SQL Server 2014新特性-原生备份加密-阿里云开发者社区

开发者社区> 范大脚脚> 正文

SQL Server 2014新特性-原生备份加密

简介:
+关注继续查看
:本篇文章是IT68找我的约稿,原文地址:http://tech.it168.com/a2014/0610/1633/000001633147.shtml

 

    SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无法使用,这有效的解决了上述数据泄漏问题。

原先的解决方案

    在SQL Server 2014之前,如果希望实现对备份实现加密,会通过如下两种方式之一实现:

使用透明数据加密(TDE)加密整个数据库,从而使得备份和事务日志也会被加密
使用第三方备份加密工具
    首先来谈一下使用透明数据加密,如果仅仅是为了对备份加密,使用TDE有点过于大材小用,因为使用TDE会导致数据库本身和日志被加密,对CPU带来额外开销,此外,使用TDE加密过的数据库如果使用备份压缩,压缩比率会非常低。如果使用SQL Server 2014的原生备份加密,则无需对整个数据库进行加密,备份仅仅在被写入磁盘之前被加密。原声备份加密如果结合备份压缩功能,那么会先进行压缩,再加密,从而得到非常高的压缩比率。

    其次使用第三方备份加密工具需要额外的费用,并且在执行过程中也会有比较繁琐的操作成本,使用第三方备份当需要对备份到Azure的备份进行加密时,将会非常繁琐,而使用原生备份加密,可以直接对备份到Azure的备份进行加密,从而对OFF-SITE备份提供了额外的安全性。

 

使用原生数据加密

    在SQL Server 2014 企业版、BI版、标准版中包括了该功能。使用备份加密需要有二个先决条件:

存在证书或非对称密钥
选择备份加密算法
    下面使用原声数据加密对备份加密,首先建立证书:

CREATE CERTIFICATE BackupCertificate

WITH SUBJECT = 'Backup Encryption Certificate';

GO

建立完成后,直接使用证书进行备份加密:

 
BACKUP DATABASE TestBK TO DISK ='C:\Test_Encrypted.bak'WITH COMPRESSION, ENCRYPTION  (ALGORITHM = AES_256, SERVER CERTIFICATE = BackupCertificate);

    结果如图1所示,在图1中,注意到SQL Server给出了提示信息要备份证书以及证书的私钥,否则数据将无法使用。通常在最佳实践中,当证书创建时就应该备份,数据安全永远是第一位的。

clip_image002

图1.提示备份证书私钥

    在图1中,注意到备份指定的加密算法是AES_256算法。SQL Server 2014提供了4种对备份加密的算法,分别是AES128、AES196、AES256和三重DES算法。

    在SQL Server 2014的Management Studio中也对原声备份加密提供了GUI的支持,如图2所示。

clip_image004

图2.GUI对原生备份加密的GUI支持

 

原生加密备份对压缩的影响

   前文提到,使用原生备份加密可以使得备份压缩几乎不受加密的影响,下面备份一个2.5G左右的测试库,指定压缩备份,第一个例子仅使用压缩备份,第2-4例子使用压缩备份+不同的压缩算法,测试语句如图3所示。

clip_image006

图3.测试语句

 

    图4看到,使用备份加密对数据库备份大小几乎毫无影响。

clip_image008

图4.不同的加密算法对备份压缩几乎毫无影响

 

clip_image010

图5.加密算法对备份的影响

 

    由图4和图5的结论可以得出,无论使用了何种加密算法,加密对压缩比率几乎毫无影响。

 

原生加密备份对性能的影响

 

    使用原生备份加密是一项极大的消耗CPU的操作,下面在图3的基础上进一步添加不压缩备份的情况,备份的时间如图6所示。

clip_image012

 

图6.不同压缩算法下备份时间

    由图6测试可以看出,除了3DES算法需要消耗的时间较长之外,AES算法在CPU不成为备份机瓶颈的情况下,对备份时间并无太大的影响。但加密对具体环境的影响会因环境而已,不同环境下的测试结果呈现可能会大相径庭,如果担心原生加密备份对性能产生影响,请先在具体环境进行测试。

 

小结

    SQL Server原声备份加密对数据安全提供了非常好的解决方案。使用原生备份加密基本不会增加备份文件大小,并且打破了使用透明数据加密后几乎没有压缩率的窘境。使用原生备份加密无论在将数据备份到异地数据中心,还是将数据备份到云端,都可以以非常低的成本对数据提供额外的安全保障。

分类: SQL Server2014新特性



本文转自CareySon博客园博客,原文链接:http://www.cnblogs.com/CareySon/p/3853016.html如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
超越最新视频压缩标准H.266,字节跳动编码新技术让视频缩小13%
联合视频专家组 JVET 官网显示,字节跳动设立在美国的研发团队于今年初发起了一项视频压缩技术提案,并命名为 DAM(Deep-filtering with Adaptive Model-selection)。相比 H.266/VVC 最新标准,DAM 能够为视频编码性能带来显著提升,亮度信号 Y 可实现 10.28% 的性能增益。两个色度信号 U 和 V 的性能增益也分别达到 28.22% 和 27.97%。这是业界公开的单个智能编码工具的最佳性能增益。
4 0
【期末复习】计算机网络 谢希仁版(七)网络安全
目录 网络安全 1. 计算机网络的安全威胁 2. 两类密码体制, 代表性算法 2.1 对称密钥密码体制 2.2 非对称密钥密码体制 3. 数字签名、报文完整性鉴别,实体鉴别 3.1 数字签名特点 3.1 报文完整性鉴别 3.2 报文鉴别的方法 3.2.1 MD5 3.2.2 报文鉴定码 3.3 实体鉴别 4. 对称密钥的分发 5. 公钥的签发与认证 6. 访问控制 7. 因特网相关的安全协议 IPSEC、SSL IPsec SSL 8. 防火墙
3 0
AI的哲学系思考—认知不变性与AI
本文从科学认知的不变性(Hard To Vary, HTV)入手,介绍了HTV存在的必要性以及广义上如何基于内部可变性(internal variablity)和外部可变性(external variability)在AI中衡量并实现这种不变性,最后介绍了几个刚刚提出的实现认知不变性的具体标准。
3 0
网易有道词典一个小更新,消除了你和全球一半人类的沟通障碍
完全不懂外语的你也可以拿起手机,和老外直接对话了:甚至不需要选择彼此说着的是什么语言。
5 0
表现优于ViT和DeiT,华为利用内外Transformer块构建新型视觉骨干模型TNT
华为诺亚实验室的研究者提出了一种新型视觉 Transformer 网络架构 Transformer in Transformer,它的表现优于谷歌的 ViT 和 Facebook 的 DeiT。论文提出了一个全新的 TNT 模块(Transformer iN Transformer),旨在通过内外两个 transformer 联合提取图像局部和全局特征。通过堆叠 TNT 模块,研究者搭建了全新的纯 Transformer 网络架构——TNT。值得注意的是,TNT 还暗合了 Geoffrey Hinton 最新提出的 part-whole hierarchies 思想。在 ImageNet 图像
4 0
两篇AAAI论文,揭示微信如何做文章质量评估
本文介绍了微信搜索数据质量团队在 AAAI 2021 大会发表的两篇研究。
4 0
设计简单有效的强化学习探索算法,快手有新思路
在本篇论文中,来自德州农工大学和快手的研究者提出了一种简单有效的探索算法,旨在为随机环境的探索问题提供有效的解决方案。
4 0
Go语言实现md4、md5、sha256哈希算法加密
目录 1. 哈希算法特点 2. 常用的哈希算法 3. go实现MD加密 3.1 MD4 3.2 MD5 3. go实现SHA加密 最后
3 0
【大数据基础实践】(六)数据仓库Hive的基本操作
目录 1. 数据仓库概念 2. Hive简介 2.1 简介 2.2 特性 2.3 生态系统 3. Hive系统架构 4. HQL转成MapReduce作业的原理 4.1 join的实现原理 4.2 group by的实现原理 5. 实验练习 5.1 环境配置 5.1.1 HIVE 5.1.2 MYSQL 5.1.3 配置MySql为hive元数据存储数据库 5.2 Shell进行实验内容 5.2.1 新建一个数据库; 5.2.2 新建表 5.2.3 添加分区 5.2.4 导入grade_zqc 5.2.5 统计男、女生人数 5.2.6 统计每个学生所有科目的总分以及平均分
4 0
Go语言实现对称加密算法AES、DES、3DES和非对称加密算法RSA
目录 1. 对称加密算法 1.1 特点 1.2 优缺点 1.3 go语言实现对称加密算法 1.3.1 AES 1.3.2 DES 1.3.3 DES (CBC模式) 2. 非对称加密算法 2.1 特点 2.2 优缺点 2.3 go语言实现非对称加密算法 2.3.1 RSA 最后
3 0
+关注
3390
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载