우리는 최근에 랩톱을 도난 당하거나 잃어 버렸을 때 보호하기 위해 개발자 랩톱의 로컬 데이터베이스에 대해 SQL Server 2008에서 투명한 데이터 암호화를 구현했습니다. 이것은 잘 작동합니다.SQL Server 2008에서는 네트워크에 연결되어 있지 않으면 데이터를 암호 해독 할 수없는 방식으로 데이터를 보호 할 수 있습니까?
이제 우리는 인증서가 자동으로 만료되도록하는 방법을 찾고 있습니다. 자동 프로세스 (로그온시 스크립트)가 네트워크 경로로 나가서 하루 만료 된 새 인증서를 가져와야합니다 . 이렇게하면 예기치 않은 무언가가 발생한 경우 그 다음날 데이터를 사용할 수 없게됩니다.
나는 또한 암호화 공급자를 사용하는 방법을 살펴 보았지만 거기에 "공급자"가없는 것으로 나타났습니다. 어쩌면 내가 틀렸어.
제안 사항에 대한 답변을드립니다. 더 좋은 방법이 있으면 알려주세요. 감사!
짧은 답변 : 아니오
긴 대답 : 암호화 된 메시지 (데이터의 조각)되면, 같은 키에 관계없이 복호 알고리즘이 적용되는 어떤 시간, 동일한 암호화 된 메시지를 해독합니다. 키가 매일 변경되면 데이터를 이전 키로 해독하고 새 키로 다시 암호화해야합니다. 이 프로세스가 발생하지 않으면 (즉, 누군가가 실행으로부터 다시 암호화를 수행하는 코드 부분을 중단하면) 이전 키는 계속 작동합니다. 날짜를 확인하기 위해 암호화 공급자를 만들지 만 다른 사람이 먼저 날짜를 확인하지 않고 암호 해독을 수행 할 새 공급자를 만들 수 있습니다.
추가 세부 정보없이 도난 또는 분실 된 경우 TDE 설정이 데이터를 보호하는 방법을 이해하지 못합니다.
Bitlocker, Truecrypt 등을 통해 전체 디스크 암호화를 사용하지 않는 경우 하드웨어를 물리적으로 소유 한 공격자로서 로컬 관리자 암호를 쉽게 재설정하고 랩톱을 부팅하고 다음과 같은 방법으로 SQL Server 인스턴스에 액세스 할 수 있습니다. 로컬 관리자 자격 증명. 이 시점에서 필자는 데이터베이스 서버의 sysadmin이며 원하는 데이터를 추출하거나 TDE를 끌 수 있습니다.
또한 암호화 키와 인증서는 모두 로컬에 저장되므로 장치를 실제로 소유 한 공격자가 액세스하기 쉽습니다. TDE는 데이터베이스 암호화 키 보호 장치 (master 데이터베이스에 저장되어 있음)와 암호화 된 데이터베이스를 물리적으로 분리 할 때만 데이터 보호에 의미가 있습니다.
TDE를 사용하는 것보다 전체 디스크 암호화를 사용하는 경우 공격자에게 추가적인 방어벽을 제공하지 않으며 개발자 랩톱의 시스템 성능에만 나쁜 영향을 미칩니다.
T는 동기 부여보다는 질문에 답합니다. 파생 된 템플릿 (하루 만료되도록 설정)을 사용하여 Microsoft CA를 설정하고 해당 인증서 템플릿에서 자동 등록을 허용하는 경우. 그런 다음 자동 시스템을 사용하는 디렉토리 내의 OU에 SQL 시스템을 설정할 수 있습니다 (Technet이 gup 정책을 사용하려면 이에 대한 리소스를 제공합니다). 이렇게하면 인증서가 만료되면 컴퓨터가 자동으로 새 인증서를 요청합니다.
마크
네 말이 맞아 - 당신이 원하는 것은 암호화 공급자이고, 당신은 거기 아무도 아직 없다는 것을 말이 맞아.
11 월에 통과 정상 회담에 간다면 Microsoft의 JC Cannon에게 이야기하십시오.그는 규정 준수에 관한 세션을 진행하고 있으며 SQL Server Compliance 그룹의 책임자입니다. 그는 현재 암호화 공급자를 만드는 작업을하고있는 공급 업체와 연계되어 있으며 공급 업체 이름에 관해 이야기 할 수 있습니다. 지금 그들은 아직 누가 그것을하고 있는지 발표하기 위해 공개적으로 나오지 않았습니다.
사실이 아닙니다. SQL Server 2008 암호화에 사용할 수있는 옵션이 있습니다. TownsendSecurity.com에서 here 데이터베이스 암호화 솔루션을 확인하십시오. Townsend 's Alliance AES 암호화는 건강 관리, 신용 카드 및 은행 관련 규정을 준수하도록 NIST 인증 솔루션입니다. 또한 Alliance AES 암호화에 대한 white paper을 참조하십시오. 데이터베이스 응용 프로그램 민감한 데이터
기업은 손실을 확보하기 위해 데이터를 암호화하고 싶습니다. 중요한 데이터를 보호하면 고객 신뢰도가 향상되고 충성도가 증가하고 법적 책임이 줄어들며 데이터 보안 요구 사항 인 요구 사항을 충족하는 데 도움이됩니다. 중요한 정보가 포함되어있을 수있는 데이터베이스의 예는 Oracle 데이터베이스, IBM DB2, Microsoft SQL Server, MySQL, 및 Microsoft Access입니다. 에 관계없이 사용할 수있는 디스크 나 폴더 암호화 기술의 실제 데이터가 손실을
전체 공개를 방지하기 위해 암호화되어야한다 : 나는 타운센드 보안에서 인턴입니다.
"누군가는 해고당했습니다"와 같이 이 경우 데이터 보호는 주로 적절한 사람들을 고용하는 데서 비롯됩니다. – Tomalak