Alternativas ao SQL Server TDE

8

Devido ao alto custo do SQL Server Enterprise Edition, que inclui o recurso de criptografia de dados transparente, estou procurando um produto alternativo e encontrei apenas algumas opções:

Alguém poderia fornecer detalhes de sua experiência com qualquer um dos produtos acima (impacto no desempenho, facilidade de uso, etc.)?

Alguma outra alternativa ao SQL Server TDE?

Nota: No momento, estamos usando o SQL Server 2008 R2 Standard Edition.

Matt F
fonte

Respostas:

8

Temos alguns servidores mistos, usando criptografia, dependendo da necessidade dos negócios. Para servidores muito críticos, decidimos atualizar para a edição Enterprise, pois ela não apenas fornece a TDE, mas também outros benefícios quando se trata de desempenho ou solução de problemas.

Sim, o TDE é bastante eficaz e muito bom, mas, como vem com um custo, decidimos para empresas de média e baixa prioridade usar uma ferramenta de terceiros como o NetLib.

Gostaria de destacar alguns de seus benefícios, conforme nosso uso:

  • Fornece criptografia de dados transparente e criptografia de coluna para todas as versões do SQL Server de 2000 a 2014 e para todas as edições do SQL Server do Express à Enterprise. A TDE do SQL Server está disponível apenas na edição Enterprise do SQL Server 2008 e posterior.
  • Fácil de configurar e manter. Demoramos apenas 5-6 minutos para fazê-lo, uma vez que estávamos cientes do que precisava ser feito.
  • As chaves do banco de dados são armazenadas fora do SQL Server, incluindo locais alternativos, como rede, mídia removível, etc.
  • A criptografia de dados transparente do Encryptionizer praticamente não afeta o desempenho do banco de dados (<1%) em um servidor de tamanho adequado. Alguns relatórios de benchmark mostram que o SQL Server TDE tem maior impacto no desempenho entre 5 e 10%.
  • Suporte para FILESTREAMS (SQL Server 2008 e SQL Server 2014).
  • Oferece suporte a backups compactados do SQL Server (COM COMPRESSÃO).
  • É possível criptografar os bancos de dados do sistema, incluindo o masterbanco de dados e o tempdbbanco de dados.

Não ouvi muito sobre o DbDefence, mas sim, acredito que ele suporta replicação, envio de logs e espelhamento. Leia aqui para mais informações.

Acredito que você pode experimentar os produtos acima e decidir de acordo com as necessidades comerciais que melhor se adequam ao seu ambiente.

KASQLDBA
fonte
Obrigado pela sua resposta. Posso perguntar há quanto tempo você usa o NetLib Encryptionizer? Algum problema?
Matt F
2
Cerca de 6 meses e não ouvi nenhum. Leia aqui o trabalho completo que também nos ajudou: sqlservercentral.com/articles/Product+Reviews/…
KASQLDBA 25/15/15
3
Disclaimer: Eu sou da NetLib Security. Se os moderadores me permitirem, posso responder a quaisquer perguntas específicas que você tiver aqui. Caso contrário, acesse netlibsecurity.com e clique em Fale conosco. Teremos o maior prazer em responder a quaisquer perguntas que você tiver.
Neil Weicher
3

Recentemente, tive que pesquisar informações para criptografar os dados sem comprar o Enterprise Edition, o que é demais para o nosso orçamento. Aqui está o que eu encontrei:

Desde o SQL Server 2016 SP1, o recurso Always Encrypted está incluído nas edições expressas do SQL Server. Ele não fornece criptografia de banco de dados inteira, como TDE, DbDefence e NetLib Encryptionizer, você precisa definir as colunas que deseja criptografar. Mas tem a vantagem de ser feito automaticamente. Portanto, pode ser uma boa alternativa.

Outra possibilidade é criptografar diretamente os arquivos com EFS ou BitLocker. Esses dois recursos estão incluídos no Windows.

Para o EFS, você precisa definir os arquivos que deseja criptografar e apenas o usuário que criptografou os arquivos pode lê-los / copiá-los (portanto, você deve usar a conta que executará o serviço SQL Server). Mas isso pode trazer problemas de desempenho.

O BitLocker criptografa o banco de dados inteiro, mas requer um hardware específico: um módulo TPM no servidor.

Ainda tenho que testar o DbDefence and Encryptionizer, mas atualizarei minha resposta quando o fizer.

Loïc Lopes
fonte
O que é o EFS exatamente?
TT.
2
É um mecanismo de criptografia do Windows feito no nível do sistema de arquivos. Está disponível desde o Windows 2000 nas edições Professional ou Server (não funciona nas edições Home). Você pode adicioná-lo a um arquivo apenas através de suas propriedades.
Loïc Lopes
1

Como você apontou, existem duas alternativas principais ao TDE: Encryptionizer e DBDefence. Eles funcionam de maneira muito diferente: o Encryptionizer fica entre o SQL Server e o sistema operacional. DBDefence injeta código no processo SQL em execução usando o SDK Detours (agora extinto). Ambos suportam todas as versões e edições do SQL Server. (Isenção de responsabilidade: sou da NetLib Security ).

Neil Weicher
fonte