use*_*eve 2 sql-server tde azure-sql-database
我们是一家为客户托管应用程序和数据的小型企业。我们的一些客户要求我们通过“静态加密”来保护他们的数据 - 尽管他们永远不清楚这是否真正意味着什么。
数据当前位于运行 SQL Server Standard 的 Azure VM 上。
我们的一种选择是使用 TDE,但这仅在 SQL Enterprise 中可用,并且额外的许可成本对我们来说将是相当大的。
另一种是在现有 SQL 标准 VM 上免费使用 Azure 磁盘加密。
在向客户保证其数据静态加密方面,使用 TDE 和磁盘加密之间的结果是否存在很大的实际差异?
我应该考虑哪些差异?
静态数据包括以任何数字格式驻留在物理介质上持久存储中的信息。介质可以包括磁性或光学介质上的文件、存档数据和数据备份。
TDE 和磁盘加密正在防范不同(尽管相似)的风险。通过磁盘或文件加密,有权访问文件的计算机用户可以将数据库(mdf、ndf、ldf)文件复制到另一台计算机,然后解密它们。然后以管理员身份将文件附加到不同的 SQL Server 并读取所有内容。也许这是由流氓备份操作员完成的。
启用 TDE 后,新 SQL Server 将无法读取使用新 SQL Server 不知道的密钥加密的文件。
正如您提到的,TDE 是 SQL Server Enterprise Edition 独有的功能,因此如果您无力支付企业许可证的费用,Azure 磁盘加密可能是 SQL Server VM 上的最佳选择
如果您可以考虑将客户数据库从 IaaS 迁移到 PaaS(Azure SQL 数据库 DTU 模型),那么您可以将 TDE 作为服务的一部分,并且无需支付 SQL Server 许可证费用,从而节省数千美元的许可成本,您可以节省安全功能和用于备份的存储磁盘的费用(您可以享受 PaaS 提供的 35 天免费备份)。