web-dev-qa-db-ja.com

TDE-大規模データベースでの暗号化

私はVLDBでのTDEの実装を調査している最中で、運用サーバーで暗号化を有効にした実世界の経験があるかどうか知りたいです。

どのような問題(ある場合)が予想されますか?私のテストでは、テスト環境への影響はほとんどありませんが、製品でのセットアップにかかる時間を心配しています。どんなフィードバックでもありがたいです。

暗号化処理中はバックアップとデータベースのメンテナンスを無効にする必要があることをどこかで読みました。これは本当ですか?

私のテストでは暗号化が完了するまでに4日ほどかかったため、これは非常に心配です。

sql-serversql-server-2008-r2encryptiontransparent-data-encryptionvldb
7
Brickpack

最近、SQL Server 2014を実行する本番環境にAlwaysONと共にTDEを実装しました。

このアプリケーションでは、CPU使用率のわずかな(1-3%)増加に気づきました。環境が異なるため、現実的なPRODデータサイズを使用して、徹底的な負荷テストを行ってください。

TDEの採用からのポイント:

  • バックアップ圧縮とTDE 連携しない つまり、TDEを有効にすると、バックアップ圧縮を活用できなくなります。これは、VLDBバックアップが巨大になることを意味します!
  • TDEを有効にすると、ファイルの即時初期化は not使用可能 になります。
  • データベースをPRODから他の環境(UATなど)に復元する場合、データベースを復元できるように証明書をエクスポートする必要があります。
  • TDEを有効にするために使用する安全なバックアップ証明書を適切に保持する必要があります。

  • VLDBでTDEを有効にするには時間がかかります。 このスクリプトを使用して、データベース、暗号化ステータス、およびその他の有用な情報を一覧表示できます。

    覚えておいてください:TDEは、(ディスク上の)保存データのみを暗号化します。機内のデータを保護するには、暗号化(例: force encryption )を使用する必要があります。

編集:

SQL Server 2016 TDE対応データベースでのバックアップ圧縮をサポート

tDE対応データベースのバックアップ中、圧縮は、BACKUPコマンドでMAXTRANSFERSIZEが指定されている場合にのみ開始されます。さらに、MAXTRANSFERSIZEの値は65536(64 KB)より大きい必要があります。

11
Kin Shah