我们是一家为客户托管应用程序和数据的小型企业。 我们的一些客户要求我们使用"静态加密"来保护他们的数据 - 尽管他们是否知道这真正意味着什么,但从来都不清楚。
数据当前位于运行 SQL Server Standard 的 Azure VM 上。
一种选择是我们使用 TDE,但这仅在 SQL Enterprise 中可用,额外的许可成本对我们来说是相当大的。
另一种是在现有的SQL标准VM上免费使用Azure磁盘加密。
在向客户端保证其数据是静态加密时,使用 TDE 和磁盘加密之间的结果是否存在很大实际差异。
我应该考虑哪些差异?
静态数据包括以任何数字格式驻留在物理介质上的持久存储中的信息。介质可以包括磁性或光学介质上的文件、存档数据和数据备份。
TDE 和磁盘加密可针对不同的(尽管相似(风险提供保护。使用磁盘或文件加密,有权访问文件的计算机用户可以将数据库(mdf,ndf,ldf(文件复制到另一台计算机,对其进行解密。然后将文件附加到其他 SQL Server 以管理员身份并读取所有内容。也许这是由流氓备份操作员完成的。
启用 TDE 后,新的 SQL Server 将无法读取将使用新 SQL Server 不知道的密钥加密的文件。
正如你提到的,TDE 是 SQL Server 企业版的专用功能,因此,如果您负担不起企业许可证的费用,Azure 磁盘加密可能是您在 SQL Server VM 上的最佳选择
如果可以考虑将客户数据库从 IaaS 移动到 PaaS(Azure SQL 数据库 DTU 模型(,则可以将 TDE 作为服务的一部分,而无需支付 SQL Server 许可证费用,从而节省数千美元的许可成本,节省安全功能并节省用于备份的存储磁盘(PaaS 提供了 35 天的免费备份(。