نکته امنیتی در SQL Server

می دانیم اگر کسی دسترسی فیزیکی به فایل Mdf و ldf پایگاه داده داشته باشد، می تواند آن ها را در سیستم دیگری Attach کند و یا اگر به بکاپی از پایگاه داده دسترسی داشته باشد، می تواند آن را در سیستم خودش بازیابی کرده و به اطلاعات سازمان پی ببرد.

مایکروسافت راه حلی به نام TDE ارائه کرده است که به موجب آن، فایل های مربوط به یک پایگاه داده (بکاپ ها، mdf ها و ldf ها) تنها و تنها در سیستم های مجازی که شما مایل باشید، بازیابی خواهند شد و دیگر در صورت دستیابی غیرمجاز به فایل ها امکان بازیابی آن ها وجود نخواهد داشت.

1. تکنیک TDE یا Transparent Data Encryption تمامی داده های متعلق به پایگاه داده را در دیسک را رمزنگاری می کند.
2. داده ها به هنگام خوانش از دیسک توسط SQL Server رمزگشایی می شوند و به هنگام نوشتن بر روی دیسک به طور خودکار رمز گذاری می شوند.
3. در صورت راه اندازی TDE مطلقا هیچ تغییری در برنامه ها داده نمی شود و این عملیات از چشم برنامه ها پنهان می باشد.
4. در صورت استفاده از TDE داده های موجود در حافظه و یا منتقل شده در شبکه رمز شده نیستند و برای رمزگذاری آن ها تکنیک های دیگری لازم است.
5. سربار TDE معادل با 3 الی 5 درصد پردازش بیشتر می باشد.
6. در صورت داشتن TDE، دیگر قابلیت فشرده سازی بکاپ ها کارساز نخواهند بود و چندان فشرده نمی شوند.

در مورد راه اندازی TDE و پشتیبان گیری و بازیابی کلید ها :

http://sqlmag.com/database-security/using-transparent-data-encryption

کمی تفضیل بیشتر :

https://www.simple-talk.com/sql/database-administration/transparent-data-encryption/


خیلی از موارد کاربرد TDE صرفا به منظور رمزنگاری بکاپ ها می باشد. اما همانطور که عنوان شد TDE سرباری را در حین استفاده های معمول وارد می کند و قابلیت فشرده سازی بک آپ ها را به نوعی بی اثر می کند.

در SQL Server 2014 قابلیتی اضافه شده است که تنها می توانیم بکاپ ها را رمز نگاری کنیم و دیگر سرباری به سیستم وارد نشود. البته در این صورت، دستیابی به فایل های Mdf و ldf همچنان می تواند خطر آفرین باشد.

https://blogs.msdn.microsoft.com/mvpawardprogram/2014/06/02/sql-server-2014-backup-encryption/