企業一般可以采取多種預防措施來幫助保護資料庫,例如,設計安全系統、加密機密資産,以及圍繞資料庫伺服器建構防火牆。但是,如果實體媒體(如驅動器或備份錄音帶)失竊,惡意方可能會還原或附加資料庫并浏覽資料。一種解決方案是加密資料庫中的敏感資料,并通過證書保護用于加密資料的密鑰。這可以防止任何沒有密鑰的人使用這些資料,但這種保護必須事先計劃。
透明資料加密(TDE)針對資料和日志檔案執行實時 I/O 加密和解密。加密使用資料庫加密密鑰 (DEK),它存儲在資料庫引導記錄中,可在恢複時使用。 DEK 是使用存儲在伺服器的 master 資料庫中的證書保護的對稱密鑰,或者是由 EKM 子產品保護的非對稱密鑰。 TDE 保護“處于休眠狀态”的資料,即資料和日志檔案。 它提供了遵從許多法律、法規和各個行業建立的準則的能力。軟體開發人員籍此可以使用 AES 和 3DES 加密算法來加密資料,且無需更改現有的應用程式。
資料庫檔案加密在頁面級執行。已加密資料庫中的頁在寫入磁盤之前會進行加密,在讀入記憶體時會進行解密。TDE不會增加已加密資料庫的大小。
啟用 TDE 時,應該立即備份證書和與證書相關聯的私鑰。 如果證書變為不可用,或者如果必須在另一台伺服器上還原或附加資料庫,則必須同時具有證書和私鑰的備份,否則将無法打開該資料庫。 即使不再對資料庫啟用 TDE,也應該保留加密證書。 即使資料庫未加密,事務日志的某些部分仍可能保持受到保護,但在執行資料庫的完整備份前,對于某些操作可能需要證書。 超過過期日期的證書仍可以用于通過 TDE 加密和解密資料。
資料來源:
透明資料加密 (TDE)
https://docs.microsoft.com/zh-cn/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15資料加密 - TDE透明資料加密原理
https://www.cnblogs.com/tdcqma/p/6307511.html![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)