问题
欧盟(EU)通用数据保护条例(GDPR)对世界范围的影响是要在2018年5月25日之前完成截止日期。需要注意的是,GDPR不仅适用于欧盟的大公司,也适用于任何公司即使在小型SQL Server数据库中也可以在欧盟开展业务。根据第23条和第30条规定的条款,概述了保护客户数据,处理擦除和客户对数据的访问的一般做法,因此,对于不合规的罚款将很高。
除GDPR之外,保护您的客户数据以建立与客户群的信任也是谨慎的。作为技术专业人员,如果您的数据不受法律保护,您会感觉如何?想一想,如果您信任自己的信息的组织不能保护它,而对你的影响将影响你改正其身份问题,这会给你带来多大的困扰。作为SQL Server Professional,您应如何解决此问题?
解
在本技巧中,我们将重点关注保护在线客户端数据。SQL Server本身提供了多种加密和保护数据的方法。一种选择是列级加密。第二个是透明数据加密。您还可以将密码添加到备份中,并且Windows提供了一些本机加密选项。
不幸的是,使用SQL Server列级加密,需要进行编程更改以加密和解密数据。如果只有几列需要更改,并且所有数据访问都是通过存储过程进行的,那么这可能是一个可行的选择。如果将代码嵌入多个应用程序中,则挑战将急剧上升。透明数据加密提供了一个无缝的选项,但仅在企业版中可用,因此,在企业中大量安装SQL Server的标准版和快速版时,升级时间和相关的许可成本很快就变得成本过高。备份密码很有用,但不适用于SQL Server Express和Web Edition,也不能保护在线数据。
另一个主要挑战是找到整个企业内所有敏感的数据。可能会熟悉一些(如果不是很多的话)存储客户端数据的数据库,表和列。查询系统视图中的关键字当然是可能的,但不是防弹的。
存储在注释字段或通信日志中的数据如何处理?那些无法获得功能增强批准但仍需要完成工作的聪明用户怎么办,因此他们将客户数据放在不希望有客户数据的另一列中?您如何发现这些情况?如果不使用某种正则表达式检查每个字段,该怎么办?
升级所有SQL Server的现实是昂贵且费时的,需要跨所有技术领域(应用程序开发,基础结构,数据库管理和质量保证)的资源。迁移到云并不是一个简单的答案,因为要解决迁移问题,需要从事许多相同的技术领域。如果您可以仅在现有的SQL Server上实施加密以保护在线数据库和备份以应付迫在眉睫的最后期限该怎么办?
Activecrypt的DbDefence是一家成立17年的公司,致力于为SQL Server安全提供适当的加密,这已成为现实 。DbDefence于2011年推出,当前的DbDefence 7.3版本具有以下价值:
- 1个按钮128位或256位AES加密-简单接口,可通过 FIPS 140-2验证的解决方案进行配置,加密和解密数据库
- 无需更改应用程序– SQL Server的所有版本(Standard,Express,Web,LocalDB,Enterprise)和版本(2019、2017、2016、2014、2012、2008 R2、2008、2005)的真正透明数据加密
- 自动化-全面的 T-SQL API,用于管理对SQL Server数据库的加密以使过程自动化
- 性能–以最小的开销对SQL Server数据库对象和数据进行快速加密和解密
- 自定义–能够自定义特定表,登录名和应用程序的加密
- 登录名或应用程序限制–能够限制对数据库的访问,以使只有特定的登录名才能访问数据库,而无论其SQL Server服务器角色或登录权限如何
- 应用程序限制–能够限制特定应用程序(包括Profiler)或IIS应用程序池访问数据库,以防御内部和外部威胁
- 保护–基于证书的加密,可在线保护数据库和所有备份
- 高可用性–能够在服务器之间传输证书以支持日志传送,复制和可用性组
- 多层保护–能够将许可证绑定到客户端,以便在还原数据库时没有客户端许可证就无法添加另一层保护的情况下无法还原数据库
您需要做的就是保护和管理数据库的加密密钥以锁定和解锁数据库。根据数据库的大小,您可以在1小时内对其进行加密并消除一部分监管难题。
让我们 深入了解DbDefence以了解更多信息。
DbDefence支持Windows和Linux上的SQL Server。所有版本和所有版本。 了解更多。
配置SQL Server数据库加密
要开始加密过程,您只需安装DbDefence并连接到SQL Server数据库即可。身份验证后,您只需输入密码即可用作加密密钥,然后按加密按钮。根据数据库的大小,这可能需要几秒钟到一个小时。此加密级别将使用所有默认参数。
请注意,加密密钥的管理至关重要,您作为SQL Server Professional的责任。确保将此密钥存储在符合组织策略的安全位置。
要开始定制过程,您可以解密数据库并开始对配置进行更新。在“加密”选项卡上,您可以自定义已加密的对象和架构,更改AES加密级别并管理SQL Server Profiler能够看到的数据。
在DbDefence的“ 密钥存储”选项卡上,可以配置密钥是存储在文件系统中还是存储在受Windows Data Protection API保护的Windows内部文件中。此外,还有一个选项可以将密钥存储在PKCS#11兼容的硬件设备中。
在下面的屏幕快照中,密钥被导出并作为两个dbd_key文件与数据库一起存储。
使用DbDefence限制应用程序访问
除了DbDefence的所有加密功能之外,该产品还具有通过登录名或应用程序限制对SQL Server数据库的访问的能力。下面是DbDefence的“允许登录”选项卡,您可以在其中限制对数据库的访问,以取代SQL Server登录名和服务器角色权限。这种类型的功能对于希望将数据库作为“黑匣子”进行交付以防止本地超级用户查看或修改数据库的软件供应商而言也很有价值。
除了登录限制,您还可以使用 DbDefence配置工具在每个应用程序和每个IIS应用程序池级别上建立访问已解密数据和对象的权限。
使用DbDefence的SQL Server备份加密
一个鲜为人知的事实是,可以使用文本编辑器轻松打开SQL Server数据库备份,并且可以以明文形式查看数据。 使用DbDefence消除了此漏洞,因为对SQL Server数据库备份进行了加密,不仅保护了联机数据,还保护了脱机数据。请参见下面的屏幕快照,其中打开了使用记事本打开的本机SQL Server备份和 DbDefence保护的备份。
