SQL Server 2016では、Always EncryptedとTransparent Data Encryptionの違いは何ですか？

これを書いている間、SQL Server 2016の公式リリースを待っているので、「常に暗号化された」機能の有用性を探ることができます。

Always EncryptedとSQL Server 2016で現在利用可能なTransparent Data Encryptionの具体的な違いを知りたいので、将来のプロジェクトのために正しい判断を下すことができます。

Always Encryptedと比較した透過的データ暗号化の欠点：

• 保管中のデータのみを保護-バックアップとデータファイルは「安全」ですが、移動中またはメモリ内のデータは脆弱です
• データベース全体のみ
• すべてのデータは同じ方法で暗号化されます

• バックアップの圧縮には時間がかかり、逆効果になる場合があります

  • 実際、SQL Server 2016には、暗号化されたデータを圧縮しようとすることについて通常知っていることを無視するいくつかの改善点があります-以前のバージョンよりもはるかに優れていますが、少数の列（未テスト）のみを暗号化するよりもさらに悪いでしょう
• tempdbは暗号化も継承します– TDEを無効にしてもそのままです
• エンタープライズ版が必要
• sysadminが常にアクセスできるデータ

常に暗号化は、これらの問題のすべてまたは一部に対処します。

• データは、保存中、移動中、およびメモリ内で保護されます-証明書、キー、およびデータを復号化できるユーザーを厳密に制御します
• 単一の列にすることができます
• 暗号化タイプは選択です：
  • 決定論的暗号化を使用して、インデックスとポイントルックアップ（たとえば、SSN）をサポートできます。
  • 高度な保護のためにランダムな暗号化を使用できます（クレジットカード番号など）
• データベース全体ではないため、バックアップの圧縮は必ずしも影響を受けません。もちろん、暗号化する列が多いほど、運が悪くなります。
• tempdbは関係ありません
• SQL Server 2016 Service Pack 1では、常に暗号化がすべてのエディションで機能するようになりました
• データはシステム管理者から保護できます（ただし、システム管理者とWindowsセキュリティ/証明書/キー管理者は保護されません。つまり、これら2つのグループが混同しない限り、責任を分離できます）。

ただし、制限があり、すべてのドライバーとアプリケーションが暗号化されたデータを直接処理できるわけではないため、場合によってはドライバーの更新/変更やコードの変更が必要になります。

簡単に言えば、TDEは保管時（ディスク上）に暗号化されたデータであり、AEはさらにワイヤ上で暗号化されたデータです。