Znalostní databáze ORANGE

Ve verzi SQL Server 2008 Enterprise je nová funkcionalita a to Transparentní šifrování dat na úrovni databáze.

V praxi to vypadá tak, že si nastavíte šifrování databáze, jenž probíhá online. Kdykoli uděláte zálohu dat v Heliosu nebo přímo na serveru včetně odkopírování *.mdf souborů a budete je chtít obnovit na jiném SQL serveru, nebude to možné. Pouze v případě, že na jiném SQL serveru bude stejný databázový šifrovací klíč.

Celý proces je však mnohem složitější.
Kompletní popis a princip šifrování najdete zde


!! Tato funkcionalita je dostupná ve verzi Enterprise a Developer(verze pouze pro vývojáře). !!

Helios Orange a transparentní šifrování (TDE=Transparent Data Encryption) v SQL Serveru 2008+

1/ Trocha teorie na začátek
Transparentní šifrování dat šifruje každou stránku vaší celé databáze a automaticky dle potřeby dešifruje každou stránku během přístupu. Tato funkce vám umožňuje zabezpečit celou vaši databázi, aniž byste se starali o podrobnosti zašifrování na úrovni sloupců. Výhoda této funkce je v tom, že vám umožní zabezpečit transparentně vaši databázi bez jakýchkoli změn v koncových aplikacích. Transparentní zašifrování dat nevyžaduje žádné místo navíc a může generovat daleko efektivnější plány dotazů než dotazy na zašifrovaná data, protože transparentní zašifrování dat umožňuje systému SQL Server používat řádné indexy.
Slabou stránkou transparentního zašifrování dat je skutečnost, že vyžaduje další režii, protože systém SQL Server musí dešifrovat každou stránku dat při každém dotazu. Nevýhodou transparentního šifrování dat je to, že s sebou přináší režii v průběhu každého přístupu k databázi, protože kompletně celé stránky dat je potřeba dešifrovat při každém přístupu k databázi. Transparentní šifrování dat také šifruje systémovou databázi tempdb, což může negativně ovlivnit výkon každé další databáze na stejné instanci SQL Serveru.

2/ Co je potřeba mít
• Microsoft SQL Server 2008 nebo vyšší
• a to Enterprise Edition
-nebo-
Enterprise Evaluation Edition (180-denní zkušební verze; licenčně není určena pro produkční prostředí)
-nebo-
Developer Edition (vývojářská verze; licenčně není určena pro produkční prostředí)
Na SQL Server doporučujeme nainstalovat nejvyšší dostupný Service Pack.

3/ Proti čemu je to ochrana?
• proti fyzickému odcizení databázových souborů (typicky přípony .MDF/.NDF/.LDF)
• proti fyzickému odcizení zálohy databáze (typicky přípona .BAK)

4/ Proti čemu to není ochrana?
• proti odposlouchávání komunikace mezi SQL Serverem a klientskými aplikací (k tomu slouží šifrované připojení)

5/ Jak TDE rozchodit se systémem Helios Orange (viz dokument v příloze)


6/ Další zdroje:
V češtině:
Databázový svět > Šifrování na MS SQL Serveru 2008
WebovéAplikace.info > Transparentní šifrování v MS SQL 2008
V angličtině:
• DatabaseJournal.com > Test vlivu TDE na výkon SQL Serveru
• MSDN > Database Encryption in SQL Server 2008 Enterprise Edition
• MSDN > Understanding Transparent Data Encryption (TDE)
• MSSQLTips.com > SQL Server 2008 Transparent Data Encryption getting started
• SQL-Server-Performance.com > Transparent Data Encryption
• DatabaseJournal.com > Transparent Data Encryption (TDE) in SQL Server 2008
• Microsoft Knowledge Base > Jak na zálohování certifikátu TDE