web-dev-qa-db-ja.com

SQL Server TDEの代替

透過的データ暗号化機能を含むSQL Server Enterprise Editionはコストが高いため、代替製品を探していますが、いくつかのオプションしか見つかりませんでした。

上記の製品のどちらかでの経験の詳細(パフォーマンスへの影響、使いやすさなど)を誰かが提供できますか?

SQL Server TDEの他の代替手段はありますか?

注:現在SQL Server 2008 R2 Standard Editionを使用しています。

8
Matt F

ビジネスのニーズに応じて、暗号化を使用するかなりの数の混合サーバーがあります。非常に重要なサーバーについては、パフォーマンスやトラブルシューティングに関してTDEだけでなく他の利点も提供するため、Enterpriseエディションへのアップグレードを決定しました。

はい、TDEは非常に効果的で非常に優れていますが、それにはコストがかかるため、中優先度および低優先度の企業がNetLibのようなサードパーティツールを使用することを決定しました。

私たちの使用法ごとに、その利点のいくつかを強調したいと思います。

  • 2000から2014までのSQL Serverのすべてのバージョン、およびExpressからEnterpriseまでのSQL Serverのすべてのエディションに透過的データ暗号化および列暗号化を提供します。 SQL ServerのTDEは、SQL Server 2008以降のEnterpriseエディションでのみ使用できます。
  • セットアップとメンテナンスが簡単。実行する必要があることを認識した後は、5〜6分かかることはほとんどありませんでした。
  • データベースキーは、ネットワーク、リムーバブルメディアなどの代替場所を含め、SQL Serverの外部に格納されます。
  • Encryptionizerの透過的データ暗号化は、適切なサイズのサーバーでのデータベースパフォーマンス(<1%)に実質的に影響を与えません。一部のベンチマークレポートでは、SQL Server TDEが5〜10%のパフォーマンスに大きな影響を与えることが示されています。
  • FILESTREAMSのサポート(SQL Server 2008およびSQL Server 2014)。
  • SQL Server圧縮バックアップ(圧縮あり)をサポートします。
  • masterデータベースとtempdbデータベースを含むシステムデータベースを暗号化できます。

DbDefenceについてはあまり聞いたことがありませんが、はい、レプリケーション、ログ配布、ミラーリングをサポートしていると思います。詳細は here を参照してください。

上記の製品をお試しいただき、お客様の環境に最適なビジネスニーズに応じて決定していただければと思います。

8
KASQLDBA

私は最近、Enterprise Editionを購入せずに情報を検索してデータを暗号化する必要がありました。これが私が見つけたものです:

SQL Server 2016 SP1以降、Always Encrypted機能はSQL ServerのExpressエディションに含まれています。 TDE、DbDefence、NetLib Encryptionizerのようなデータベース全体の暗号化は提供されません。暗号化する列を定義する必要があります。しかし、自動的に行われるという利点があります。したがって、これは素晴らしい代替手段となります。

別の可能性は、EFSまたはBitLockerでファイルを直接暗号化することです。これら2つの機能はWindowsに含まれています。

EFSの場合、暗号化するファイルを定義する必要があり、ファイルを暗号化したユーザーのみがファイルを読み取り/コピーできます(したがって、SQL Serverサービスを実行するアカウントを使用する必要があります)。ただし、パフォーマンスの問題が発生する可能性があります。

BitLockerはデータベース全体を暗号化しますが、特定のハードウェア(サーバー内のTPMモジュール)が必要です。

まだDbDefenceとEncryptionizerをテストしていませんが、テストするときに答えを更新します。

3
Loïc Lopes

あなたが指摘したように、TDEには、EncryptionizerとDBDefenceの2つの主要な代替手段があります。ただし、動作は大きく異なります。Encryptionizerは、SQL Serverとオペレーティングシステムの間にあります。 DBDefenceは、(現在は機能しなくなった)Detours SDKを使用して、実行中のSQLプロセスにコードを挿入します。どちらもSQL Serverのすべてのバージョンとエディションをサポートしています。 (免責事項:私は NetLib Security の出身です)。

1
Neil Weicher