TDE与磁盘加密

Question

我们是一家为客户提供应用程序和数据的小型企业。我们的一些客户要求我们用“rest加密”来保护他们的数据--尽管他们不太清楚这到底意味着什么。

数据当前位于运行Server标准的Azure VM上。

一种选择是我们使用TDE，但这只能在SQL中使用，而且额外的许可成本对我们来说是相当可观的。

另一种是免费在现有的Standard上使用Azure磁盘加密。

在使用TDE和磁盘加密时，在保证客户端数据在静止状态下被加密时，两者的结果有很大的不同吗？

我应该考虑什么不同之处？

Answer 1

威胁是有人可以访问和/或复制组成SQL数据库的文件，并通过传递前端应用程序和SQL服务器本身通常设置的所有访问控制将它们加载到另一个SQL服务器中。

磁盘加密在诸如被盗或错误配置/退役硬件的情况下，以及在云环境中，防止对整个虚拟磁盘映像进行未经授权的访问。

由于磁盘加密对物理服务器和虚拟运行服务器上的进程和用户是透明的(不可见)，因此它不保护运行中的操作系统所施加的正常访问控制和文件系统权限所允许或通过的(未经授权)数据访问。

TDE和类似的应用程序级加密增加了额外的安全性:即使当您可以访问文件系统上的文件时，如果没有应用程序加密/解密密钥，仍然无法访问其中的数据。

如果启用TDE是成本高的，组织通常会进行风险评估并记录任何现有和新的措施，以充分保护数据，减轻数据泄漏的风险，并接受任何剩余的风险。

Answer 2

透明数据加密实际上被称为静止数据加密。

TDE通过执行实时I/O加密和解密数据和日志文件(数据"at rest")来工作。存储在数据库引导记录中的数据库加密密钥(DEK)，以便在恢复期间可用。DEK是通过使用存储在服务器主数据库中的证书或由EKM模块保护的非对称密钥来保护的对称密钥。

全磁盘加密是对VM的整个磁盘进行加密。这意味着所有驻留在磁盘上的东西，而不仅仅是sql数据库。

这就是区别所在:一切都只对数据库。由于客户端请求DB加密，这2中的任何一个都是有效的，而且由于您可以免费使用Azure磁盘加密，所以可以这样做。

Answer 3

所有Azure管理的磁盘都是由defaul通过服务器端加密加密的，这是基本的“rest数据加密”。

这是否足够取决于威胁模型和相对风险评估。