ฉันต้องสำรองข้อมูล Service Master Key เมื่อใด

14

ฉันกำลังอ่านเอกสารและเอกสารทางเทคนิคเกี่ยวกับการเข้ารหัสข้อมูลแบบโปร่งใส เอกสารบางอย่างกล่าวถึงการสำรอง Service Master Key ด้วย (เพื่อความกระจ่างฉันไม่ได้พูดถึงคีย์หลักของฐานข้อมูล) ฉันไม่เข้าใจว่าทำไมถึงมีความจำเป็นเพราะฉันสามารถสำรอง / กู้คืนฐานข้อมูลด้วยการเข้ารหัส TDE จากเซิร์ฟเวอร์ A (สำรอง) ไปยังเซิร์ฟเวอร์ B (กู้คืน) โดยไม่ต้องใช้ Service Master Key ใด ๆ

ฉันต้องกู้คืน Service Master Key ในสถานการณ์ใด

sql-server  encryption  transparent-data-encryption 
gsharp
แหล่งที่มา
คุณแน่ใจหรือไม่ว่าคุณเปิดใช้งานการเข้ารหัสในฐานข้อมูลของคุณ? นอกจากนี้คุณสร้างการสำรองฐานข้อมูลหลังจากเปิดใช้งาน TDE หรือไม่
Thomas Stringer
ใช่ฉันทำ. ฉันต้องการใบรับรองและคีย์เพื่อเรียกคืนบนเซิร์ฟเวอร์ B. (ฉันทำสำเนาสำรองของใบรับรองและคีย์) อย่างไรก็ตามใน BI สร้างคีย์หลักใหม่ (ไม่คืนค่าจากเซิร์ฟเวอร์ A) และสามารถกู้คืนฐานข้อมูลของฉันได้
gsharp
หากคุณกู้คืนใบรับรอง TDE และไพรเวตคีย์บนเซิร์ฟเวอร์ B มันควรจะสามารถถอดรหัสฐานข้อมูล TDE ได้ คุณสามารถชี้ไปที่เอกสารที่คุณได้อ่านข้อกำหนดสำหรับ SMK ได้หรือไม่? อาจจะเป็นสิ่งที่เหมาะสมยิ่งขึ้น ...
รีมัส Rusanu
ฉันเห็นด้วยกับ @RemusRusanu ใบรับรองคือสิ่งที่ขับเคลื่อนการเข้ารหัส สำหรับ Service Master Key เป็นเพียงแนวทางปฏิบัติที่ดีที่สุดในการจัดการทั่วไปเพื่อสำรองข้อมูล (สิ่งที่ควรทำในตอนแรก) สำหรับ DR ผมเชื่อว่า
Thomas Stringer
1
@gsharp: เอกสารวิธีการสำรองข้อมูล SMK ฉันสนใจเอกสารประกอบที่อธิบายว่าเหตุใดจึงต้องมีการสำรองข้อมูล SMK เมื่อถ่ายโอนฐานข้อมูลที่เข้ารหัส TDE
Remus Rusanu

คำตอบ:

6

หากคุณกำลังพูดถึงคีย์หลักของบริการ SQL แสดงว่ามีเหตุการณ์ที่เกิดขึ้นได้ยากซึ่งคุณจำเป็นต้องกู้คืน

ฉันคิดว่าสองสถานการณ์ที่คุณต้องการคืนค่า SMK ...

  1. อย่างใดมันก็เสียหาย

  2. คุณกำลังสร้างเซิร์ฟเวอร์ SQL ขึ้นใหม่และวางแผนที่จะกู้คืนฐานข้อมูลทั้งหมดรวมถึงฐานข้อมูลระบบจากการสำรองข้อมูล โดยทั่วไปในกรณีนี้คุณอาจไม่จำเป็นต้องกู้คืน SMK หากคุณใช้บัญชีบริการ SQL และรหัสผ่านเดียวกัน

ใน TDE คุณไม่จำเป็นต้องเรียกคืน SMK อย่างที่ทุกคนพูดคุณแค่ต้องการใบรับรองและกุญแจส่วนตัว คุณไม่จำเป็นต้องมีคีย์หลักของฐานข้อมูลเดียวกันเช่นเดียวกับเมื่อคุณสร้างใบรับรองจากการสำรองข้อมูลมันจะถูกเข้ารหัสโดย DMK ของเครื่องปลายทาง

Arijit
แหล่งที่มา
2

เมื่อคุณย้ายฐานข้อมูล TDE ไปยังอินสแตนซ์ใหม่สิ่งที่คุณต้องมั่นใจคือใบรับรองที่ถูกต้อง (หรือคีย์ไม่สมมาตร) นั้นอยู่ในmasterฐานข้อมูลปลายทางด้วย หากคุณไม่ทำเช่นนี้คุณจะได้รับข้อผิดพลาดดังต่อไปนี้:

เกี่ยวกับข่าวสาร 33111 ระดับ 16 สถานะ 3 บรรทัด 2 ไม่พบใบรับรองเซิร์ฟเวอร์ด้วยรหัสประจำตัว '0xA085414434DB4A36B29 .................. '

ไม่ใช่ Service Master Key ที่ต้องการย้ายไปพร้อมกับการสำรองฐานข้อมูลที่เปิดใช้งาน TDE แต่จะเป็นใบรับรอง ตัวอย่างเช่นสมมติว่าคุณสร้าง DEK คุณ (ฐานข้อมูลคีย์การเข้ารหัส) ที่มีใบรับรองในmasterชื่อMyTDECert หากไม่มีใบรับรองนั้นในอินสแตนซ์ปลายทางของคุณคุณจะไม่สามารถกู้คืนฐานข้อมูลของคุณได้

Thomas Stringer
แหล่งที่มา
ใช่ชัดเจน คำถามของฉันคือทำไมมีความต้องการ (หรือเพื่อวัตถุประสงค์อะไร) เพื่อสำรองข้อมูลคีย์หลักของบริการ ดูtechnet.microsoft.com/en-us/library/aa337561
gsharp
-1

กรณีหนึ่งที่คุณต้องการสำรองและกู้คืน SMK คือเมื่อคุณอัพเกรดโทโพโลยีการจำลองแบบ

JYatesDBA
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.