透明数据加密时延估计 — — SQL Server 2008

介绍

保护每个部分和数据在数据库中的现在是 DBA 的一项重要任务是要完成其他数据的可能黑客攻击。 牢记 Microsoft 已从 SQL 2005 年展开加密功能，大大提高了它在 SQL Server 2008 中的功能。 让我们记得以前版本的 SQL Server 中的加密功能。

 

2000年 — — 此版本的 SQL Server 不伴加密设备的任何影响。 因此，开发人员需要在他们对其数据进行加密的客户端应用程序中编写自己的代码。

SQL Server 2005-Microsoft 推出了新的加密功能，可以对列级别 （作为单元格级调用几次) 数据进行加密。 此方法提供了数据的数据库级别的加密，但应用程序需要重新架构陪此功能。

SQL Server 2008 — — 确定，在 SQL Server 2005 我们有数据的加密。 如果数据库文件本身，会发生什么情况复制 / 被盗，使数据的可方便地读取松动机密数据。 若要防止此微软推出了 SQL Server 2008 企业版中的一种新的加密功能，这是时延"透明数据加密 （估计）"。

时延估计中可用，下面版

• SQL Server 2008 企业版
• SQL Server 2008 开发版

时延估计 （透明数据加密） 的特点

• 时延估计执行实时 IO 加密以物理文件的数据库 （例如数据科技日志文件），因此您不会将无法附加 / 还原数据库没有原始加密证书和主密钥。
• 加密是在数据库级别因此您可以选择重要的数据库进行加密，这样，极少使用的资源
• 本身的名称所暗示的这是透明加密，这意味着无需 re-code / 再体系结构以适应，这种加密技术的应用程序。
• 它的简单实现
• 最小的资源使用情况比作 SQL 2005 （列级别） 中可用的加密功能

• 如果数据库正在使用数据库镜像或日志传送中，这两个数据库将被加密。 当它们之间发送日志事务将被加密

时延估计 （透明数据加密） 的局限性

• 时延估计不跨的沟通渠道提供加密。
• tempdb 数据库将被加密，如果该数据库的任何使用的时延估计，这使其操作使用 tempdb 的其他数据库的开销。
• 即使启用了时延估计，FILESTREAM 数据未进行加密。
• 只读文件组不是加密的即使启用了时延估计
• 复制不会从加密形式的时延估计启用数据库自动复制数据。 如果您想要保护分布与订阅服务器数据库，您必须单独启用时延估计。
• 时延估计不提供内存或过境一级的保护
• 时延估计加密数据库不能使用在其他版本 （服务器将上试图附加或还原错误） 中

透明数据加密 （时延估计) 的工作原理

当时延估计已启用 （或禁用） 时，标记数据库作为加密在 sys.databases 目录视图和在 DEK 状态设置为正在进行加密。 在服务器启动后台线程 （称为加密扫描），扫描所有数据库文件，并对它们进行加密。 完成加密扫描 DEK 状态设置为加密状态。 此时在磁盘上的所有数据库文件进行都加密，将都加密数据库和日志文件写入到磁盘。

数据库文件的加密是在页级别执行的。 加密数据库中的页进行加密之前，它们写入磁盘，然后解密时读入内存。 时延估计不会增加加密数据库的大小。

数据写入到磁盘时出现的情况

 

 

正如我已经说不时延估计会对数据的加密，存在在缓冲池中。 因此发送数据的第一次加密，然后再加密数据的数据的何时写入从缓冲池 LDF 科技 NDF 中密度纤维板） 的磁盘到磁盘。 数据库页面文件写入磁盘的标头原因是所需的页后，可以重新加载此信息进行加密与其余的数据。 标头包含状态的详细信息，例如，数据库兼容级别、 数据库版本、 镜像状态，等等。 在插入到页眉之前，任何重要的数据 （例如，在 DEK) 进行加密。

从磁盘中读取数据时出现的情况

 

从磁盘中读取的数据时, 首先进行解密的数据，然后将发送到缓冲池。 因为时延估计不支持加密缓冲区中因此从磁盘数据的读首先需要发送到缓冲池和解密。

快照和备份会发生什么情况

时延估计启用到一个数据库，则可用于加密时的备份，也为其快照。 I/O 级加密还允许快照和备份，以进行加密，因此所有快照和创建数据库的备份将都加密的时延估计。 用来保护该 DEK 写入文件时的证书必须恢复或重新加载这些文件的服务器上。 因此，你必须保持所有证书使用，不只是最新的证书的备份。

报价从 Microsoft： 时启用时延估计，您应立即备份证书和与证书关联的私钥。 如果证书以往任何时候都变得不可用，或如果您必须还原或附加另一台服务器上的数据库，必须有证书和私钥的备份或您不能打开的数据库。 加密证书或非对称应保留即使时延估计不会再在数据库上启用。 即使未加密数据库，数据库加密密钥可能保留在数据库中，并可能需要访问对于某些操作。

索引对加密数据的工作方式

时延估计对性能的影响是次要的。 因为在数据库级别的加密数据库可以利用索引和查询优化的键。 这允许的范围和平等的完全扫描。 整体性能影响估计约为 3-5%（每 Microsoft 文档），并且可以是如果大部分访问的数据存储在内存中的要低得多。 加密是 CPU 密集，在 I/O 执行的。 具有低 I/O 和低的 CPU 负载的服务器将必须性能影响最小。

支持的加密算法使用 128 位、 192 位和 256 位密钥或 3 关键三重 DES 时延估计的 AES。

结论

有许多的加密方法可用于数据库。 这种加密方法主要是将重点保护具有一些限制在它的数据库的物理文件。 因此，如果您希望确保您的数据库文件，您可以选择此加密方法。