Jump to content

Прозрачное шифрование данных

Прозрачное шифрование данных (часто сокращенно TDE ) — это технология, используемая Microsoft , IBM и Oracle для шифрования файлов базы данных . TDE предлагает шифрование на уровне файлов. TDE позволяет шифровать хранящиеся данные , шифруя базы данных как на жестком диске, так и, следовательно, на носителе резервных копий . Он не защищает ни данные при передаче , ни данные при использовании . Предприятия обычно используют TDE для решения проблем соответствия, таких как PCI DSS , которые требуют защиты хранящихся данных.

Microsoft предлагает TDE как часть своего Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 и 2019. [1] TDE поддерживался только в выпусках Microsoft SQL Server Evaluation, Developer, Enterprise и Datacenter, пока он не стал доступен и в выпуске Standard на 2019 год. [2] SQL TDE поддерживается аппаратными модулями безопасности от Thales e-Security, Townsend Security и SafeNet, Inc.

IBM предлагает TDE как часть Db2 начиная с версии 10.5 fixpack 5. [3] По умолчанию он также поддерживается в облачных версиях продукта: Db2 on Cloud и Db2 Warehouse on Cloud.

Для включения TDE Oracle требуется опция Oracle Advanced Security для Oracle 10g и 11g. [ нужна ссылка ] Oracle TDE удовлетворяет требованиям к шифрованию, связанным с требованиями конфиденциальности и безопасности публичного и частного доступа, такими как PCI и California SB 1386 . Шифрование столбцов Oracle Advanced Security TDE было представлено в Oracle Database 10g Release 2. Шифрование табличного пространства Oracle Advanced Security TDE и поддержка аппаратных модулей безопасности (HSM) были представлены в Oracle Database 11gR1. Ключи для TDE можно хранить в HSM для управления ключами между серверами, аппаратной защиты ключей и разделения обязанностей.

Один и тот же ключ используется для шифрования столбцов в таблице независимо от количества шифруемых столбцов. Эти ключи шифрования шифруются с помощью главного ключа сервера базы данных и сохраняются в словарной таблице базы данных.

Microsoft SQL Server TDE

[ редактировать ]

SQL Server использует иерархию шифрования, которая позволяет совместно использовать базы данных в кластере или переносить их в другие экземпляры без их повторного шифрования. Иерархия состоит из комбинации симметричных и асимметричных шифров: [4]

  • Windows API защиты данных (DPAPI) защищает один главный ключ службы (SMK) всего экземпляра.
  • Главный ключ службы шифрует главный ключ базы данных (DMK).
  • Главный ключ базы данных используется вместе с сертификатом для шифрования ключа шифрования базы данных.
  • Ключ шифрования базы данных используется для шифрования базовых файлов базы данных с помощью шифра AES или 3DES .
  • Основная база данных, содержащая различную информацию системного уровня, учетные записи пользователей и службы управления , не зашифрована.

Во время резервного копирования базы данных сжатие происходит после шифрования. Поскольку сильно зашифрованные данные не могут быть существенно сжаты, резервные копии баз данных, зашифрованных TDE, требуют дополнительных ресурсов.

Чтобы включить автоматическую загрузку, SQL Server сохраняет ключи шифрования самого низкого уровня в постоянном хранилище (используя хранилище DPAPI ). Это представляет собой потенциальную проблему безопасности, поскольку сохраненные ключи можно восстановить напрямую из работающей системы или из резервных копий и использовать для расшифровки баз данных. [5]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «SQL Server TDE против CLE» . Проверено 2 июня 2017 г.
  2. ^ «SQL Server 2019 Standard Edition» Техническое сообщество Microsoft
  3. ^ «Сводка пакетов исправлений» . ИБМ .
  4. ^ «Прозрачное шифрование данных (TDE)» Microsoft TechNet
  5. ^ Саймон Маколифф, «Анатомия и (не) безопасность прозрачного шифрования данных (TDE) Microsoft SQL Server» , 19 марта 2016 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Transparent_data_encryption&oldid=1237568740"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: debe56e42dc3086cdca01d3ce0ba1dd2__1722331560
URL1:https://arc.ask3.ru/arc/aa/de/d2/debe56e42dc3086cdca01d3ce0ba1dd2.html
Заголовок, (Title) документа по адресу, URL1:
Transparent data encryption - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)