SQL Server 2014新特性-原生备份加密

本文涉及的产品
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
云数据库 RDS SQL Server,基础系列 2核4GB
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:
:本篇文章是IT68找我的约稿,原文地址:http://tech.it168.com/a2014/0610/1633/000001633147.shtml

 

    SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无法使用,这有效的解决了上述数据泄漏问题。

原先的解决方案

    在SQL Server 2014之前,如果希望实现对备份实现加密,会通过如下两种方式之一实现:

使用透明数据加密(TDE)加密整个数据库,从而使得备份和事务日志也会被加密
使用第三方备份加密工具
    首先来谈一下使用透明数据加密,如果仅仅是为了对备份加密,使用TDE有点过于大材小用,因为使用TDE会导致数据库本身和日志被加密,对CPU带来额外开销,此外,使用TDE加密过的数据库如果使用备份压缩,压缩比率会非常低。如果使用SQL Server 2014的原生备份加密,则无需对整个数据库进行加密,备份仅仅在被写入磁盘之前被加密。原声备份加密如果结合备份压缩功能,那么会先进行压缩,再加密,从而得到非常高的压缩比率。

    其次使用第三方备份加密工具需要额外的费用,并且在执行过程中也会有比较繁琐的操作成本,使用第三方备份当需要对备份到Azure的备份进行加密时,将会非常繁琐,而使用原生备份加密,可以直接对备份到Azure的备份进行加密,从而对OFF-SITE备份提供了额外的安全性。

 

使用原生数据加密

    在SQL Server 2014 企业版、BI版、标准版中包括了该功能。使用备份加密需要有二个先决条件:

存在证书或非对称密钥
选择备份加密算法
    下面使用原声数据加密对备份加密,首先建立证书:

CREATE CERTIFICATE BackupCertificate

WITH SUBJECT = 'Backup Encryption Certificate';

GO

建立完成后,直接使用证书进行备份加密:

 
BACKUP DATABASE TestBK TO DISK ='C:\Test_Encrypted.bak'WITH COMPRESSION, ENCRYPTION  (ALGORITHM = AES_256, SERVER CERTIFICATE = BackupCertificate);

    结果如图1所示,在图1中,注意到SQL Server给出了提示信息要备份证书以及证书的私钥,否则数据将无法使用。通常在最佳实践中,当证书创建时就应该备份,数据安全永远是第一位的。

clip_image002

图1.提示备份证书私钥

    在图1中,注意到备份指定的加密算法是AES_256算法。SQL Server 2014提供了4种对备份加密的算法,分别是AES128、AES196、AES256和三重DES算法。

    在SQL Server 2014的Management Studio中也对原声备份加密提供了GUI的支持,如图2所示。

clip_image004

图2.GUI对原生备份加密的GUI支持

 

原生加密备份对压缩的影响

   前文提到,使用原生备份加密可以使得备份压缩几乎不受加密的影响,下面备份一个2.5G左右的测试库,指定压缩备份,第一个例子仅使用压缩备份,第2-4例子使用压缩备份+不同的压缩算法,测试语句如图3所示。

clip_image006

图3.测试语句

 

    图4看到,使用备份加密对数据库备份大小几乎毫无影响。

clip_image008

图4.不同的加密算法对备份压缩几乎毫无影响

 

clip_image010

图5.加密算法对备份的影响

 

    由图4和图5的结论可以得出,无论使用了何种加密算法,加密对压缩比率几乎毫无影响。

 

原生加密备份对性能的影响

 

    使用原生备份加密是一项极大的消耗CPU的操作,下面在图3的基础上进一步添加不压缩备份的情况,备份的时间如图6所示。

clip_image012

 

图6.不同压缩算法下备份时间

    由图6测试可以看出,除了3DES算法需要消耗的时间较长之外,AES算法在CPU不成为备份机瓶颈的情况下,对备份时间并无太大的影响。但加密对具体环境的影响会因环境而已,不同环境下的测试结果呈现可能会大相径庭,如果担心原生加密备份对性能产生影响,请先在具体环境进行测试。

 

小结

    SQL Server原声备份加密对数据安全提供了非常好的解决方案。使用原生备份加密基本不会增加备份文件大小,并且打破了使用透明数据加密后几乎没有压缩率的窘境。使用原生备份加密无论在将数据备份到异地数据中心,还是将数据备份到云端,都可以以非常低的成本对数据提供额外的安全保障。

分类: SQL Server2014新特性



本文转自CareySon博客园博客,原文链接:http://www.cnblogs.com/CareySon/p/3853016.html如需转载请自行联系原作者
相关文章
|
2月前
|
关系型数据库 MySQL 网络安全
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
|
4月前
|
SQL 存储 监控
SQL Server的并行实施如何优化?
【7月更文挑战第23天】SQL Server的并行实施如何优化?
98 13
|
4月前
|
SQL
解锁 SQL Server 2022的时间序列数据功能
【7月更文挑战第14天】要解锁SQL Server 2022的时间序列数据功能,可使用`generate_series`函数生成整数序列,例如:`SELECT value FROM generate_series(1, 10)。此外,`date_bucket`函数能按指定间隔(如周)对日期时间值分组,这些工具结合窗口函数和其他时间日期函数,能高效处理和分析时间序列数据。更多信息请参考官方文档和技术资料。
|
4月前
|
SQL 存储 网络安全
关系数据库SQLserver 安装 SQL Server
【7月更文挑战第26天】
58 6
|
4月前
|
存储 SQL C++
对比 SQL Server中的VARCHAR(max) 与VARCHAR(n) 数据类型
【7月更文挑战7天】SQL Server 中的 VARCHAR(max) vs VARCHAR(n): - VARCHAR(n) 存储最多 n 个字符(1-8000),适合短文本。 - VARCHAR(max) 可存储约 21 亿个字符,适合大量文本。 - VARCHAR(n) 在处理小数据时性能更好,空间固定。 - VARCHAR(max) 对于大文本更合适,但可能影响性能。 - 选择取决于数据长度预期和业务需求。
306 1
|
3月前
|
SQL 安全 Java
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client
432 0
|
4月前
|
SQL Oracle 关系型数据库
MySQL、SQL Server和Oracle数据库安装部署教程
数据库的安装部署教程因不同的数据库管理系统(DBMS)而异,以下将以MySQL、SQL Server和Oracle为例,分别概述其安装部署的基本步骤。请注意,由于软件版本和操作系统的不同,具体步骤可能会有所变化。
276 3
|
4月前
|
SQL 存储 安全
数据库数据恢复—SQL Server数据库出现逻辑错误的数据恢复案例
SQL Server数据库数据恢复环境: 某品牌服务器存储中有两组raid5磁盘阵列。操作系统层面跑着SQL Server数据库,SQL Server数据库存放在D盘分区中。 SQL Server数据库故障: 存放SQL Server数据库的D盘分区容量不足,管理员在E盘中生成了一个.ndf的文件并且将数据库路径指向E盘继续使用。数据库继续运行一段时间后出现故障并报错,连接失效,SqlServer数据库无法附加查询。管理员多次尝试恢复数据库数据但是没有成功。
|
4月前
|
SQL 监控 数据库
SQL Server 查询超时问题排查
【7月更文挑战第8天】排查 SQL Server 查询超时涉及五个主要方面:检查复杂查询、评估服务器性能、审视配置参数、更新统计信息和分析执行计划。关注点包括查询的结构(如连接、子查询和索引),服务器资源(CPU、内存、网络延迟),连接和内存设置,以及统计信息的时效性。通过这些步骤可定位并解决性能瓶颈。
114 0
|
4月前
|
SQL 存储 Oracle
TDengine 3.3.2.0 发布:新增 UDT 及 Oracle、SQL Server 数据接入
**TDengine 3.3.2.0 发布摘要** - 开源与企业版均强化性能,提升WebSocket、stmt模式写入与查询效率,解决死锁,增强列显示。 - taos-explorer支持geometry和varbinary类型。 - 企业版引入UDT,允许自定义数据转换。 - 新增Oracle和SQL Server数据接入。 - 数据同步优化,支持压缩,提升元数据同步速度,错误信息细化,支持表名修改。 - 扩展跨平台支持,包括麒麟、Euler、Anolis OS等。
114 0