我们是一家小型企业,为客户托管应用程序和数据。 我们的一些客户要求我们通过“静态加密”来保护他们的数据-尽管目前尚不清楚他们是否真正知道这意味着什么。
数据当前位于运行SQL Server Standard的Azure VM上。
一个选择是让我们使用TDE,但这仅在SQL Enterprise中可用,并且额外的许可费用对我们来说将是相当大的。
另一种方法是免费在现有的SQL Standard VM上使用Azure磁盘加密。
在向客户保证其数据在静态时被加密时,使用TDE和磁盘加密之间在结果上是否有实际的区别。
我应该考虑哪些差异?
答案 0 :(得分:3)
静止数据包括以任何数字格式驻留在物理介质上的持久性存储中的信息。介质可以包括磁性或光学介质上的文件,已归档的数据以及数据备份。
TDE和磁盘加密可防范不同(尽管相似)的风险。通过磁盘或文件加密,有权访问文件的计算机用户可以将数据库(mdf,ndf,ldf)文件复制到另一台计算机上,并对其进行解密。然后以管理员身份将文件附加到其他SQL Server并阅读所有内容。也许这是由流氓备份操作员完成的。
启用TDE后,新的SQL Server将无法读取使用新SQL Server不知道的密钥加密的文件。
正如您提到的,TDE是仅SQL Server Enterprise Edition的功能,因此,如果您负担不起企业许可证的费用,则Azure磁盘加密可能是SQL Server VM上的最佳选择
如果您可以考虑将客户数据库从IaaS迁移到PaaS(Azure SQL数据库DTU模型),则可以将TDE作为服务的一部分,而不必支付SQL Server许可证的费用,从而节省了数千美元。许可费用,您可以节省安全性并节省用于备份的存储磁盘(PaaS提供35天的免费备份)。