数据库是指按照数据结构来组织、存储和管理数据的“仓库”,而这个“仓库”的安全尤为重要,加密就是保护数据库安全的最佳选择。目前针对数据库的加密方法有很多,今天我们就来了解其中的一种,名为“TDE透明数据加密技术”。
TDE透明数据加密技术简介
透明数据加密的英文名为Transparent Data Encryption,简称为TDE,是在数据库内部透明实现数据存储加密、访问解密的技术,Oracle、SQL Server、MySQL等数据库默认内置此功能。数据在落盘时加密,在数据库内存中是明文,当攻击者“拔盘”窃取数据,由于数据库文件无法获得密钥而只能获取密文,从而起到保护数据库中数据的效果。
TDE使用数据库加密密钥或DEK实时进行输入/输出数据加密和解密。包括SQL数据库的任何数据文件、数据库的任何日志文件、数据库备份文件、数据库快照文件以及TempDB数据库中的任何数据都可以通过TDE保护。
TDE透明数据加密技术的应用场景
透明数据加密技术适用于对数据库中的数据执行实时加解密的应用场景,尤其是在对数据加密透明化有要求,以及对数据加密后数据库性能有较高要求的场景中。在实际使用中,可根据Oracle等内置TDE的密钥管理接口,将默认“软密钥钱包”升级为外部密钥管理系统,以增强密钥安全性。
TDE透明数据加密技术的优点
- 独立权控体系
与数据库外挂加密类似,使用插件形式的透明数据加密技术,同样可以在外置的安全服务中提供独立于数据库自有权控体系之外的权限控制体系。
- 性能损耗较低
透明数据加密技术只对数据库引擎的存储管理层进行了性能增强,不影响数据库引擎的语句解析和优化等处理过程,数据库自身性能得以更好保留,透明数据加密技术在数据库加密技术中,性能损耗较低。
TDE透明数据加密技术的缺点
- 防护颗粒度较粗
TDE本身是一种落盘加密技术,数据在内存中处于明文状态,需要结合其他访问控制技术使用。在实战场景中难以防范DBA等风险。
- 数据库类型适用性上有限制
透明数据加密因使用插件技术,对数据库的版本有较强依赖性,且仅能对有限几种类型的数据库实现透明数据加密插件,在数据库类型适用性上有一定限制。
免责声明:素材源于网络,如有侵权,请联系删稿。
