Кирилл Панов Специалист по технологиям microsoft rus
DESCRIPTION
Новые возможности безопасности и управления. Кирилл Панов Специалист по технологиям Microsoft Rus. Темы. Прозрачное шифрование Управление основанное на политиках. Прозрачное шифрование Transparent Data Encryption (TDE). Шифрование / Дешифрование на уровне базы данных DEK зашифрован : - PowerPoint PPT PresentationTRANSCRIPT
Кирилл ПановСпециалист по технологиямMicrosoft Rus
Темы
Прозрачное шифрование Управление основанное на
политиках
Прозрачное шифрованиеTransparent Data Encryption (TDE)
Шифрование/Дешифрование на уровне базы данных
DEK зашифрован: Сервисным Мастер Ключом
(Service Master Key) Для хранения ключей можно
задействовать аппаратные модули безопасности (HSM)
DEK должен быть дешифрован при Присоединении файлов БД Восстановлении резервной
копии
SQL Server 2008
DEK
Приложение
Зашифрованная страница
DEK - database encryption key
Иерархия ключей TDE
SQL Server 2008 Пользовательская база
Database Encryption Key
Operating System LevelData Protection API (DPAPI)
SQL Server 2008Instance Level
Service Master Key
SQL Server 2008 Master Database
Database Master Key
SQL Server 2008 Master Database
Сертификат
Пароль
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = { AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY } ENCRYPTION BY SERVER CERTIFICATE Encryptor_Name
ALTER DATABASE database_name SET ENCRYPTION ON
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'
Сценарии использования
Без ключа или HSM базу данных не открыть.
Использование прозрачного шифрования
База данных защищена Не требуется изменения приложения!
Нет ограничения по типам данных и индексам (за исключениям Filestream)
Небольшое падение производительности CPU
Резервные копии и файлы данных бесполезны без ключа
Использование прозрачного шифрования
Компрессия баз данных Включайте компрессию до шифрования
Компрессия резервных копий Не использовать
Зеркалирование Скопируйте сертификат с основного
сервера на зеркальный
Расширяемое управление ключом Extensible Key Management KEM
Хранение ключа, управление и шифрование производится HSM
Реализуется через SQL EKM Provider DLL
SQL EKM Provider DLL
SQL EKM Key(HSM key proxy)
Data
SQL Server
HSM
Преимущества использования EKM
Безопасность Данные и ключи физически разделены
(ключи хранятся на Смарт-картах, USB устройствах, HSM )
Шифрование Реализация на уровне оборудования
Другие алгоритмы шифрования
Прозрачное шифрование
ДемоДемо
Темы
Прозрачное шифрование Управление основанное на
политиках
Управление в корпоративной среде
Управление одним экземпляром
Управление основанное на политиках
Управление основанное на политиках Определение политики
КатегорииКатегории
ФасетыФасеты УсловияУсловия ПолитикиПолитики
Примеры политик
ОграниченияXPCmdShell == FalseXPCmdShell == FalseSQLCLR == TrueSQLCLR == TrueDBMail == FalseDBMail == False
Имена таблиц должны заканчиваться на “%_tbl”
Только редакции Express и Developer могут быть установлены на рабочих станциях разработчиков
Ручная проверка администратором
Задание SQL Server Agent проверяет по расписанию и пишет в журнал о несоответствиях
DDL триггера откатывают не соответствующие изменения
Информация о несоответствующих изменениях пишется в журнал
Мониторинг выполнения условиям политик
Управление при помощи политик
ДемоДемо
Итоги
SQL Server 2008 позволяет эффективно управлять инфраструктурой серверов При помощи управления основанного на
политиках для выполнения задач безопасности и администрирования
Усилить безопасность данных используя прозрачное шифрование
Ссылки
Блоги наших участников http://blogs.gotdotnet.ru/personal/yliberman/ http://blogs.gotdotnet.ru/personal/denish/