SQL Server安全（9/11）：透明資料加密（Transparent Data Encryption）

在保密你的伺服器和資料，防備目前複雜的攻擊，SQL Server有你需要的一切。但在你能有效使用這些安全功能前，你需要了解你面對的威脅和一些基本的安全概念。這篇文章提供了基礎，是以你可以對SQL Server裡的安全功能充分利用，不用在面對特定威脅，不能保護你資料的功能上浪費時間。

從讓人眼花缭亂的用戶端使用連接配接，通過到處分布的網絡，尤其是網際網路，關系資料庫在各種應用程式裡廣泛使用。這使資料對任何人，在任何地方都可通路。資料庫可以儲存人類知識的很大部分，包括高度敏感的個人資訊和讓國際商務工作的關鍵資料。

對于想要偷取資料或通過篡改資料來傷害資料的擁有者的 人來說，這些功能使資料庫成為有吸引力的目标。確定你的資料安全是SQL Server配置和使用它來儲存資料的程式的重要部分。這個系列會探尋SQL Server 2012安全的基本，這樣的話你可以保護你的資料和伺服器資源，按你需要的安全等級來保護資料，免受這些威脅對你資料的影響。大部分資訊對SQL Server的早期版本也适用，回到SQL Server 2005也可以，因為那是微軟在産品裡徹底檢查安全的時候。但我也會談論隻在SQL Server 2012和後續版本裡才有的功能。

如果攻擊者能拿到包含資料庫的磁盤檔案的通路，即使做好防護的資料還是容易受到攻擊。單元格級别的加密可以保護部分資料，但應付這列攻擊的完整保護是必須加密檔案而不是資料。這就是透明資料加密（Transparent Data Encryption (TDE)）要做的，在這篇文章裡你會學到TDE做什麼，如何工作，還有如何使用它來保護你的資料庫檔案。

透明資料加密（Transparent Data Encryption (TDE)）

在SQL Server 2008，微軟引入了透明資料加密（Transparent Data Encryption (TDE)）。TDE可以在檔案層對資料和日志檔案進行實時加密和解密。不需要特定的程式設計，盡管有支援的T-SQL管理TDE，在這篇文章裡稍後你就會看到。這讓TDE很容易配置和維護，盡管當的複制和移動資料庫到不同位置和SQL Server執行個體時需要更多工作。

TDE在寫入資料庫就加密資料，然後在讀取的時候解密資料，一旦你在資料庫啟用TDE就會自動處理。TDE的目的是在資料庫和日志裡，保護休息時的資料庫，保持它的安全，遠離直接從檔案直接通路資料的攻擊者。有個特定的場景對此非常有用，當你需要通過一夜包裹投遞服務來運輸你的資料庫檔案，例如FedEx或UPS。沒有TDE，攻擊者可以從運輸卡車後面偷取你的包裹，附加資料庫到他有sysadmin權限的SQL Server執行個體，拿到資料通路。但如果在資料庫上啟用了TDE，整個資料被安全加密了；沒有密匙的話，就不能通路到資料。其它TDE也很有用的場景是擔心例如内部的攻擊者，可以用任何方式獲得實體檔案的通路，或者你需要保持歸檔資料庫副本的安全。

TDE如何工作

TDE需要證書來通路實體資料庫檔案。沒有證書來加密資料庫，資料隻是無法使用的，加密的一堆胡言亂語。這就是說不能在資料庫附近的任何地方放置證書的備份，這個非常重要——例如在用來運輸資料庫檔案的同個FedEx包裹裡！不然的話，攻擊者有他想要的一切東西。他需要做的隻是在他控制的SQL Server執行個體上安全證書，用它來附加資料庫，給她解密資料的完全通路。

TDE加密所有寫入資料庫的資料，了解這個非常重要。然後它解密需要的資料來響應查詢。是以隻有當資料在休息的時候，存儲在資料庫裡，它才受TDE保護。TDE在讀寫資料的時候會在8K的頁裡加密或解密資料。

如果SQL Server執行個體的任何資料庫，即使幾十個中的一個資料庫附加到執行個體，受TDE保護的，那麼SQL Server自動用TDE保護tempdb。即使受TDE保護的資料庫不使用tempdb。這樣做是有道理的，因為從受保護的一些資料會自動存儲在tempdb。資料會在休息——即使很短的時間——是以完整保護tempdb同樣需要使用TDE保護。這樣會帶來性能上的問題。所有的資料在tempdb裡加密儲存，在執行個體裡所有的其它未受TDE保護的資料庫，有任何資料存儲在tempdb的話也會被加密。是以這些資料庫的性能也會受到影響。

要配置TDE，你需要有建立資料庫主密匙，在mater資料裡建立一個證書，在使用者資料庫上有CONTROL許可來啟用TDE。大多數時間，sysadmin可以在資料庫上啟用TDE，是以需要的許可不是問題。

TDE的局限性

為了高效使用TDE，你應該了解TDE做什麼和它有什麼好和不好的地方。考慮下TDE的這些限制：

• 在資料庫裡你不能加密一部分資料；要麼全部加密，要麼都不加密。
• TDE不是通過資料庫引擎限制資料通路的方法。資料通路不受TDE改變。如果你有一個使用者運作的程式，使用者和應用程式有通路資料庫裡資料的許可。TDE不會修改資料通路方法。它隻是保護資料庫檔案。
• TDE不是保護你伺服器、資料庫執行個體或資料庫裡各個敏感資料的替代品，你還是要認真考慮，在各層使用安全措施保護你的資料庫。TDE隻是設計用來保護特定攻擊（在資料或日志檔案裡休息時的資料）的一層保護。
• TDE一個最大的缺點之一是FILESTREAM資料不會加密。這個資料位元組流存儲在SQL Server之外，但受SQL Server管理和監控。
• TDE僅在SQL Server的企業版和開發版可用。很遺憾，這讓不使用這2個版本的使用者不能受TDE的保護。

如你所見，這些限制沒有TDE作什麼用的限制多，這表示它不能作為安全的靈丹妙藥那麼有用。但是如果對你資料的威脅對應于它提供的保護，TDE會是重要的安全功能。

TDE性能

但你看TDE時，有一個你要考慮的問題是性能。考慮到需要的處理周期，加密是個昂貴的操作。TDE表現還是相當不錯的，因為TDE不在SQL 緩存裡加密資料。隻有當它寫入磁盤時才加密資料。是以如果它不在緩存的話，每次你通路資料的時候也不需要加密，這提高了全局的效率。在資料庫裡，微軟花了大量的時間讓加密盡可能的高效。但當資料被讀寫時，還是會帶來一定的性能問題，因為加密要用到複雜的算法。

使用TDE

現在我們通過執行個體來示範下你如何使用TDE，還有它在資料庫上的作用。下列代碼顯示了備份AdventureWorks2012資料庫，然後還原了一個新的資料庫AdventureWorks2012Copy。你可以按照自己的實際情況修改檔案路徑，例如檔案備份路徑，C:\Data檔案夾用來備份證書。

1 -- *** Beginning of setup code ***
 2 -- *******************************
 3 
 4 -- Make a copy of AdventureWorks2012 database
 5 -- Change the path to the appropriate backup directory
 6 BACKUP DATABASE AdventureWorks2012
 7     TO DISK = N'D:\SQLBackups\AdventureWorks2012.bak'
 8     WITH NOFORMAT, INIT, NAME = N'AdventureWorks2012 Full Database Backup',
 9     SKIP, NOREWIND, NOUNLOAD, STATS = 10;
10 GO
11 
12 RESTORE DATABASE AdventureWorks2012Copy
13     FROM DISK = N'D:\SQLBackups\AdventureWorks2012.bak'
14     WITH 
15         FILE = 1, NOUNLOAD, REPLACE, STATS = 10,
16         MOVE 'AdventureWorks2012_Data' TO N'D:\SQLData\AdventureWorks2012Copy.mdf',
17         MOVE 'AdventureWorks2012_Log' TO N'D:\SQLData\AdventureWorks2012Copy.ldf';
18 GO
19 
20 -- *** End of setup code ***
21 -- *************************      

一旦你進行了下列配置步驟，代碼進行了4個步驟為資料庫啟用TDE：

1. 在master資料庫裡建立主密匙。
2. 建立/使用受主密匙保護的證書。
3. 建立受證書保護的資料庫加密密匙。
4. 為資料庫啟用TDE。

代碼9.1展示了在master資料庫裡建立證書需要的代碼，在資料庫裡它用來保護資料庫加密密匙。它建立資料庫主密匙，使用強密碼保護它，然後建立AdventureWorks2012TDECert證書。作為預防，代碼然後備份證書到D:\Data目錄。你應該在穩妥可靠的地方存儲它，在你移動受TDE保護的資料庫的時候就可以用到它。

1 USE master;
 2 GO
 3 
 4 -- TDE hooks into encryption key hierarchy in SQL Server
 5 CREATE MASTER KEY ENCRYPTION BY PASSWORD = '!drJP9QXC&Vi%cs';
 6 GO
 7 
 8 -- Create the certificate used to protect the database encryption key
 9 CREATE CERTIFICATE AdventureWorks2012TDECert WITH SUBJECT = 'Certificate to implement TDE on AdventureWorks2012Copy';
10 GO
11 
12 -- Backup the certificate
13 -- Either create the C:\Data folder or change it in the code below
14 BACKUP CERTIFICATE AdventureWorks2012TDECert TO FILE = 'D:\Data\AdventureWorks2012TDECert'
15     WITH PRIVATE KEY ( FILE = 'D:\Data\AdventureWorks2012TDECertPrivateKey' , 
16     ENCRYPTION BY PASSWORD = 'RISiS9Ul%CByEk6' );
17 GO      

代碼9.1：建立并備份用來保護TDE資料庫的證書

在進一步使用TDE之前，運作代碼9.2，這個列出的代碼在SQL Server的目前執行個體裡加密資料庫，連同它們的加密狀态，如果有的話。在新的，剛安裝的SQL Server，這應該傳回一個空的結果。接下來，在實施TDE後，你會看到狀态如何改變。

1 SELECT DB_NAME(database_id) AS DatabaseName,
 2     key_algorithm AS [Algorithm],
 3     key_length AS KeyLength,
 4     CASE encryption_state
 5         WHEN 0 THEN 'No database encryption key present, no encryption'
 6         WHEN 1 THEN 'Unencrypted'
 7         WHEN 2 THEN 'Encryption in progress'
 8         WHEN 3 THEN 'Encrypted'
 9         WHEN 4 THEN 'Key change in progress'
10         WHEN 5 THEN 'Decryption in progress'
11     END AS EncryptionStateDesc,
12     percent_complete AS PercentComplete
13 FROM sys.dm_database_encryption_keys;
14 GO      

代碼9.2 在SQL Server執行個體裡列出加密資料庫的狀态

現在是時候對AdventureWorks2012Copy資料庫啟用TDE。執行代碼9.3，它開始使用你剛才在master資料庫裡建立的證書建立資料庫加密密匙。你會收到一條警告資訊：如果你還沒備份證書的話，請備份；請留意這個建議！然後代碼使用SET ENCRYPTION ON子句的ALTER DATABASE語句為資料庫啟用TDE。取決于與資料庫的大小和伺服器的速度，完全加密資料庫需要一些時間，可能幾個小時或幾天。

1 USE AdventureWorks2012Copy;
 2 GO
 3 
 4 -- Create the database encryption key for TDE. Analogous to database master key for data encryption.
 5 CREATE DATABASE ENCRYPTION KEY 
 6     WITH ALGORITHM = TRIPLE_DES_3KEY
 7     ENCRYPTION BY SERVER CERTIFICATE AdventureWorks2012TDECert;
 8 GO
 9 -- Get a warning about backing up the key, if you haven't already
10 -- ...take the advice and back it up!
11 
12 -- Now need to turn TDE on. 
13 ALTER DATABASE AdventureWorks2012Copy SET ENCRYPTION ON;      

代碼9.3：建立資料庫加密密匙并啟用TDE

當在加密資料庫的時候，可以反複執行代碼9.2來跟蹤下進度。你會看到如插圖9.1的結果，我在截屏的時候，已經100%完成了。注意插圖顯示了2個資料庫：現在在執行個體裡至少有一個資料庫使用TDE，tempdb也會自動加密。一旦初始化加密完成，所有的資料庫PercentComplete列會顯示為0（是的，這個數字有點誤導，因為當它完成的時候不是100%這樣的顯示）。

插圖9.1：使用sys.dm_database_encryption_keys來監控資料庫加密進度的結果

注意在圖中AdventureWorks2012Copy資料庫使用了Triple DES加密算法。那是我們在代碼9.1裡指定的算法，你可以用SQL Server支援的任何加密算法選項。還有tempdb預設也使用256位AES加密算法。

通過執行對資料庫的查詢測試加密，如代碼9.4所示。在打開TDE之前，隻要你有必要的許可通路資料庫，你就能通路資料。這對任何應用程式的資料通路也是如此。

1 SELECT TOP 500 * FROM Production.Product;      

代碼9.4：在啟用TDE後測試資料庫通路的樣本代碼。

如果你想為資料庫關閉TDE，你可以使用代碼9.5：

1 ALTER DATABASE AdventureWorks2012Copy
2     SET ENCRYPTION OFF;
3 GO      

代碼9.5：為資料庫停用TDE

測試TDE

測試下安全功能確定它如你預計的正常工作總是明智的。樣本代碼包含測試TDE的一些步驟，包括你不小心删除用來為TDE保護資料庫加密密匙的證書。代碼9.5備份AdventureWorks2012Copy資料庫，删除AdventureWorks2012TDECert證書，模拟丢失證書。（這也模拟了當你附加加密資料庫到不同的SQL Server執行個體，它上面并沒有安裝原始的證書。）

1 BACKUP DATABASE AdventureWorks2012Copy
 2     TO DISK = N'D:\SQLBackups\AdventureWorks2012Copy.bak'
 3     WITH NOFORMAT, INIT, NAME = N'AdventureWorks2012Copy Full Database Backup',
 4     SKIP, NOREWIND, NOUNLOAD, STATS = 10;
 5 GO
 6 
 7 USE master
 8 GO
 9 DROP DATABASE AdventureWorks2012Copy;
10 GO
11 
12 -- Oops! We lost the certificate and don't have a copy!
13 -- Or, going to restore the database to another server instance
14 DROP CERTIFICATE AdventureWorks2012TDECert; 
15 GO      

代碼9.6：備份資料庫，删除資料庫，扔掉了證書

接下來，嘗試使用代碼9.7還原資料庫，你會收到如插圖9.2的錯誤資訊。這是TDE在起作用的保護：如果資料庫執行個體沒有安裝原始加密證書，是不可能還原或附加資料庫的。

1 RESTORE DATABASE AdventureWorks2012Copy
2     FROM DISK = N'D:\SQLBackups\AdventureWorks2012Copy.bak'
3     WITH 
4         FILE = 1, NOUNLOAD, REPLACE, STATS = 10;      

代碼9.7：嘗試還原受TDE保護的資料庫

插圖9.2：嘗試在沒有安裝保護證書的資料庫上還原資料庫

但如果你備份了證書，并沒有丢失全部！使用代碼9.8從備份檔案裡還原證書，使用檔案裡剛才用來保護證書的密碼，然後嘗試還原資料庫。這次完全可用的資料庫——還是用TDE保護——已經成功還原。

1 -- Recover from the problem
 2 -- Restore the certificate
 3 CREATE CERTIFICATE AdventureWorks2012TDECert
 4     FROM FILE = 'D:\DATA\AdventureWorks2012TDECert'
 5     WITH PRIVATE KEY ( FILE = 'D:\DATA\AdventureWorks2012TDECertPrivateKey', 
 6     DECRYPTION BY PASSWORD = 'RISiS9Ul%CByEk6');
 7     
 8 -- Now try to restore the database
 9 RESTORE DATABASE AdventureWorks2012Copy
10     FROM DISK = N'D:\SQLBackups\AdventureWorks2012Copy.bak'
11     WITH 
12         FILE = 1, NOUNLOAD, REPLACE, STATS = 10;      

代碼9.8：從備份檔案還原删除的證書，然後再次嘗試還原資料庫

TDE與列級别資料加密比較

通過在這篇和上一篇文章，你應該能很好的了解SQL Server提供的兩種主要加密方式，還有什麼時候使用它們。總結下與在列級别資料庫加密的主要不同：

• 加密更加顆粒化。你可以在單個資料庫裡單個列加密。
• 加密的資料隻有使用的時候才會解密。如果資料不使用，基本就不會被解密。
• 你需要修改表架構來适應加密的位元組流資料，修改應用程式來包含加密和解密代碼。
• 你不能簡單的搜尋和排序加密資料，索引毫無用處。有一些變通方法，但它們沒有效率并暴露資料特征，攻擊者可以用來得到解決困難的方法。

通常，你會想為小量資料使用列級别資料加密來保護大多數敏感資訊，在伺服器上節約處理周期。

這引出了一個問題：在SQL Server 2008和後續版本應該使用哪個加密方式？關鍵是要了解你要保護面對的威脅，但實施任何安全功能時，這個是關鍵。

如果威脅是竊取、資料庫和日志檔案的濫用，使用透明資料加密（Transparent Data Encryption）。TDE會阻止附加資料庫到另一個SQL Server執行個體和獲得資料通路。

如果威脅是在你伺服器上的入侵資料，列級别加密沒準是更好的選擇。當黑客在資料庫伺服器上拿到通路後，正确實施的列級别資料加密可以阻止資料通路。

如果你兩者之間不能選擇，你可能需要同時面對兩種威脅。幸運的是，2個可以結合使用，各個會阻止它特定的威脅。

小結

透明資料加密（Transparent Data Encryption）進行資料和日志檔案的實時加密和解密。這個會在資料庫和日志裡加密所有資料，阻止攻擊着從另一個SQL Server執行個體附加資料庫，獲得資料通路。如果你需要防範的威脅是資料檔案的濫用，TDE可以提供強的資料保護，不需要架構和程式改變。使用得當的話，它可以為整體深度防禦，提供強大的安全層。

原文連結

http://www.sqlservercentral.com/articles/Stairway+Series/125948/

注：此文章為

WoodyTu

學習MS SQL技術，收集整理相關文檔撰寫，歡迎轉載，請在文章頁面明顯位置給出此文連結！

若您覺得這篇文章還不錯請點選下右下角的推薦，有了您的支援才能激發作者更大的寫作熱情，非常感謝！