SQL सर्वर 2016 में, हमेशा एन्क्रिप्टेड और पारदर्शी डेटा एन्क्रिप्शन के बीच अंतर क्या है?


40

जैसा कि मैंने इसे लिखा है मैं अभी भी SQL सर्वर 2016 की आधिकारिक रिलीज का इंतजार कर रहा हूं ताकि हम इसकी "हमेशा एन्क्रिप्ट" सुविधा की उपयोगिता का पता लगा सकें।

मैं सिर्फ यह जानना चाहूंगा कि एसक्यूएल सर्वर 2016 में हमेशा एन्क्रिप्ट किए गए और वर्तमान में उपलब्ध पारदर्शी डेटा एन्क्रिप्शन के बीच क्या विशिष्ट अंतर होंगे ताकि हम भविष्य की परियोजनाओं के लिए सही निर्णय ले सकें।


हमेशा एन्क्रिप्टेड के साथ, क्लाइंट ड्राइवर SQL सर्वर को हिट करने से पहले डेटा को एन्क्रिप्ट / डिक्रिप्ट करते हैं जबकि TDE SQL सर्वर पर ही चलता है। IMHO TDE क्लाउड / सिक्योर डेटासेंटर परिदृश्यों में ज्यादातर बेकार है (स्क्रॉल "TDE क्लाउड में बहुत उपयोगी नहीं है")। यदि आप उन्नत डेटा सुरक्षा में रुचि रखते हैं, तो क्रायपर्सटन को भी देखें । पूर्ण प्रकटीकरण: मैं वहां काम करता हूं
DeepSpace101

जवाबों:


48

हमेशा एन्क्रिप्टेड की तुलना में पारदर्शी डेटा एन्क्रिप्शन के डाउनसाइड:

  • केवल डेटा को आराम से बचाता है - बैकअप और डेटा फाइलें "सुरक्षित" हैं लेकिन गति या मेमोरी में डेटा असुरक्षित है
  • केवल डेटाबेस
  • सभी डेटा को उसी तरह एन्क्रिप्ट किया गया है
  • बैकअप संपीड़न में अधिक समय लग सकता है और यह प्रति-उत्पादक हो सकता है

    • खैर, वास्तव में यहाँ SQL Server 2016 में कुछ सुधार हुए हैं, जो कि हम आमतौर पर एन्क्रिप्टेड डेटा को संपीड़ित करने की कोशिश के बारे में जानते हैं - यह पिछले संस्करणों की तुलना में बहुत बेहतर है, लेकिन संभवतः अभी भी केवल एक मुट्ठी भर स्तंभों को एन्क्रिप्ट करने से भी बदतर है (अनटाइटेड)
  • tempdb को एन्क्रिप्शन भी विरासत में मिला है - TDE अक्षम करने के बाद भी रहता है
  • एंटरप्राइज़ संस्करण की आवश्यकता है
  • डेटा हमेशा sysadmin के लिए सुलभ

हमेशा इन सभी मुद्दों को पूर्ण या आंशिक रूप से संबोधित किया जाता है:

  • डेटा को आराम से, गति में, और मेमोरी में संरक्षित किया जाता है - बहुत अधिक नियंत्रण, कुंजी, और वास्तव में कौन डेटा को डिक्रिप्ट कर सकता है
  • सिर्फ एक कॉलम हो सकता है
  • एन्क्रिप्शन प्रकार एक विकल्प है:
    • अनुक्रमणिका और बिंदु लुकअप का समर्थन करने के लिए नियतात्मक एन्क्रिप्शन का उपयोग कर सकते हैं (कहते हैं, SSN)
    • उच्च सुरक्षा के लिए यादृच्छिक एन्क्रिप्शन का उपयोग कर सकते हैं (कहते हैं, क्रेडिट कार्ड नंबर)
  • चूंकि यह डेटाबेस-वाइड नहीं है, इसलिए बैकअप संपीड़न अनिवार्य रूप से प्रभावित नहीं होता है - बेशक आप जितना अधिक कॉलम एन्क्रिप्ट करते हैं, उतना ही बुरा भाग्य आपके पास होगा
  • टेम्पर्ड बिन बुलाए है
  • SQL सर्वर 2016 सर्विस पैक 1 के रूप में, हमेशा एन्क्रिप्टेड अब सभी संस्करणों में काम करता है
  • डेटा को sysadmin से सुरक्षित किया जा सकता है (लेकिन sysadmin और Windows सुरक्षा / प्रमाणित / कुंजी व्यवस्थापक नहीं है, दूसरे शब्दों में आप जिम्मेदारी को अलग कर सकते हैं जब तक कि वे दो समूह आपस में नहीं मिलते)

एक सीमा है, हालांकि, और वह यह है कि सभी ड्राइवर और एप्लिकेशन सीधे एन्क्रिप्ट किए गए डेटा से निपट नहीं सकते हैं, इसलिए कुछ मामलों में इसे ड्राइवरों को बदलने और / या संशोधित करने की आवश्यकता होगी।


क्या आप कृपया मुझे समझा सकते हैं, कैसे हमेशा एनक्रिप्टेड डेटा मेमोरी में एन्क्रिप्ट किया जाता है? मैंने MSDN में इस जानकारी को खोजने की कोशिश की है, लेकिन यह केवल डेटा पर आराम और गति एन्क्रिप्शन में डेटा के बारे में कहता है। धन्यवाद :)
विक्टोरिया मलाया

1
@Victoria डेटा एसक्यूएल सर्वर द्वारा इसे देखने से पहले प्रदाता द्वारा एन्क्रिप्ट किया गया है। तो SQL सर्वर एक एन्क्रिप्टेड मान प्राप्त करता है, उस एन्क्रिप्टेड मान को डिस्क पर रखता है, और उस पेज को मेमोरी में होने पर एन्क्रिप्टेड मूल्य को मेमोरी में लोड करता है। एन्क्रिप्शन स्मृति में जिस तरह से आपको लगता है नहीं होता है, और डिक्रिप्शन केवल तब होता है जब एक ग्राहक को डिक्रिप्ट करने की क्षमता के साथ एक प्रमाण पत्र के पास ...
हारून बर्ट्रेंड

2
जहां तक ​​मुझे पता है, सबसे बड़ा अंतर है जब यह डेटा को क्वेरी करने की बात आती है। TDE के साथ आप किसी भी क्वेरी को सामान्य रूप से चला सकते हैं, AE के साथ जब आप एन्क्रिप्टेड कॉलम को क्वेरी करने की बात करते हैं, तो आप बहुत सीमित हैं, अर्थात आप केवल समानता तुलना कर सकते हैं (और इसके लिए नियतात्मक एन्क्रिप्शन की आवश्यकता होती है)। कोई जाँच तिथि सीमा, कोई LIKE क्वेरी आदि नहीं है
musefan

3

सीधे शब्दों में कहें, TDE बाकी पर डेटा एन्क्रिप्टेड है (डिस्क पर) और AE इसके अलावा तार पर एन्क्रिप्टेड डेटा है।


मुझे लगता है कि तुम हो सकता है कि पीछे, नहीं?
zwerdlds

ऐसा नहीं होना चाहिए: TDE डेटा को आराम से एन्क्रिप्ट किया गया है जबकि AE तार पर डेटा एन्क्रिप्टेड है, बाकी में और मेमोरी में?
RoastBeast

AFAIK: आप TDE और फ़ोर्स प्रोटोकॉल एन्क्रिप्शन को MS SQL सर्वर पर संयोजित कर सकते हैं ताकि यह तार पर भी एन्क्रिप्ट किया जा सके।
तिलोउंट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.