Sql server TDE与磁盘加密建议

我们是一家小型企业，为客户托管应用程序和数据。 我们的一些客户要求我们使用“静态加密”来保护他们的数据，尽管他们是否知道这到底意味着什么还不是很清楚

数据当前位于运行SQL Server标准的Azure VM上

我们可以选择使用TDE，但这仅在SQL Enterprise中可用，额外的许可成本对我们来说是相当大的

另一种是在现有的SQL标准VM上免费使用Azure磁盘加密

在向客户机保证其数据在静止状态下被加密时，使用TDE和磁盘加密的结果是否有很大的实际差异

---

我应该考虑哪些区别？

静态数据包括以任何数字格式驻留在物理媒体上的持久存储中的信息。介质可以包括磁性或光学介质上的文件、归档数据和数据备份

TDE和磁盘加密可以防范不同（尽管相似）的风险。通过磁盘或文件加密，具有文件访问权限的计算机用户可以将数据库（mdf、ndf、ldf）文件复制到另一台计算机，并对其进行解密。然后以管理员身份将文件附加到其他SQL Server并读取所有内容。也许这是由一个无赖的备份操作员完成的

启用TDE后，新SQL Server将无法读取将使用新SQL Server不知道的密钥加密的文件

正如您所提到的，TDE是一项仅限SQL Server企业版的功能，因此，如果您负担不起购买企业许可证的费用，Azure磁盘加密可能是您在SQL Server VM上的最佳选择

---

如果您可以考虑将您的CasuMerver数据库从IaaS迁移到PaaS（Azure SQL数据库DTU模型），那么您可以将TDE作为服务的一部分，而不必支付SQLServer许可证，节省数千美元的许可费，节省了安全功能，并节省了用于备份的存储磁盘。（您可以免费使用PaaS提供的35天备份）。

静态数据包括驻留在物理介质上的永久性存储中的信息，可以是任何数字格式。介质可以包括磁性或光学介质上的文件、存档数据和数据备份

TDE和磁盘加密可以防范不同（尽管相似）的风险。使用磁盘或文件加密，可以访问文件的计算机用户可以复制数据库（mdf、ndf、ldf）文件到另一台计算机，对其进行解密。然后以管理员身份将文件附加到另一台SQL Server并读取所有内容。这可能是由恶意备份操作员完成的

启用TDE后，新SQL Server将无法读取将使用新SQL Server不知道的密钥加密的文件

正如您所提到的，TDE是一项仅限SQL Server企业版的功能，因此，如果您负担不起购买企业许可证的费用，Azure磁盘加密可能是您在SQL Server VM上的最佳选择

---

如果您可以考虑将您的CasuMerver数据库从IaaS迁移到PaaS（Azure SQL数据库DTU模型），那么您可以将TDE作为服务的一部分，而不必支付SQLServer许可证，节省数千美元的许可费，节省了安全功能，并节省了用于备份的存储磁盘。（您可以免费使用PaaS提供的35天备份）.

有两个第三方工具为从Express到Enterprise的所有版本的SQL Server提供TDE。其中一个是我们的：用于SQL Server的NetLib Encryptimizer。免责声明，我来自于有两个第三方工具为从Express到Enterprise的所有版本的SQL Server提供TDE。其中一个是我们的：NetLib EncryptimizerSQL Server加密程序。免责声明，我来自