我们是一家为客户托管应用程序和数据的小型企业。我们的一些客户要求我们通过“静态加密”保护他们的数据——尽管他们是否知道这意味着什么从来都不是很清楚。
数据当前位于运行 SQL Server Standard 的 Azure VM 上。
一种选择是我们使用 TDE,但这仅在 SQL Enterprise 中可用,并且额外的许可成本对我们来说是相当可观的。
另一种是在现有的 SQL 标准 VM 上免费使用 Azure 磁盘加密。
在向客户保证他们的数据是静态加密时,使用 TDE 和磁盘加密的结果是否有很大的实际差异。
我应该考虑哪些差异?
静态数据包括以任何数字格式驻留在物理媒体上的持久存储中的信息。媒体可以包括磁性或光学媒体上的文件、存档数据和数据备份。
TDE 和磁盘加密可以防范不同(尽管相似)的风险。通过磁盘或文件加密,有权访问文件的计算机用户可以将数据库(mdf、ndf、ldf)文件复制到另一台计算机,并对其进行解密。然后以管理员身份将文件附加到不同的 SQL Server 并阅读所有内容。也许这是由一个流氓备份操作员完成的。
启用 TDE 后,新 SQL Server 将无法读取将使用新 SQL Server 不知道的密钥加密的文件。
正如您提到的,TDE 是 SQL Server Enterprise Edition 唯一的功能,因此如果您负担不起企业许可证的费用,Azure 磁盘加密可能是您在 SQL Server VM 上的最佳选择
如果您可以考虑将您的客户数据库从 IaaS 迁移到 PaaS(Azure SQL 数据库 DTU 模型),那么您可以将 TDE 作为服务的一部分,并且您不必为 SQL Server 许可证付费,从而节省了数千美元的许可成本,您可以节省安全功能并节省用于备份的存储磁盘(PaaS 提供的 35 天免费备份)。