數(shù)據(jù)庫(kù)是指按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲(chǔ)和管理數(shù)據(jù)的“倉(cāng)庫(kù)”，而這個(gè)“倉(cāng)庫(kù)”的安全尤為重要，加密就是保護(hù)數(shù)據(jù)庫(kù)安全的最佳選擇。目前針對(duì)數(shù)據(jù)庫(kù)的加密方法有很多，今天我們就來了解其中的一種，名為“TDE透明數(shù)據(jù)加密技術(shù)”。

TDE透明數(shù)據(jù)加密技術(shù)簡(jiǎn)介

透明數(shù)據(jù)加密的英文名為Transparent Data Encryption，簡(jiǎn)稱為TDE，是在數(shù)據(jù)庫(kù)內(nèi)部透明實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)加密、訪問解密的技術(shù)，Oracle、SQL Server、MySQL等數(shù)據(jù)庫(kù)默認(rèn)內(nèi)置此功能。數(shù)據(jù)在落盤時(shí)加密，在數(shù)據(jù)庫(kù)內(nèi)存中是明文，當(dāng)攻擊者“拔盤”竊取數(shù)據(jù)，由于數(shù)據(jù)庫(kù)文件無法獲得密鑰而只能獲取密文，從而起到保護(hù)數(shù)據(jù)庫(kù)中數(shù)據(jù)的效果。

TDE使用數(shù)據(jù)庫(kù)加密密鑰或DEK實(shí)時(shí)進(jìn)行輸入/輸出數(shù)據(jù)加密和解密。包括SQL數(shù)據(jù)庫(kù)的任何數(shù)據(jù)文件、數(shù)據(jù)庫(kù)的任何日志文件、數(shù)據(jù)庫(kù)備份文件、數(shù)據(jù)庫(kù)快照文件以及TempDB數(shù)據(jù)庫(kù)中的任何數(shù)據(jù)都可以通過TDE保護(hù)。

TDE透明數(shù)據(jù)加密技術(shù)的應(yīng)用場(chǎng)景

透明數(shù)據(jù)加密技術(shù)適用于對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)執(zhí)行實(shí)時(shí)加解密的應(yīng)用場(chǎng)景，尤其是在對(duì)數(shù)據(jù)加密透明化有要求，以及對(duì)數(shù)據(jù)加密后數(shù)據(jù)庫(kù)性能有較高要求的場(chǎng)景中。在實(shí)際使用中，可根據(jù)Oracle等內(nèi)置TDE的密鑰管理接口，將默認(rèn)“軟密鑰錢包”升級(jí)為外部密鑰管理系統(tǒng)，以增強(qiáng)密鑰安全性。

TDE透明數(shù)據(jù)加密技術(shù)的優(yōu)點(diǎn)

• 獨(dú)立權(quán)控體系

與數(shù)據(jù)庫(kù)外掛加密類似，使用插件形式的透明數(shù)據(jù)加密技術(shù)，同樣可以在外置的安全服務(wù)中提供獨(dú)立于數(shù)據(jù)庫(kù)自有權(quán)控體系之外的權(quán)限控制體系。

• 性能損耗較低

透明數(shù)據(jù)加密技術(shù)只對(duì)數(shù)據(jù)庫(kù)引擎的存儲(chǔ)管理層進(jìn)行了性能增強(qiáng)，不影響數(shù)據(jù)庫(kù)引擎的語句解析和優(yōu)化等處理過程，數(shù)據(jù)庫(kù)自身性能得以更好保留，透明數(shù)據(jù)加密技術(shù)在數(shù)據(jù)庫(kù)加密技術(shù)中，性能損耗較低。

TDE透明數(shù)據(jù)加密技術(shù)的缺點(diǎn)

• 防護(hù)顆粒度較粗

TDE本身是一種落盤加密技術(shù)，數(shù)據(jù)在內(nèi)存中處于明文狀態(tài)，需要結(jié)合其他訪問控制技術(shù)使用。在實(shí)戰(zhàn)場(chǎng)景中難以防范DBA等風(fēng)險(xiǎn)。

• 數(shù)據(jù)庫(kù)類型適用性上有限制

透明數(shù)據(jù)加密因使用插件技術(shù)，對(duì)數(shù)據(jù)庫(kù)的版本有較強(qiáng)依賴性，且僅能對(duì)有限幾種類型的數(shù)據(jù)庫(kù)實(shí)現(xiàn)透明數(shù)據(jù)加密插件，在數(shù)據(jù)庫(kù)類型適用性上有一定限制。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪稿。

cc

收藏 海報(bào)分享