【TechTarget中国原创】加密是关键
好消息:几年前,你购买了另外一些补充的数据库加密产品,停止为这些产品的维护支付费用,回到原来遵守PCI规定的产品,会让你倍感轻松——如果你在一个微软数据库的工作室的话。不幸的是,所有这些新的技术和管理性能仅适用于微软的数据库(没有MySQL和Oracle的综合管理性能)。SQL Server 2008为全文数据库、矩阵和以职能为基础的加密提供本地支持。密钥管理也已经完全更新。
SQL Server 2008提供了不同形式的加密技术,这是密钥管理的一个内部系统。过去,加密密钥管理基本上是由外部的第三方产品处理的,这是因为SQL Server缺少适用的用户管理。
外部密钥管理(KEM)可以保护来自存储在任何现有网络服务中一切数据,以及访问数据库本身的数据。此外,KEM使得外部和第三方产品能够结合在一起,并且在SQL服务器中注册设备。这些设备可以使纯软件产品,也可以是“硬件设备”,比如以硬件为基础的SSL加速器。在SQL服务器中注册过的设备允许应用程序和用户访问,并允许使用其加密密钥(如下面的截图所示)。
外部密钥管理(KEM)
SQL Server 2008改善了加密、保护数据和网络服务、以及与第三方密钥管理产品的合作,可扩展的密钥管理(EKM)是所有这些性能的核心。
通常情况下,联邦政府和大型的电子商务组织使用这些服务,比如那些来自nCipher和SafeNet的服务,这些服务使用先进的密码术特性,对密码替换时间表和密码年限方面的策略进行设置。当这些产品自动操作旋转密码时,即使在很小的几率下,某个特定的密码受到威胁,旋转密码也可以确保数据受到保护。SQL Server 2008也完全支持硬件安全模块(HSM)。
最近的产品也引进了透明数据加密技术(TDE)(见下面的截图)。首先,插件程序是唯一的真正加密选择。SQL Server 2005为加密矩阵引进了一些本地支持,而且2008版也已经显著的提高了这一性能。
透明数据加密技术(TDE)
透明数据加密(TDE)技术可以对整个数据可进行加密,同时也能对日志进行加密。
透明数据加密技术(TDE)是一种完全的、可控制的数据库加密技术。透明数据加密技术(TDE)可以加密整个数据库,以及所有相互影响的数据和日志数据。对管理员而言,TDE是的一个轻松的选择,可以确保数据受到保护,而不会影响数据库的结构。使用先前的版本时,应用程序开发者频繁地创建了自定义的编码来对数据进行加密和解密。然而,有了透明数据加密技术(TDE),当把数据写到磁盘,或者从磁盘读出的时候,这些功能可以自动起作用。这就消除了开发者多余的工作,并且加强了所有数据的安全性。
透明数据加密技术(TDE)的灵活性和保持优点可谓来之不易。在使用率较高的系统中,CPU性能对服务器和数据库的影响程度可以达到两位数的百分点。
筹备数据库很简单。改变数据库的指令必须由数据库管理员来运行,具体内容与下面的指令类似:
alter database is_mag_db
set encryption on
go |
SQL Server 2008拥有即开即用的功能,可以进行对称加密、不对称加密、以及以证书为基础的加密,满足任何包含在微软密码库中的标准。