|
對于包含敏感數(shù)據(jù)的庫,要實(shí)現(xiàn)備份加密��。即備份文件別人拿到也不能還原和查看其中的數(shù)據(jù)。想到TDE(Transparent Data Encryption)��。
TDE MSDN 說明:
“透明數(shù)據(jù)加密”(TDE) 可對數(shù)據(jù)和日志文件執(zhí)行實(shí)時 I/O 加密和解密�����。這種加密使用數(shù)據(jù)庫加密密鑰 (DEK)���,該密鑰存儲在數(shù)據(jù)庫引導(dǎo)記錄中以供恢復(fù)時使用。DEK 是使用存儲在服務(wù)器的 master 數(shù)據(jù)庫中的證書保護(hù)的對稱密鑰,或者是由 EKM 模塊保護(hù)的非對稱密鑰。TDE 保護(hù)“處于休眠狀態(tài)”的數(shù)據(jù)���,即數(shù)據(jù)和日志文件。它提供了遵從許多法律、法規(guī)和各個行業(yè)建立的準(zhǔn)則的能力��。軟件開發(fā)人員籍此可以使用 AES 和 3DES 加密算法來加密數(shù)據(jù)���,且無需更改現(xiàn)有的應(yīng)用程序。
其實(shí)吸引我的是“無需更改現(xiàn)有的應(yīng)用程序”�,因?yàn)槲倚枰用艿膸旆?wù)于一個非常穩(wěn)定的系統(tǒng)�����,而且這樣做所有事情DBA可控�。
TDE加密體系結(jié)構(gòu):
測試過程:
--創(chuàng)建主密鑰(Master Key)
USE master
GO
--DROP MASTER KEY
CREATE MASTER KEY ENCRYPTION BY PASSWORD=N'1qaz@WSX';
GO
--備份主密鑰
BACKUP MASTER KEY TO C:\master_key.cer'
ENCRYPTION BY PASSWORD=N'!QAZ2wsx'
GO
--創(chuàng)建基于主密鑰的證書�����。用于保護(hù)數(shù)據(jù)庫加密密鑰(Database Encryption Key)
--DROP CERTIFICATE SDB_Cert
CREATE CERTIFICATE SDB_Cert
WITH SUBJECT=N'Certificate for SecretDB'
go
--使用私鑰加密的方式備份主密鑰的證書
BACKUP CERTIFICATE SDB_Cert
TO C:\SDB_Cert.cer'
WITH PRIVATE KEY
(
FILE =N'C:\SDB_Cert.pvk',
ENCRYPTION BY PASSWORD='!QAZ2wsx'
)
GO
--創(chuàng)建測試庫SecretDB
USE master
GO
CREATE DATABASE SecretDB
GO
USE SecretDB
GO
CREATE TABLE SDB_TB
(ID INT,VAL NVARCHAR(20));
INSERT INTO SDB_TB
VALUES (1,N'A'),(2,N'B'),(3,N'C');
GO
USE SecretDB
go
--創(chuàng)建數(shù)據(jù)庫加密密鑰
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM=AES_128
ENCRYPTION BY SERVER CERTIFICATE SDB_Cert;
GO
--啟用數(shù)據(jù)庫加密
USE SecretDB
go
ALTER DATABASE SecretDB SET ENCRYPTION ON
go
--備份SecretDB,用于后續(xù)的異機(jī)還原測試
USE master
go
BACKUP DATABASE SecretDB TO D:\SecretDB.bak'
go
在完成這些后,SecretDB庫已經(jīng)加密��,并且得到其加密后的備份文件��,接下來需要在另臺還原這個備份��。
我把SecretDB.bak,SDB_Cert.cer,SDB_Cert.pvk拷到別一臺機(jī)�����。直接還原的話,會報(bào)錯。需要創(chuàng)建原來用于加密的證書來還原數(shù)據(jù)庫備份�����。我的目的達(dá)到了!
--在異機(jī)上恢復(fù)SecretDB的備份
USE master
GO
CREATE DATABASE SecretDB
GO
RESTORE DATABASE SecretDB
FROM D:\SecretDB.bak'
WITH REPLACE
GO
--消息 33111,級別 16,狀態(tài) 3�,第 1 行
--找不到指紋為 '0x0106000000000009010000009C529FFD5C7FD72FD0AAE9EDF46C5F69946FFED0' 的服務(wù)器 證書���。
--消息 3013,級別 16��,狀態(tài) 1���,第 1 行
--RESTORE DATABASE 正在異常終止�。
創(chuàng)建證書并還原����。
USE master
GO
CREATE CERTIFICATE SDB_Cert
FROM C:\SDB_Cert.cer'
WITH PRIVATE KEY
(
C:\SDB_Cert.pvk',
DECRYPTION BY PASSWORD=N'!QAZ2wsx'
)
GO
RESTORE DATABASE SecretDB
FROM D:\SecretDB.bak'
WITH REPLACE
GO
總結(jié):
其實(shí)在做TDE前應(yīng)該仔細(xì)閱讀BOL的說明:ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.zh-CHS/s10de_4deptrbl/html/c75d0d4b-4008-4e71-9a9d-cee2a566bd3b.htm
其中說到:
如果使用 TDE 對數(shù)據(jù)庫進(jìn)行加密����,備份壓縮將無法顯著壓縮備份存儲。
復(fù)制不會以加密形式從啟用了 TDE 的數(shù)據(jù)庫中自動復(fù)制數(shù)據(jù)。如果您想保護(hù)分發(fā)和訂閱服務(wù)器數(shù)據(jù)庫��,則必須單獨(dú)啟用 TDE�����。
某些限制和注意事項(xiàng),會影響TDE的部署和使用。
|
