SQL Server 安全篇——安全元数据(4)——加密(Ecryption)元数据

最新推荐文章于 2023-05-30 15:33:19 发布
置顶 最新推荐文章于 2023-05-30 15:33:19 发布
阅读量851 收藏 1
点赞数
分类专栏: 数据库管理 DBA 安全 SQL Server Security 文章标签: SQL Server DBA 安全 元数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DBA_Huangzj/article/details/79163194
版权
数据库管理 同时被 3 个专栏收录
277 篇文章 38 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏

本文属于SQL Server安全专题系列


     这里需要注意,加密不是动词,而是指关于加密功能的元数据。SQL Server作为成熟的数据库管理系统,必须有加密功能,而加密功能又需要有一定的元数据作为协助,不然对于用户或者DBA来说会很难使用。本文重点介绍在SQL Server 2016出现的Always Encrypted(始终加密)和2008开始出现的TDE功能的元数据。


Always Encrypted:

     简称AE。始终加密包含了两部分,列主密钥(column master keys)和列加密密钥(column encryption keys),两者是一对多的关系,因此,元数据也需要体现出这种关系。这两部分的元数据主要来自于:sys.column_encryption_keyssys.column_encryption_key_valuessys.column_master_keys目录视图,它们组合成一个层次结构用来显示列主密钥和列加密密钥的关系。

     本文不是专门介绍AE的,所以这里不打算展开太多,下面我们快速来实操一下AE,首先我们要使用SQL Server 2016及以上版本,因为这个是2016才引入的功能。然后下载一个AdventureWorks2016做演示。按照图中的方式打开:


打开之后的样子:


在这里,输入列主密钥的名字和选择存储类型:

这里选择使用【Windows证书存储-当前用户】,然后点击左下角的【生成证书】,可以看到多了一行: 现在列主密钥已经创建完毕,接下来创建列加密密钥,按照上面的方式打开:


选择名字及对应的列主密钥:


点击确定之后,完成密钥的创建。接下来我们找个数据来加密一下。这里暂时不解释细节问题。

我们使用AdventureWorks2016中的Sales.CreditCard表加密信用卡号(CardNumber)、过期月份(ExpMonth)和过期年份(ExpYear)三列。


注意状态:在选择了【加密类型】后,cardnumber变成【警告】状态。因为它需要改变列的排序规则以便支持BIN2。而modifiedData由于是不支持AE的数据类型所以不能使用AE功能。


因为这里只是简单演示,所以不做详细截图。

下面的语句用来展开始终加密的信息:

SELECT t.NAME AS TableName
	,c.NAME AS ColumnName
	,c.encryption_type_desc
	,c.encryption_algorithm_name
	,cek.NAME AS ColumnEncryptionKeyName
	,cev.encrypted_value
	,cev.encryption_algorithm_name
	,cmk.NAME AS ColumnMasterKeyName
	,cmk.key_store_provider_name AS column_master_key_store_provider_name
	,cmk.key_path
FROM sys.columns c
INNER JOIN sys.column_encryption_keys cek ON c.column_encryption_key_id = cek.column_encryption_key_id
INNER JOIN sys.tables t ON c.object_id = t.object_id
JOIN sys.column_encryption_key_values cev ON cek.column_encryption_key_id = cev.column_encryption_key_id
JOIN sys.column_master_keys cmk ON cev.column_master_key_id = cmk.column_master_key_id;

    结果如下:虽然看起来没什么价值,但是一旦开启某些功能,那么对这些功能的状态收集就很有必要。

TDE元数据:

     在元数据层面,TDE跟AE是很像的。TDE有sys.databasessys.certificatessys.database_encryption_keys目录视图来综合表现。在sys.databases视图中包含了一列is_encrypted列,这列Bit类型中0代表没有用TDE加密,而1则表示已加密,注意这里是指TDE加密而不是其他加密。如果库已经使用了TDE加密,则关联sys.certificates获取加密密钥。密钥的信息又从sys.database_encryption_keys中展示。

 关于TDE的元数据有挺多使用场景,比如:

     1. 列出已使用TDE的数据库: 
SELECT name 
FROM sys.databases 
WHERE is_encrypted = 1 ;

     2. 检查证书是否已经备份: 
SELECT 
     DB_NAME(dek.database_id) AS DatabaseName 
    ,c.name AS CertificateName 
FROM AdventureWorks2014.sys.dm_database_encryption_keys dek 
INNER JOIN master.sys.certificates c 
ON c.thumbprint = dek.encryptor_thumbprint 
WHERE c.pvt_key_last_backup_date IS NULL ;

    3. 还有一个非常实用的需求——加密实例上N个数据库,此时就可以使用元数据来实现。这个脚本首先创建使用一个服务器证书用于加密每个数据库的数据库加密密钥(database encryption key),然后使用sp_msforeachdb来遍历每个数据库。在循环内部检查是否为数据库,是否已经进行了TDE加密: 
USE  master 
GO 
CREATE CERTIFICATE TDECert WITH SUBJECT = 'My DEK Certificate'; 
GO 
EXEC sys.sp_MSforeachdb @command1 = 'USE ? 
IF (SELECT DB_ID()) > 4 
BEGIN 
    IF (SELECT is_encrypted FROM sys.databases WHERE database_id = DB_ID()) 
= 0 
        BEGIN 
        CREATE DATABASE ENCRYPTION KEY   
        WITH ALGORITHM = AES_128   
        ENCRYPTION BY SERVER CERTIFICATE TDECert 
        ALTER DATABASE ?   
        SET ENCRYPTION ON 
        END 
END' ;


总结:

     本文只介绍了一些脚本,还有一些相关视图,内容很少,但是作者希望读者能看出“方法”、“思路”,然后根据实际情况进行改造,举一反三地扩展。

    移除AE的方法可以查看 “SQL Server 安全篇——SQL Server加密(2)——加密数据”


發糞塗牆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
​浅谈云上攻防之——元数据服务带来的安全挑战
YDclub的博客
06-09 408
原创作者:腾讯云鼎实验室 ruiqiang 前言 在针对云上业务的的攻击事件中,很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。 以2019年的美国第一资本投资国际集团(CapitalOne)信息泄露事件举例,根据《ACase Study of the Capital One Data Breach》报告指出,攻击者利用CapitalOne部署在AWS云上实例中的SSRF漏洞向元数据服务发送请求并获取角色的临时凭证,在获取角色临时凭据后将该角色权限下...
AES-1:在java中使用256位密钥的AES ecryption
06-10
AES 高级加密标准使用 256 位密钥和 14 轮来加密和解密 Java 中的给定文本。
SQL Server安全(8/11):数据加密(Data Encryption)
weixin_34235457的博客
04-05 247
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 从让人眼花缭乱的客户端使用连接,通过到处分布的网络,尤其是互联网,关系数据库在各种应用程序里广泛使用。这使数据...
sqlserver备份单表 全英文
最新发布
zcxbd的博客
05-30 73
保存结构和数据
sqlserver 进行MD5加密
weixin_33700350的博客
09-18 1397
官方定义函数: HashBytes ( '<algorithm>', { @input | 'input' } ) <algorithm>::= MD2 | MD4 | MD5 | SHA | SHA1 参数解释: algorithm:标识用于对输入执行哈希操作的哈希算法。这是必选参数,无默认值。需要使用单引号。 @input : 数据类型为 varch...
SQL Server 安全篇——安全数据(1)——安全主体(Principal)元数据
MVP黄钊吉(發糞塗牆)
02-01 1464
本文属于SQL Server安全专题系列  虽然大量的安全数据(security metadata)可以从SSMS中查询(指鼠标操作),但是有些元数据仅能通过T-SQL来查看。完整的安全数据足以单独成书,这里仅介绍一些有用的或者可能会用到的内容。 安全主体元数据:  当在实例上实施安全策略时,很有可能就要收集很多安全实体或者安全对象的信息。比如一个策略是所有数据库必须属于
SQL Server 安全篇——安全数据(5)——元数据自身安全
MVP黄钊吉(發糞塗牆)
02-11 613
本文属于SQL Server安全专题系列    随着元数据的使用频率越来越高,安全性也越来越凸显,因为从元数据中可以得到很多不应该随意暴露的系统信息。所以,绝大部分的元数据并不能随意被查看,通常都需要授权。    比如当一个用户A被授权查询B表,那么这个用户A就自动获得了在sys.tables和sys.objects中关于B表的信息。否则他无法真正使用这个B表。    如果需要查看那些没有权限访问...
SQL Server 安全篇——安全数据(2)——安全对象(Securable)元数据
MVP黄钊吉(發糞塗牆)
02-02 1085
本文属于SQL Server安全专题系列  在某些日常工作中,安全配置文件可能会成为需要保护的对象。下面对这些可能进行简介, 并演示元数据如何帮助你验证或实施策略。 Code Signing:  代码签名,代码注入攻击明显是违反了安全策略,可以使用代码签名来防御这类工具,假设安全策略上要求所有程序集和存储过程必须使用代码签名来最小化安全威胁。  下面的代码返回在数据库中
SQL Server 安全篇——安全数据(3)——审核元数据
MVP黄钊吉(發糞塗牆)
02-05 902
本文属于SQL Server安全专题系列  审核除了应对用户行为之外,还能进行“审核审核”以避免别人对自己的怀疑。比如一个恶意的 DBA关闭了审核, 然后执行的是一个危险的行为, 则该操作本身将不会被审核, 但 由于DBA已经关闭了审计, 然后再次将其重新打开的时候,这个打开操作将被审核。  SQL Server提供了很多元数据对象来实现审核增强,其中一个最常用的就是sys.fn_ge
HDFS--图解元数据安全--SecondaryNameNode
qq_46893497的博客
11-30 272
1、数据安全 副本机制 每个块有多个副本,存储在不同的机器和机架中 某台机器宕机,其他机器上依旧可读这份数据 安全模式 会检查数据块是否完整,如果数据块丢失,会通过副本恢复 2、元数据安全 问题1:元数据怎么来的? 1.格式化时,会初始化生成一个元数据文件,NameNode那台机器的目录中:fsimage【磁盘中】 2.当NameNode启动时,会读取这个文件,将这个文件中的内容加载到内存中 3.当客户端提交读写请求时,NameNode会对内存中的元数据进行读写【内存中元数据会发生更改,最新】
column-encryption:使用SQL Always Encrypted库演示列(字段)级加密模式的示例应用程序
04-23
介绍 该项目描述了一种Azure本机拓扑,用于在整个组织的数据仓库中的各种情况下应用列级加密。 它包括用于评估目的的示例代码和文档。 该项目的基础是新发布的 (MDE),它提供一致且可移植的工具来应用加密技术来满足数据保护需求。 这些工具与SQL Server一部分的的现有实现完全兼容。 由于这些库是可移植的,因此标准化和兼容的加密方法可以扩展到不受支持的数据引擎(例如Azure SQL数据库)之外。 例如,具有通过SQL Always Encrypted加密的敏感列的记录可以作为事件作为变更数据捕获(CDC)提要的一部分进行流传输,然后由授权的微服务在其他地方进行解密和处理。 加密方案 该模型可用于支持三种主要方案:(1)从本地系统迁移到数据湖;(2)通过分布式处理系统进行数据准备和分析;以及(3)事件驱动的体系结构。 下图突出显示(黄色),其中上述代码库将作为Azure实施中的一部
johnnycanencrypt:用Rust编写的OpenPGP的Python模块
05-24
约翰尼可以加密 Johnnycanencrypt aka jce是用Rust编写的Python模块,用于执行基本的加密和解密操作。 它为实际的OpenPGP操作使用了惊人的库。 注意-在当前状态下,这是非常实验性的代码,请不要在生产中使用它。...
SQLite Expert Professional 3.1.9 + crack
09-25
SQLite Expert Professional 3.1.9 绿色破解版,解压后直接运行。曾安装过之前版本的,请删除注册表中SQLIte Expert的相关配置项后再运行。
NoteClipper-crx插件
04-05
- 键入浏览器的omnibox“nc [空格或标签] [某些文本]” 通过AES-256算法进行ECRYPTION,利用您在扩展名的POPUP中输入的秘密。如果按钮是绿色的,则会存储已存储的秘密,并被删除PC用户会话结束。 列表仅显示可以...
Android代码-SnooperStopper
08-07
Android device ecryption password manager and failed unlock attempts monitor SnooperStopper allows you to have different device encryption password than screen unlock pattern/PIN/password. You can ...
[译]OpenSSL Cookbook
weixin_30416497的博客
06-26 1299
  记录个人学习过程吧,顺便翻译一下。另外,本文并不会包括原连接中的所有内容,仅包括个人在工作中会经常遇到的。   参考:OpenSSL Cookbook 前言   由于协议特性和实现的复杂性,有时很难确定安全服务器的确切配置和特性。尽管存在许多用于此目的的工具,但通常很难确切知道它们是如何实现的,这有时会使完全信任它们的结果变得困难。尽管我花了很多年的时间测试安全服务器,并且能够使用好的工...
数据,小细节:元数据如何带来安全风险
挨踢小石头
08-26 730
  大数据,小细节:元数据如何带来安全风险   随着大数据的兴起,元数据突然变得有价值。如果一张图片胜过千言万语,则元数据表达的信息将无限多。现在它可能会带来安全风险。      元数据中有什么?   照片元数据中包含许多种信息。但是,其中一个主要信息是Exif文件中的GPS位置。每当人们使用手机拍照时,它都会将其位置数据嵌入到文件中。如果立即上传该照片,或者定期从私有场所(例如家中)上传...
数据安全:元数据管理分步指南
ksy_com的博客
06-15 484
组织中有效的元数据管理为数据提供正确的上下文和描述。此外,为了理解和信任数据,需要了解其背景——数据是如何产生的,以及是如何使用的。此外,需要知道基于这些数据做出的决策是什么,以及如何利用它来获得更好的竞争优势。为了在这个新的数字时代取得成功,组织需要创建细致的数据产品。数据产品不仅仅是报告或分析,而是一个全面的解决方案。在正确的时间和正确的设备上向正确的人提供分析、比较、富有洞察力的信息。如果没有完整的元数据管理解决方案,就很难创建这些数据产品。随着数据量的增长和大数据技术的爆炸式增长,CDO(首席数据
CryptDB代码分析4-加密数据读写
shaoyiwenet的专栏
03-19 782
之前介绍了CryptDB中元数据管理相关的类,以及这些类在MySQL中的存储格式。本文介绍这些元数据是什么时候创建的,在什么时候通过什么方式写入数据库,在什么时候被读取,以及元数据在什么地方被使用。 初始化与元数据读取 SchemaInfo 与 SchemaCache: 上一篇文章介绍了从DatabaseMeta往下的层次化结构,用来表示元数据。实际上,还有上面这两个结构也是元数据的...
sql server 加密_SQL Server 2016中的新功能–始终加密
culuo4781的博客
07-17 1706
sql server 加密 There are many new features in SQL Server 2016, but the one we will focus on in this post is: SQL Server 2016中有许多新功能,但本文中我们将重点介绍的功能是: Always encrypted 始终加密 A feature many c...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值