TDE 与磁盘加密的建议

Question

我们是一家为客户托管应用程序和数据的小型企业。 我们的一些客户要求我们通过“静态加密”来保护他们的数据——尽管他们是否知道这真正意味着什么并不是很清楚。

数据当前位于运行 SQL Server Standard 的 Azure VM 上。

我们有一个选择是使用 TDE，但这仅在 SQL Enterprise 中可用，额外的许可成本对我们来说是一笔不小的数目。

另一种是在现有的 SQL Standard VM 上免费使用 Azure Disk Encryption。

在向客户保证他们的数据是静态加密时，使用 TDE 和磁盘加密的结果是否有很大的实际差异。

我应该考虑哪些差异？

Answer 1

静态数据包括以任何数字格式驻留在物理媒体上的持久存储中的信息。媒体可以包括磁性或光学媒体上的文件、存档数据和数据备份。

TDE 和磁盘加密可以防范不同（尽管相似）的风险。通过磁盘或文件加密，有权访问文件的计算机用户可以将数据库（mdf、ndf、ldf）文件复制到另一台计算机，并对其进行解密。然后以管理员身份将文件附加到不同的 SQL Server 并阅读所有内容。这可能是由一个流氓备份操作员完成的。

启用 TDE 后，新 SQL Server 将无法读取将使用新 SQL Server 不知道的密钥加密的文件。

正如您所提到的，TDE 是 SQL Server Enterprise Edition 独有的功能，因此如果您负担不起企业许可证的费用，Azure 磁盘加密可能是您在 SQL Server VM 上的最佳选择

如果您可以考虑将客户数据库从 IaaS 迁移到 PaaS（Azure SQL 数据库 DTU 模型），那么您可以将 TDE 作为服务的一部分，而无需支付 SQL Server 许可证费用，从而节省数千美元许可成本，您可以节省安全功能并节省用于备份的存储磁盘（PaaS 提供的 35 天免费备份）。