การเตรียม TDE: การสำรองคีย์ / ใบรับรองสำหรับการกู้คืน

10

ฉันทำงานในสภาพแวดล้อมแบบ dev เพื่อทำความเข้าใจกับTDEการเข้ารหัส ฉันได้ทำงานกับการสำรองข้อมูลและคืนค่าบนเซิร์ฟเวอร์อื่น มีคำถามสองสามข้อฉันรู้ว่าฉันต้องสำรองข้อมูลใบรับรองด้วยรหัสส่วนตัวที่เกี่ยวข้อง

USE master; 
GO 
BACKUP CERTIFICATE Test
TO FILE = 'C:\Test.cer'
WITH PRIVATE KEY
(FILE = 'C:\Test.pvk',
ENCRYPTION BY PASSWORD = 'Example12#')

จำเป็นต้องย้าย / คืนค่าเหล่านี้บนเซิร์ฟเวอร์ใหม่ในกรณีที่เกิดความล้มเหลว มีอะไรอีกบ้างที่ฉันจำเป็นต้องสำรองข้อมูลจากเซิร์ฟเวอร์ต้นทางที่จะต้องใช้ในกรณีที่จำเป็นต้องกู้คืนไปยังเซิร์ฟเวอร์อื่นหรือไม่

ข้อเสนอแนะใด ๆ เกี่ยวกับการจัดเก็บคีย์ส่วนตัว? ความคิดของฉันในตอนนี้คือการสำรองใบรับรองกุญแจส่วนตัวและรหัสผ่านไปยังฐานข้อมูล KeePass ที่สำรองแยกต่างหากและทำซ้ำนอกไซต์

นั่นทำให้คำถามว่าจะสำรองคีย์ส่วนตัวของ KeePass ไปที่ใด

sql-server  encryption  transparent-data-encryption 
ธ อริน
แหล่งที่มา

คำตอบ:

5

หากคุณต้องการกู้คืนบนเซิร์ฟเวอร์อื่นคุณควรจะทำเช่นนั้นกับใบรับรองคีย์ส่วนตัวและไฟล์สำรองฐานข้อมูล

เมื่อใบรับรองถูกสร้างขึ้นในฐานข้อมูลใด ๆ ใน SQL Server มันเป็นส่วนหนึ่งของลำดับชั้นของการเข้ารหัส ใบรับรองในฐานข้อมูลหลักนั้นมีคีย์สาธารณะเท่านั้นซึ่งไม่ต้องการการป้องกันอย่างไรก็ตามฐานข้อมูลต้นแบบจะมีรหัสส่วนตัวแยกต่างหาก แต่เกี่ยวข้องกับหลักทางคณิตศาสตร์ซึ่งจำเป็นต้องได้รับการป้องกัน วิธีการป้องกันคีย์ส่วนตัวคือการเข้ารหัสโดยใช้คีย์หลักของฐานข้อมูลที่คุณสร้างในฐานข้อมูลหลักก่อนที่จะสร้างใบรับรอง เลเยอร์ถัดไปในลำดับชั้นการเข้ารหัสคือ DMK นั้นถูกเข้ารหัสโดยคีย์หลักของบริการ มี SMK เพียงระบบเดียวเท่านั้นและอยู่ในฐานข้อมูลหลัก

แม้ว่าคุณไม่จำเป็นต้องใช้ DMK และ SMK เพื่อกู้คืนข้อมูลสำรองที่เข้ารหัสไปยังเซิร์ฟเวอร์อื่นฉันก็จะสำรองข้อมูลสองปุ่มนี้เนื่องจากมันทำให้การกู้คืนมีความยืดหยุ่นมากขึ้น

เมื่อคุณกู้คืนใบรับรองการเข้ารหัสลับการสำรองข้อมูลไปยังฐานข้อมูลหลักสิ่งที่เกิดขึ้นเบื้องหลังคือรหัสส่วนตัวถูกอ่านจากไฟล์ถอดรหัสโดยใช้รหัสผ่านที่คุณให้ไว้ในคำสั่งกู้คืนจากนั้นเข้ารหัสโดยใช้คีย์หลักฐานข้อมูลและบันทึก อย่างที่คุณทราบรหัสส่วนตัวจากใบรับรองนั้นสามารถใช้ในการถอดรหัสคีย์การเข้ารหัสฐานข้อมูลในไฟล์สำรองข้อมูลและกู้คืนฐานข้อมูลได้สำเร็จ

ฉันไม่มีคำแนะนำเฉพาะสำหรับการจัดเก็บใบรับรองและไฟล์สำรองคีย์ แต่พวกเขาจำเป็นต้องมีให้สำหรับคุณและใครก็ตามที่กู้คืนระบบจากภัยพิบัติในองค์กรของคุณ

Michael Keleher
แหล่งที่มา
1

ในหนังสือของ Denny Cherry การรักษาความปลอดภัย SQL Server ฉันพบแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับการสำรองข้อมูลใบรับรอง:

  • เบิร์นการสำรองข้อมูลใบรับรองบนซีดีสองแผ่นที่แตกต่างกัน
  • วางซีดีแต่ละแผ่นในซองที่ปิดผนึกและเซ็นชื่อ
  • ทำเครื่องหมายซองจดหมายด้วยระบบที่ใช้ใบรับรองเหล่านี้
  • วางแผ่นซีดีหนึ่งแผ่นไว้ในที่ทำงานที่ปลอดภัยของผู้จัดการของ บริษัท
  • เก็บซีดีแผ่นที่สองไว้ที่อื่นในที่ปลอดภัย
Poldba
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.