SQL Server TDEの代替

ビジネスのニーズに応じて、暗号化を使用するかなりの数の混合サーバーがあります。非常に重要なサーバーについては、パフォーマンスやトラブルシューティングに関してTDEだけでなく他の利点も提供するため、Enterpriseエディションへのアップグレードを決定しました。

はい、TDEは非常に効果的で非常に優れていますが、それにはコストがかかるため、中優先度および低優先度の企業がNetLibのようなサードパーティツールを使用することを決定しました。

私たちの使用法ごとに、その利点のいくつかを強調したいと思います。

• 2000から2014までのSQL Serverのすべてのバージョン、およびExpressからEnterpriseまでのSQL Serverのすべてのエディションに透過的データ暗号化および列暗号化を提供します。 SQL ServerのTDEは、SQL Server 2008以降のEnterpriseエディションでのみ使用できます。
• セットアップとメンテナンスが簡単。実行する必要があることを認識した後は、5〜6分かかることはほとんどありませんでした。
• データベースキーは、ネットワーク、リムーバブルメディアなどの代替場所を含め、SQL Serverの外部に格納されます。
• Encryptionizerの透過的データ暗号化は、適切なサイズのサーバーでのデータベースパフォーマンス（<1％）に実質的に影響を与えません。一部のベンチマークレポートでは、SQL Server TDEが5〜10％のパフォーマンスに大きな影響を与えることが示されています。
• FILESTREAMSのサポート（SQL Server 2008およびSQL Server 2014）。
• SQL Server圧縮バックアップ（圧縮あり）をサポートします。
• masterデータベースとtempdbデータベースを含むシステムデータベースを暗号化できます。

DbDefenceについてはあまり聞いたことがありませんが、はい、レプリケーション、ログ配布、ミラーリングをサポートしていると思います。詳細は here を参照してください。

上記の製品をお試しいただき、お客様の環境に最適なビジネスニーズに応じて決定していただければと思います。

私は最近、Enterprise Editionを購入せずに情報を検索してデータを暗号化する必要がありました。これが私が見つけたものです：

SQL Server 2016 SP1以降、Always Encrypted機能はSQL ServerのExpressエディションに含まれています。 TDE、DbDefence、NetLib Encryptionizerのようなデータベース全体の暗号化は提供されません。暗号化する列を定義する必要があります。しかし、自動的に行われるという利点があります。したがって、これは素晴らしい代替手段となります。

別の可能性は、EFSまたはBitLockerでファイルを直接暗号化することです。これら2つの機能はWindowsに含まれています。

EFSの場合、暗号化するファイルを定義する必要があり、ファイルを暗号化したユーザーのみがファイルを読み取り/コピーできます（したがって、SQL Serverサービスを実行するアカウントを使用する必要があります）。ただし、パフォーマンスの問題が発生する可能性があります。

BitLockerはデータベース全体を暗号化しますが、特定のハードウェア（サーバー内のTPMモジュール）が必要です。

まだDbDefenceとEncryptionizerをテストしていませんが、テストするときに答えを更新します。

あなたが指摘したように、TDEには、EncryptionizerとDBDefenceの2つの主要な代替手段があります。ただし、動作は大きく異なります。Encryptionizerは、SQL Serverとオペレーティングシステムの間にあります。 DBDefenceは、（現在は機能しなくなった）Detours SDKを使用して、実行中のSQLプロセスにコードを挿入します。どちらもSQL Serverのすべてのバージョンとエディションをサポートしています。 （免責事項：私は NetLib Security の出身です）。