Com a introdução da Criptografia de Dados Transparentes (TDE) no SQL Server 2008, os usuários têm a escolha entre nível de célula criptografada como no SQL Server 2005, e a criptografia em nível de banco completo usando TDE, ou as opções de nível de arquivo de criptografia fornecidos pelo Windows.
A TDE é a escolha ideal para a criptografia em massa para atender ao padrões de conformidade regulamentar ou corporativa de segurança de dados.
A TDE trabalha no nível do arquivo, semelhante a características:Windows® Encrypting File System (EFS),
BitLocker Drive Encryption™, e a
Criptografia de nível de volume introduzida no Windows Vista®.
Sendo que ambos criptografam os dados no driver do disco rígido. A TDE não substitui a criptografia no nível de célula, EFS, ou o BitLocker.
Neste post compararemos o TDE com esses outros métodos de criptografia para o conhecimento dos desenvolvedores de aplicativos e os administradores de banco de dados.
Enquanto isso não é uma técnica, análise em profundidade de TDE, implementações técnicas são exploradas e uma familiaridade com conceitos tais como arquivos de log virtuais e área de buffer são assumidos.
Estou assumindo que o leitor deste artigo esteja familiarizado com criptografia a nível de células e criptografia em geral. Este post cobre a implementação da criptografia de dados, mas não a razão para a encriptação de um banco de dados.
Você pode tomar várias precauções para ajudar a proteger o banco de dados como, por exemplo, projetando um sistema seguro, criptografando ativos confidenciais e criando um firewall em torno dos servidores de banco de dados. No entanto, em um cenário onde a mídia física (como unidades ou fitas de backup) é roubada, um terceiro mal-intencionado pode restaurar ou anexar o banco de dados e navegar pelos dados. Uma solução é criptografar dados confidenciais no banco de dados e proteger as chaves usadas para criptografar os dados com um certificado. Isso impede que alguém sem as chaves use os dados, mas esse tipo de proteção deve ser planejado antecipadamente.A criptografia transparente de dados (TDE) executa criptografia de I/O em tempo real e a descriptografia de dados e arquivos de log. A criptografia usa uma DEK (chave de criptografia do banco de dados), que é armazenada no registro de inicialização do banco de dados para disponibilidade durante a recuperação. A DEK é uma chave simétrica protegida por um certificado armazenado no banco de dados mestre do servidor ou uma chave assimétrica protegida por um módulo EKM. A TDE protege os dados "em repouso", ou seja, os dados e arquivos de log. Fornece a capacidade de se adequar a muitas leis, regulamentos e diretrizes estabelecidos em vários setores. Isso permite que os desenvolvedores de software criptografem dados usando algoritmos de criptografia AES e 3DES, sem alterar os aplicativos existentes.
Introdução: A criptografia no nível de banco
Criptografia de dados transparente (TDE) é um novo recurso de criptografia introduzido no Microsoft ® SQL Server ™ 2008. Ele é projetado para fornecer proteção para o banco de dados inteiro em repouso, sem afetar as aplicações existentes.Implementação de criptografia em um banco de dados tradicionalmente envolve mudanças em aplicações complexas como a modificação de esquemas de tabela, funcionalidade remoção e degradação de desempenho significativos.Por exemplo, para usar a criptografia no Microsoft SQL Server 2005:O tipo de dados da coluna deve ser alterado para varbinary;Várias pesquisas e igualdades não são permitidas; e aAplicação deve chamar built-ins (ou procedimentos armazenados ou exibições que utilizam automaticamente estes embutido ins) para lidar com a criptografia e a descriptografia,Todos os desempenhos de consultas tornam-se mais lentos.Mas calma, estas questões não são exclusivas do SQL Server, outros sistemas de gerenciamento de banco de dados (SGBDs) enfrentam limitações semelhantes.Esquemas personalizados são muitas vezes utilizados para resolver pesquisas de igualdade e várias pesquisas muitas vezes não podem ser usadas por todos.Mesmo os elementos básicos do banco de dados, tais como a criação de um índice ou o uso de chaves estrangeiras muitas vezes não funcionam com nível de célula ou esquemas de criptografia em nível de coluna porque o uso desses recursos de informação inerentemente vazam.A TDE resolve esses problemas simplesmente criptografando tudo. Assim, todos os tipos de dados, chaves, índices, e assim por diante podem ser utilizados em todo o seu potencial, sem sacrificar a segurança ou vazamento de informação no disco.Os níveis de criptografia em célula não podem oferecer tais benefícios. Duas características do Windows® , Encrypting File System (EFS) e BitLocker Drive Encryption™, são frequentemente utilizados para as mesmas razões que o TDE eles fornecem proteção em uma escala similar e são transparentes para o usuário .
Tags: Raul Garcia, Sameer Tejani, Chas Jeffries, Douglas MacIver, Byron Hynes, Ruslan Ovechkin, Laurentiu Cristofor, Rick Byham, Sethu Kalavakur, SQL Server, SQL, Encryption,