数据库加密还是文件系统加密？

Question

最近，我一直在研究一些数据，尽管这些数据不受任何信息安全法律的直接管辖，但敏感到足以保证被加密。我有兴趣了解有关这类数据的存储的最佳实践，特别是--究竟加密是在OS /文件系统级别还是在数据库级别上实现得最好。

这两种方法在安全性、可伸缩性和可访问性方面的优缺点是什么？

Answer 1

只有当您的硬件被盗时，OS/文件系统级加密才能保护您的数据库。

如果攻击者访问正在运行的系统，他/她可以访问数据库，因为文件系统被挂载。

数据库级加密将保护您免受黑客攻击，如果它确保了攻击者无法轻松访问密钥(例如，从用户会话中动态生成密钥，并在注销时删除密钥)。

在大多数情况下，您的应用程序需要获取这些信息，实现起来并不容易。

如果您有一个应用程序密钥，则此密钥也可能被窃取。

而且，使用现代数据库的大多数特性是不可能的，您必须在应用程序中实现许多东西(例如，基于加密数据的连接、过滤等)。