![Page 1: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/1.jpg)
Кирилл ПановСпециалист по технологиямMicrosoft Rus
![Page 2: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/2.jpg)
Темы
Прозрачное шифрование Управление основанное на
политиках
![Page 3: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/3.jpg)
Прозрачное шифрованиеTransparent Data Encryption (TDE)
Шифрование/Дешифрование на уровне базы данных
DEK зашифрован: Сервисным Мастер Ключом
(Service Master Key) Для хранения ключей можно
задействовать аппаратные модули безопасности (HSM)
DEK должен быть дешифрован при Присоединении файлов БД Восстановлении резервной
копии
SQL Server 2008
DEK
Приложение
Зашифрованная страница
DEK - database encryption key
![Page 4: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/4.jpg)
Иерархия ключей TDE
SQL Server 2008 Пользовательская база
Database Encryption Key
Operating System LevelData Protection API (DPAPI)
SQL Server 2008Instance Level
Service Master Key
SQL Server 2008 Master Database
Database Master Key
SQL Server 2008 Master Database
Сертификат
Пароль
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = { AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY } ENCRYPTION BY SERVER CERTIFICATE Encryptor_Name
ALTER DATABASE database_name SET ENCRYPTION ON
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'
![Page 5: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/5.jpg)
Сценарии использования
Без ключа или HSM базу данных не открыть.
![Page 6: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/6.jpg)
Использование прозрачного шифрования
База данных защищена Не требуется изменения приложения!
Нет ограничения по типам данных и индексам (за исключениям Filestream)
Небольшое падение производительности CPU
Резервные копии и файлы данных бесполезны без ключа
![Page 7: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/7.jpg)
Использование прозрачного шифрования
Компрессия баз данных Включайте компрессию до шифрования
Компрессия резервных копий Не использовать
Зеркалирование Скопируйте сертификат с основного
сервера на зеркальный
![Page 8: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/8.jpg)
Расширяемое управление ключом Extensible Key Management KEM
Хранение ключа, управление и шифрование производится HSM
Реализуется через SQL EKM Provider DLL
SQL EKM Provider DLL
SQL EKM Key(HSM key proxy)
Data
SQL Server
HSM
![Page 9: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/9.jpg)
Преимущества использования EKM
Безопасность Данные и ключи физически разделены
(ключи хранятся на Смарт-картах, USB устройствах, HSM )
Шифрование Реализация на уровне оборудования
Другие алгоритмы шифрования
![Page 10: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/10.jpg)
Прозрачное шифрование
ДемоДемо
![Page 11: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/11.jpg)
Темы
Прозрачное шифрование Управление основанное на
политиках
![Page 12: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/12.jpg)
Управление в корпоративной среде
Управление одним экземпляром
Управление основанное на политиках
![Page 13: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/13.jpg)
Управление основанное на политиках Определение политики
КатегорииКатегории
ФасетыФасеты УсловияУсловия ПолитикиПолитики
![Page 14: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/14.jpg)
Примеры политик
ОграниченияXPCmdShell == FalseXPCmdShell == FalseSQLCLR == TrueSQLCLR == TrueDBMail == FalseDBMail == False
Имена таблиц должны заканчиваться на “%_tbl”
Только редакции Express и Developer могут быть установлены на рабочих станциях разработчиков
![Page 15: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/15.jpg)
Ручная проверка администратором
Задание SQL Server Agent проверяет по расписанию и пишет в журнал о несоответствиях
DDL триггера откатывают не соответствующие изменения
Информация о несоответствующих изменениях пишется в журнал
Мониторинг выполнения условиям политик
![Page 16: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/16.jpg)
Управление при помощи политик
ДемоДемо
![Page 17: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/17.jpg)
Итоги
SQL Server 2008 позволяет эффективно управлять инфраструктурой серверов При помощи управления основанного на
политиках для выполнения задач безопасности и администрирования
Усилить безопасность данных используя прозрачное шифрование
![Page 20: Кирилл Панов Специалист по технологиям Microsoft Rus](https://reader035.vdocuments.mx/reader035/viewer/2022081504/56813b22550346895da3ddee/html5/thumbnails/20.jpg)
Ссылки
Блоги наших участников http://blogs.gotdotnet.ru/personal/yliberman/ http://blogs.gotdotnet.ru/personal/denish/