TDE 与磁盘加密建议
TDE vs Disk Encryption advice
我们是一家为客户托管应用程序和数据的小型企业。
我们的一些客户要求我们使用 'encryption at rest' 保护他们的数据 - 尽管他们是否知道这真正意味着什么从来都不是很清楚。
数据当前位于 Azure VM 运行 SQL 服务器标准上。
我们可以选择使用 TDE,但这仅在 SQL Enterprise 中可用,而且额外的许可成本对我们来说是一笔不小的数目。
另一种是在现有 SQL 标准 VM 上免费使用 Azure 磁盘加密。
在向客户保证他们的数据是静态加密方面,使用 TDE 和磁盘加密的结果是否有很大的实际差异。
我应该考虑哪些差异?
静态数据包括以任何数字格式驻留在物理介质上的持久存储中的信息。媒体可以包括磁性或光学媒体上的文件、归档数据和数据备份。
TDE 和磁盘加密正在防范不同(尽管相似)的风险。通过磁盘或文件加密,有权访问文件的计算机用户可以将数据库(mdf、ndf、ldf)文件复制到另一台计算机,然后对其进行解密。然后以管理员身份将文件附加到不同的 SQL 服务器并阅读所有内容。也许这是由流氓备份操作员完成的。
启用 TDE 后,新 SQL 服务器将无法读取使用新 SQL 服务器不知道的密钥加密的文件。
正如您提到的,TDE 是 SQL 服务器企业版独有的功能,因此如果您无力支付企业许可证费用,Azure 磁盘加密可能是 SQL 服务器虚拟机上的最佳选择
如果您可以考虑将客户数据库从 IaaS 迁移到 PaaS(Azure SQL 数据库 DTU 模型),那么您可以将 TDE 作为服务的一部分,而无需支付 SQL 服务器许可证,节省数千美元的许可成本,节省安全功能并节省用于备份的存储磁盘(PaaS 提供的 35 天免费备份)。
我们是一家为客户托管应用程序和数据的小型企业。 我们的一些客户要求我们使用 'encryption at rest' 保护他们的数据 - 尽管他们是否知道这真正意味着什么从来都不是很清楚。
数据当前位于 Azure VM 运行 SQL 服务器标准上。
我们可以选择使用 TDE,但这仅在 SQL Enterprise 中可用,而且额外的许可成本对我们来说是一笔不小的数目。
另一种是在现有 SQL 标准 VM 上免费使用 Azure 磁盘加密。
在向客户保证他们的数据是静态加密方面,使用 TDE 和磁盘加密的结果是否有很大的实际差异。
我应该考虑哪些差异?
静态数据包括以任何数字格式驻留在物理介质上的持久存储中的信息。媒体可以包括磁性或光学媒体上的文件、归档数据和数据备份。
TDE 和磁盘加密正在防范不同(尽管相似)的风险。通过磁盘或文件加密,有权访问文件的计算机用户可以将数据库(mdf、ndf、ldf)文件复制到另一台计算机,然后对其进行解密。然后以管理员身份将文件附加到不同的 SQL 服务器并阅读所有内容。也许这是由流氓备份操作员完成的。
启用 TDE 后,新 SQL 服务器将无法读取使用新 SQL 服务器不知道的密钥加密的文件。
正如您提到的,TDE 是 SQL 服务器企业版独有的功能,因此如果您无力支付企业许可证费用,Azure 磁盘加密可能是 SQL 服务器虚拟机上的最佳选择
如果您可以考虑将客户数据库从 IaaS 迁移到 PaaS(Azure SQL 数据库 DTU 模型),那么您可以将 TDE 作为服务的一部分,而无需支付 SQL 服务器许可证,节省数千美元的许可成本,节省安全功能并节省用于备份的存储磁盘(PaaS 提供的 35 天免费备份)。