Альтернативы SQL Server TDE

Из-за высокой стоимости SQL Server Enterprise Edition, включающей функцию прозрачного шифрования данных, я ищу альтернативный продукт и нашел только несколько вариантов:

• DbDefence
• NetLib Encryptionizer

Может ли кто-нибудь рассказать о своем опыте работы с любым из вышеуказанных продуктов (влияние на производительность, простота использования и т. Д.)?

Любые другие альтернативы SQL Server TDE?

Примечание. В настоящее время мы используем SQL Server 2008 R2 Standard Edition.

У нас довольно много смешанных серверов, использующих шифрование, в зависимости от потребностей бизнеса. Для очень критичных серверов мы решили перейти на версию Enterprise, поскольку она не только обеспечивает TDE, но и другие преимущества, а также в отношении производительности или устранения неполадок.

Да, TDE довольно эффективен и очень хорош, но, поскольку он сопряжен с расходами, мы решили для компаний со средним и низким приоритетом использовать сторонние инструменты, такие как NetLib.

Я хотел бы выделить некоторые из его преимуществ, в зависимости от нашего использования:

• Обеспечивает прозрачное шифрование данных и шифрование столбцов для всех версий SQL Server с 2000 по 2014 год и для всех выпусков SQL Server от Express до Enterprise. TDE SQL Server доступен только в корпоративной версии SQL Server 2008 и более поздних версиях.
• Легко настроить и поддерживать. Это заняло у нас почти 5-6 минут, как только мы осознали, что нужно сделать.
• Ключи базы данных хранятся вне SQL Server, включая альтернативные расположения, такие как сеть, съемные носители и т. Д.
• Прозрачное шифрование данных Encryptionizer практически не влияет на производительность базы данных (<1%) на сервере надлежащего размера. В некоторых сравнительных отчетах SQL Server TDE оказывает большее влияние на производительность в пределах 5-10%.
• Поддержка FILESTREAMS (SQL Server 2008 и SQL Server 2014).
• Поддерживает сжатые резервные копии SQL Server (С СЖАТИЕМ).
• Возможно шифрование системных баз данных, включая masterбазу данных и tempdbбазу данных.

Я не очень много слышал о DbDefence, но да, я верю, что он поддерживает репликацию, доставку журналов и зеркалирование. Читайте здесь для получения дополнительной информации.

Я полагаю, что вы можете опробовать вышеуказанные продукты и принять решение в соответствии с бизнес-потребностями, которые наилучшим образом соответствуют вашей среде.

Недавно мне пришлось искать информацию для шифрования данных, не покупая Enterprise Edition, что слишком много для нашего бюджета. Вот что я нашел:

Начиная с SQL Server 2016 SP1, функция Always Encrypted включена в экспресс-выпуски SQL Server. Он не обеспечивает шифрование всей базы данных, например TDE, DbDefence и NetLib Encryptionizer, вам необходимо определить столбцы, которые вы хотите зашифровать. Но преимущество в том, что это делается автоматически. Поэтому это может быть хорошей альтернативой.

Другая возможность - напрямую зашифровать файлы с помощью EFS или BitLocker. Эти две функции включены в Windows.

Для EFS вы должны определить файлы, которые вы хотите зашифровать, и только пользователь, зашифровавший файлы, может их читать / копировать (поэтому вы должны использовать учетную запись, которая будет запускать службу SQL Server). Но это может привести к проблемам с производительностью.

BitLocker шифрует всю базу данных, но требует наличия определенного оборудования: модуля TPM на сервере.

Мне еще предстоит протестировать DbDefence и Encryptionizer, но я обновлю свой ответ, когда сделаю это.

Как вы указали, есть две основные альтернативы TDE: Encryptionizer и DBDefence. Они работают совсем по-другому: Encryptionizer находится между SQL Server и операционной системой. DBDefence внедряет код в работающий SQL-процесс, используя (теперь уже не существующий) Detours SDK. Оба поддерживают все версии и выпуски SQL Server. (Отказ от ответственности: я из NetLib Security ).