タグ付けされた質問 「transparent-data-encryption」

これを書いている間、SQL Server 2016の公式リリースを待っているので、「常に暗号化された」機能の有用性を探ることができます。 Always EncryptedとSQL Server 2016で現在利用可能なTransparent Data Encryptionの具体的な違いを知りたいので、将来のプロジェクトのために正しい判断を下すことができます。

40 sql-server  sql-server-2016  transparent-data-encryption  always-encrypted 

インスタンス上の各データベースを暗号化するために使用されている証明書。 以下を使用してデータを取得できますが、クエリをどのように作成しますか USE master GO -- this provides the list of certificates SELECT * FROM sys.certificates -- this provides the list of databases (encryption_state = 3) is encrypted SELECT * FROM sys.dm_database_encryption_keys WHERE encryption_state = 3; sys.certifcates.thumbprint列とsys.dm_database_encryption_keys.encryptor_thumbprint列に同じデータが含まれていることに気付きました。

15 sql-server  security  encryption  transparent-data-encryption 

トランスペアレントデータ暗号化に関するドキュメントとホワイトペーパーを読んでいます。一部のドキュメントでは、サービスマスターキーのバックアップについても言及されています（説明のため、データベースマスターキーについては説明していません）。サービスマスターキーを使用せずに、サーバーA（バックアップ）からサーバーB（復元）にTDE暗号化を使用してデータベースをバックアップ/復元できたため、なぜこれが必要なのか正確に理解していません。 どのようなシナリオでサービスマスターキーを復元する必要がありますか？

14 sql-server  encryption  transparent-data-encryption 

SQL Server 2017（CU3）では、TDEデータベースの1つでバックアップ圧縮を有効にすると、バックアッププロセスによってデータベースの特定のページが常に破損します。圧縮せずにバックアップを実行しても、破損しません。この問題を確認して再現するために行った手順は次のとおりです。 データベース「TDE_DB1」でDBCC CheckDBを実行します。すべてが良好で、エラーはありません。 圧縮せずにデータベースを正常にバックアップします。RESTORE VERIFYONLYはすべてが良いと言っています。 データベースを「TDE_DB2」として正常に復元します。すべて良好で、DBCC CheckDBはエラーを表示しません。 「TDE_DB1」データベースを圧縮して正常にバックアップします。「バックアップセットへの損傷が検出されました」と言うVERIFYONLYエラーを復元します。 データベースを「TDE_DB2」として復元しようとします。「データベースでページ（1：92454）でエラーが検出されました」というエラー 手順1〜3を繰り返します。すべてが良いです; DROP "TDE_DB1"および "TDE_DB2"; バックアップから「TDE_DB1」を復元します。すべてが良いです; 手順1〜5を繰り返します。同じ結果が得られます。 要約すると、データベースと通常のバックアップは正常に見え、データベースでCHECKDBを実行し、バックアップでVERIFYONLYを実行してもエラーは報告されません。圧縮を使用してデータベースをバックアップすると、破損が発生するようです。 以下にエラーのあるコードサンプルを示します。（注：TDEデータベースで圧縮を使用するには、MAXTRANSFERSIZEが必要です） -- Good, completes with no corruption; BACKUP DATABASE [TDE_DB1] TO DISK = N'E:\MSSQL\Backup\TDE_DB1a.bak' WITH CHECKSUM; RESTORE VERIFYONLY FROM DISK = N'E:\MSSQL\Backup\TDE_DB1a.bak' WITH CHECKSUM; RESTORE DATABASE [TDE_DB2] FROM DISK = 'E:\MSSQL\Backup\TDE_DB1a.bak' WITH …

13 sql-server  corruption  transparent-data-encryption  sql-server-2017 

更新：@AmitBanerjee -Microsoft SQL Server製品グループのシニアプログラムマネージャーは、MSが問題であることを調査することを確認しました。 TDEを有効にし、MAXTRANSFERSIZE> 65536 を使用してSQL Server 2016で作成したバックアップを復元するときに問題が発生しましたか（私の場合、TDEデータベースを圧縮できるように65537を選択しました）CHECKSUM。 以下は再現です： --- create database create database test_restore go -- create table create table test_kin (fname char(10)) go -- Enable TDE use master GO CREATE CERTIFICATE test_restore WITH SUBJECT = 'test_restore_cert' GO SELECT name, pvt_key_encryption_type_desc, * FROM sys.certificates WHERE name = 'test_restore' …

10 sql-server  restore  sql-server-2016  transparent-data-encryption 

私はTDE暗号化をよりよく理解するために開発環境で働いています。別のサーバーでのバックアップおよびリストアと一緒に機能しています。いくつか質問がありましたが、対応する秘密鍵で証明書をバックアップする必要があることを知っています。 USE master; GO BACKUP CERTIFICATE Test TO FILE = 'C:\Test.cer' WITH PRIVATE KEY (FILE = 'C:\Test.pvk', ENCRYPTION BY PASSWORD = 'Example12#') これらは、障害が発生した場合に新しいサーバーに移動/復元する必要があります。別のサーバーに復元する必要がある場合に必要となる、ソースサーバーからバックアップする必要があるものは他にありますか？ また、秘密鍵のストレージに関する提案はありますか？現時点での私の考えは、証明書、秘密鍵、およびパスワードを、個別にバックアップされ、オフサイトで複製されるKeePassデータベースにバックアップすることです。 それでも、KeePass秘密鍵をどこにバックアップするかという疑問は残りますか？

10 sql-server  encryption  transparent-data-encryption 

（幸いなことに、私たちは現在このような状況にありません。それが発生した場合の選択肢がどうなるかを事前に計画しているだけです。） 透過的日付暗号化（TDE）で暗号化されたデータベースの場合、暗号化に使用した証明書のバックアップがない限り、データベースバックアップのコピーは回復できません。 それがない場合はどうなりますか？追加のオプションはありますか？ 完全なサーバー障害が発生した場合、MASTERデータベースのバックアップを新しいハードウェアに復元すると、証明書も復元されますか？

10 sql-server  encryption  transparent-data-encryption  disaster-recovery 

彼らは「愚かな質問」などはないと言っているので、ここに行く： SQL Serverの透過的データ暗号化（TDE）が保存データを暗号化し、誰かがストレージに侵入してそれらのファイルを盗んだ場合にデータベースファイル（.mdf）とバックアップファイル（.bak）が暗号化されることを理解しています。また、ディスクから読み取ったときにデータが復号化され、メモリ内で（暗号化されて）暗号化されないことも理解しています。したがって、リモートクエリ（select * from SensitiveData）を実行しているユーザーによって要求されたデータは、ネットワーク上を移動するときに暗号化されないため、傍受されやすくなります。 したがって、上記のすべてが正しいと仮定すると、ここで私の愚かな質問があります：SQL ServerインスタンスがコンピューターAにあり、TDEデータベースのバックアップがリモートコンピューターBのストレージに書き出されている場合、バックアップ操作データは転送元として暗号化されますか？コンピューターAはコンピューターBのディスクに書き込まれますか？（暗号化操作は最初にコンピューターAで行われると想定しているため）必要があると思いますが、Microsoftのドキュメントやブログでこれの確認を見つけることができません。同様に、復元操作中に–コンピュータBのディスクから転送されているデータを傍受して、コンピュータAのデータベースを復元する人はいますか–暗号化されたデータが暗号化されているのを見つけましたか？

9 sql-server  encryption  network  transparent-data-encryption 

透過的データ暗号化機能を含むSQL Server Enterprise Editionのコストが高いため、代替製品を探していますが、いくつかのオプションしか見つかりませんでした。 DbDefence NetLib暗号化 上記の製品のいずれかでの経験の詳細（パフォーマンスへの影響、使いやすさなど）を誰かが提供できますか？ SQL Server TDEの他の選択肢はありますか？ 注：現在SQL Server 2008 R2 Standard Editionを使用しています。

8 sql-server  sql-server-2008-r2  encryption  transparent-data-encryption