層級加密。所有磁碟 I/O 活動都經過加密,因此它對 SQL Server 資料庫來說都是“全部或完全不等”功能。SQL Server 也提供單元層級或欄層級加密,讓管理員能更精細地控制特定欄位與資訊的加密。
FlashArray 提供簡單易用的 AES-256 標準靜態資料加密功能,不影響效能。閱讀此白皮書以了解更多。>>
結論
加密對資料保護至關重要,尤其是在雲端託管資料時。管理員可以手動設定 SQL Server 資料庫,以加密檔案。TDE 啟用後,這些檔案的備份和日誌將自動加密。如果您監督資料庫的合規性,TDE 會遵守要求敏感資料檔案級加密的常見法規。
您的儲存層是否能降低 SQL 效能? 使用 Pure Storage 的全快閃儲存解決方案,加速 SQL Server 部署的效能。