MSSQL数据库加密与TDE加密后的数据库如何加入到可用性组(AVAILABILITY GROUP)

最新推荐文章于 2024-04-18 21:50:07 发布
最新推荐文章于 2024-04-18 21:50:07 发布
阅读量820 收藏
点赞数
分类专栏: 学习记录 文章标签: sqlserver sqlserver集群 可用性组 sqlserver加密 TDE加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn277/article/details/108527493
版权

历史简介

SQL Server2005,引入了列级加密。使得加密可以对特定列执行,这个过程涉及4对加密和解密的内置函数。

SQL Server 2008时代,则引入的了透明数据加密(TDE),所谓的透明数据加密,就是加密在数据库中进行,但从程序的角度来看就好像没有加密一样,和列级加密不同的是,TDE加密的级别是整个数据库。使用TDE加密的数据库文件或备份在另一个没有证书的实例上是不能附加或恢复的。

单节点TDE加密

贴一张官方文档的图

TDE加密数据库加入可用性组

前提:

1、主节点证书和密钥的备份

2、备节点证书和密钥的恢复

后续:

  1. 创建主数据库的日志备份。

  2. 创建主数据库的完整数据库备份。

  3. 在承载辅助副本的服务器实例上,还原数据库备份。

  4. 从主数据库创建新的日志备份。

  5. 在辅助数据库上还原此日志备份。

正文

如果数据库进行了加密或者数据库甚至包含数据库加密密钥 (DEK),则您无法使用 新建可用性组向导 或 将数据库添加到可用性组向导 将该数据库添加到某一可用性组。 即使已对加密的数据库进行了解密,其日志备份也可能包含加密的数据。 在此情况下,在该数据库上完整的初始数据同步可能会失败。 其原因在于,还原日志操作可能要求数据库加密密钥 (DEK) 使用的证书,但该证书可能不可用。

1、主节点创建主密钥

要在test数据库上配置TDE,我们应该首先在master数据库中创建一个主密钥。每个SQL Server实例只能创建一个主密钥。托管在同一SQL实例中并启用了TDE的所有用户数据库将共享对同一主键的依赖关系。下面的CREATE MASTER KEY T-SQL语句用于在master数据库下创建主密钥,并且此主密钥将通过复杂的密码进行加密。最好将该密码备份保存在安全的地方:

USE master

GO

CREATE MASTER KEY ENCRYPTION

BY PASSWORD='Q123456.q@';

GO

2、主节点创建加密证书

成功创建主密钥后,下一步是创建将用于加密数据库加密密钥的证书。证书将受到先前创建的主密钥的保护。可以使用下面的CREATE CERTIFICATE T-SQL语句创建证书:

CREATE CERTIFICATE ZHOUJJ

WITH SUBJECT='Zhoujj';

GO

若要确保成功创建证书,可以查询sys.certificate系统对象以获取在当前SQL Server实例下创建的所有证书,如下所示:

SELECT name, certificate_id, principal_id, pvt_key_encryption_type_desc, start_date, expiry_date

FROM sys.certificates;

 

3、主节点加密数据库

证书现已准备就绪,因此我们将在数据库端开始工作。我们将使用CREATE DATABASE ENCRYPTION KEY T-SQL命令创建test数据库加密密钥,该密钥由先前创建的ZHOUJJ证书加密,并指定加密算法,256位高级加密标准(AES)密钥长度,如下:

USE test

GO

CREATE DATABASE ENCRYPTION KEY

WITH ALGORITHM = AES_256

ENCRYPTION BY SERVER CERTIFICATE ZHOUJJ;

GO

配置TDE的最后一步是使用以下ALTER DATABASE…SET ENCRYPTION ON T-SQL命令在test数据库上打开TDE加密:

ALTER DATABASE test

SET ENCRYPTION ON;

GO

这就对了!透明数据加密已在test数据库上完全配置。该sys.dm_database_encryption_keys DMV可以用来列出所有数据库上的数据库启用TDE:

SELECT

DB_NAME(database_id) AS DatabaseName

,Encryption_State AS EncryptionState

,key_algorithm AS Algorithm

,key_length AS KeyLength

FROM sys.dm_database_encryption_keys

GO

结果显示test数据库上启用了TDE,并且数据库加密状态的值3表示数据库已完全加密。

4、主节点备份证书

作为最佳实践,最好在数据库上启用TDE之后备份TDE证书和与该证书关联的私钥。这样,您将能够还原数据库备份文件或将数据库数据文件附加到另一个SQL Server实例上。可以通过运行以下BACKUP CERTIFICATE T-SQL命令执行备份,该命令将备份证书本身及其私钥,并提供一个复杂的密码来加密该私钥,如下所示:

USE master

GO

BACKUP CERTIFICATE ZHOUJJ

TO FILE = 'C:\test\ZHOUJJ'

WITH PRIVATE KEY (file='C:\test\ZHOUJJ_Pirvate',

ENCRYPTION BY PASSWORD='QWER@123.')

如果不提供以下路径,则可以通过浏览脚本中提供的路径或默认情况下SQL实例DATA路径来查看生成的备份文件:

此时,test数据库已加密,该数据库充当可用性组中的主要副本。

5、加密后的数据库加入到可用性组

加密后的数据库不能通过向导加入到可用性组,需要通过手动的方式加入。

5.1、备节点创建主密钥

为此,我们首先应该使用以下CREATE MASTER KEY T-SQL命令在通过复杂密码加密的辅助服务器上创建一个主密钥:

USE master

GO

CREATE MASTER KEY ENCRYPTION

BY PASSWORD = 'Q123456.q@'

您可以选择对先前的主密钥使用相同的密码,也可以使用新的密码,因为主密钥用于加密证书而不是数据库本身以保护证书。在所有情况下,由于密钥生成过程的执行方式不同,密钥本身将有所不同。

5.2、备节点还原证书

下一步是将先前从DB41VS主副本生成的证书和私钥备份文件复制到DB42VS辅助服务器。您可以将其保留在辅助服务器上的默认数据文件夹中,或保留在应在CREATE CERTIFICATE T-SQL语句中提供该浴的自定义文件夹中。证书的私钥应使用创建备份时用于对其加密的相同密码解密:

文件地址file,是你复制到备节点的文件地址,这里是c:\test\ZHOUJJ

CREATE CERTIFICATE ZHOUJJ

FROM FILE='c:\test\ZHOUJJ'

WITH PRIVATE KEY (

FILE = 'c:\test\ZHOUJJ_Private',

DECRYPTION BY PASSWORD='QWER@123.')

5.3、主节点数据库备份

现在,加密TDE_Test数据库的证书在辅助副本中可用。我们将从主副本中的TDE_Test数据库创建完整备份和事务日志备份,并将其复制到辅助副本中:

BACKUP DATABASE [test]

TO  DISK = N'F:\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\test.bak' WITH NOFORMAT, NOINIT,  

NAME = N'Test-Full Database Backup', SKIP, NOREWIND, NOUNLOAD,  STATS = 10

GO

 

BACKUP LOG [test] TO  DISK = N'F:\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\test.trn' WITH NOFORMAT, NOINIT,  

NAME = N'Test-Full Database Backup', SKIP, NOREWIND, NOUNLOAD,  STATS = 10

GO

5.4、主节点数据库添加到可用性组

在主副本上,我们将使用ALTER AVAILABILITY GROUP…ADD DATABASE T-SQL命令将数据库添加到可用性组,如下所示:

USE master

GO

ALTER AVAILABILITY GROUP AG40VS ADD DATABASE [test]

 

5.5、备节点还原数据库备份

将备份文件复制到辅助服务器后,我们将使用WITH NORECOVERY选项在该服务器上还原完整备份和事务日志备份:

USE [master]

RESTORE DATABASE [test] FROM  DISK = N'F:\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\test.bak'

WITH  FILE = 1,  NORECOVERY,  NOUNLOAD,  STATS = 5

GO

 

RESTORE LOG [test] FROM  DISK = N'F:\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Backup\test.trn' WITH  FILE = 1,  

NORECOVERY,  NOUNLOAD,  STATS = 10

GO

这次还原过程将成功完成,因为在辅助服务器上创建了用于加密数据库加密密钥的相同证书。该数据库现在在辅助副本上可用,并且正在还原状态下等待。

5.6、备节点加数据库加入可用性组

在辅助副本端,我们需要使用下面的ALTER AVAILABILITY GROUP T-SQL命令将数据库加入可用性

USE master

GO

ALTER DATABASE test SET HADR AVAILABILITY GROUP = AG1;

csdn277
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server 安全篇——SQL Server加密(3)——透明数据加密TDE
MVP黄钊吉(發糞塗牆)
02-27 3628
本文属于SQL Server安全专题系列    前面讲到的很多内容都是对数据加密和权限控制,这些要在SQL Server内部,但是还有一种情况就是文件的安全性,除了在操作系统层面对文件进行访问控制之外,还要确保服务器被攻击之后文件被窃取的情况。为了避免文件被窃取后通过特权方式获得数据,有必要对文件也进行数据安全加密,在SQL Server中提供了一种叫透明数据加密(Transparent Dat...
细说SQL Server中的加密
weixin_33893473的博客
04-01 1055
简介     加密是指通过使用密钥密码对数据进行模糊处理的过程。在SQL Server中,加密并不能替代其他的安全设置,比如防止未被授权的人访问数据库或是数据库实例所在的Windows系统,甚至是数据库所在的机房,而是作为当数据库被破解或是备份被窃取后的最后一道防线。通过加密,使得未被授权的人在没有密钥密码的情况下所窃取的数据变得毫无意义。这种做法不仅仅是为了你的数据安全,有时甚至是法律所要...
Oracle-TDE数据加密功能
最新发布
sinat_36757755的博客
04-18 1226
Oracle-TDE数据加密功能
SQL Server 2012 Always on Availability Groups安装Step by step 1
java开发指南博客 【转载】
08-20 164
SQLServer 2012 Always on是针对高可用性和灾难恢复的新解决方案。可以配置一个或多个辅助副本以支持对辅助数据库进行只读访问,并且可以将任何辅助副本配置为允许对辅助数据库进行备份。 这样就提供了硬件的使用效率。 “可用性”针对一离散的用户数据库(称为“可用性数据库”,它们共同实现故障转移)支持故障转移环境。一个可用性支持一数据库以及一至四对应的辅助数据库可用性...
SQLServerTDE加密
01-17 562
TDE要作用是防止数据库备份或数据文件被偷了以后,偷数据库备份或文件的人在没有数据加密密钥的情况下是无法恢复或附加数据库的。 首先创建SQL Server中master系统数据库的MASTER KEY和CERTIFICATE: USE [master]; GO --查看master数据库是否被加密 SELECT name,is_master_key_enc...
sql 2005数据库加密 示例
happydreamer的专栏
10-11 1780
转贴自teched讲师:  牛可  基本概念:第一层 服务密钥 备份服务密钥backup service master key to file=c:/smk.bakencryption by password=P@ssw0rd restore service master key from file=c:/smk.bakdecryption by p
20171499许沁瑶计算机系统安全课程设计_sql数据库加密与授权_sql数据库_
10-04
TDE是在数据库层进行的,整个数据库文件或特定文件加密,即使在数据库备份或脱机状态下,数据仍保持加密状态。而行级加密则允许对表中的特定行或列进行加密,这样只有当用户具有正确的密钥时才能访问这些数据。...
【数据安全】Oracle 透明数据加密(TDE) 完整操作手册
03-17
- 数据加密时,Oracle数据库首先从密钥库中获取密钥,然后解密加密密钥,再使用加密密钥加密用户数据,最后将加密后的数据存储到数据库中。 3. **实施示例**: - TDE适用于各种操作系统环境,如描述中提到的...
透明数据加密(TDE)库的备份和还原
12-15
TDE MSDN 说明: “透明数据加密”(TDE) 可对数据和日志文件执行实时 I/O 加密和解密。这种加密使用数据库加密密钥 (DEK),该密钥存储在数据库引导记录中以供恢复时使用。DEK 是使用存储在服务器的 master 数据库中...
数据库加密可行性研究分析报告(专业报告).doc
06-05
数据库加密可行性研究分析报告】 本报告要探讨数据库加密的可行性,特别是在当今信息化社会中,随着数据信息安全性的重要性和挑战的增加,数据库加密已经成为保障信息安全的关键技术之一。报告分为几个部分,...
加密数据库中数据(带视频)
03-14
数据库层面进行加密,即使数据库被非法侵入,黑客也无法直接解读加密后的数据,从而降低了数据泄露的风险。此外,满足合规性要求,如GDPR(欧洲通用数据保护条例)等法规,也要求对敏感数据进行适当的保护。 加密...
SQL Server2012数据库TDE加密
勿念勿扰,相安静好
04-23 1199
SQL Server数据库TDE加密 1.1 案例环境介绍 完成本节数据TDE加密的演示,需要准备两台虚拟机环境,一台模拟生产数据库,一台模拟迁移还原的数据库环境。 1.1.1 案例环境配置 完成本章案例数据备份部分的学习,需要准备3个节点的环境。具体环境配置要求,见表6-3。 表6-3 本案例环境配置 序号 角色 IP地...
SQL Server 透明数据加密 TDE(单实例)
Hehuyi_In的博客
01-16 2475
一、用途 透明数据加密TDE)用于对SQL Server,Azure SQL数据库和Azure SQL数据仓库数据文件进行加密,称为静态加密数据。您可以采取一些预防措施来保护数据库,例如设计安全系统,加密机密资产以及构建防火墙。但是,在物理介质(例如备份磁带)被盗的情况下,恶意方可以通过恢复或附加数据库查看数据。一种解决方案是加密数据库中的敏感数据并保护用于使用证书加密数据的密钥,这可以防止...
SQLSERVER SQL TDE数据库加密操作
marc2719的博客
09-09 2125
SQLSERVER SQL TDE数据库加密操作 一、创建master数据库下的数据库密钥 在Transact-SQL下执行 USE master CREATE MASTER KEY ENCRYPTION BY PASSWORD = N'master数据密钥密码'; 二、创建证书用来保护数据库加密密钥 在Transact-SQL下执行 USE master CREATE CERTIFICATE master_server_cert WITH SUBJECT = N'证书的名称'; 三、创建数据库
SQL Server 2012 Availabilty Group学习笔记
ByronGeek的学习屋
01-03 1336
关于AlwaysOn相关的搭建操作,参考: http://blogs.msdn.com/b/sqlserverfaq/archive/2010/12/17/sql-server-denali-alwayson-hadr-step-by-setup-setup-guide.aspx MSDN相关介绍文档: http://msdn.microsoft.com/en-us/library/
SQL Server2016 数据库透明加密TDE、解密、加密备份数据还原
weixin_40344051的博客
10-20 732
sql server数据库TED透明加密,解密,创建生成证书密钥,还原
[AlwaysOn] 创建SQL Server高可用性T-SQL语法:AVAILABILITY GROUP ON子句
08-21 270
AVAILABILITY GROUP ON 指定构成分布式可用性的两个可用性。Specifies two availability groups that constitute a distributed ...
透明加密tde_如何在SQL Server中监视和管理透明数据加密TDE
culuo4781的博客
07-20 665
透明加密tde Transparent Data Encryption (TDE) was originally introduced in SQL Server 2008 (Enterprise Edition) with a goal to protect SQL Server data at rest. In other words, the physical data and log...
Sqlserver关于TDE透明数据加密使用总结
lusklusklusk的博客
05-05 1556
官方文档 https://docs.microsoft.com/zh-cn/sql/relational-databases/security/encryption/encryption-hierarchy?view=sql-server-ver15, https://docs.microsoft.com/zh-cn/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15 h

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值