我要求阻止运营团队中的DBA查看单元级加密数据。
SQL Server中是否可以执行此操作:
一个。将加密密钥管理功能委派给一个人(安全PM)并撤销对他的所有数据访问。 湾删除加密密钥管理&系统管理员访问功能。
通过这样做,除非两者勾结,否则他们无法看到数据。
答案 0 :(得分:0)
如果您使用的是2008R2或更高版本的企业版,那么您需要的是可扩展密钥管理系统。 EKM的确切功能就是您描述的功能。 EKM的硬件安全模块将包含密钥和算法,并将执行加密和解密功能。 SQL Server将只包含加密数据。 EKM的管理可以委派给您的安全PM。 EKM应该对应用程序透明。
SQL Server 2016还具有名为Always Encrypted的功能。这会将加密密钥放在客户端驱动程序中,并将其与服务器分开。