Alternatives à SQL Server TDE

8

En raison du coût élevé de SQL Server Enterprise Edition qui inclut la fonction de chiffrement transparent des données, je recherche un produit alternatif et je n'ai trouvé que quelques options:

Quelqu'un pourrait-il fournir des détails sur son expérience avec l'un des produits ci-dessus (impact sur les performances, facilité d'utilisation, etc.)?

D'autres alternatives à SQL Server TDE?

Remarque: nous utilisons actuellement SQL Server 2008 R2 Standard Edition.

Matt F
la source

Réponses:

8

Nous avons plusieurs serveurs mixtes, utilisant le cryptage, selon les besoins de l'entreprise. Pour les serveurs très critiques, nous avons décidé de passer à l'édition Enterprise car il fournit non seulement TDE mais aussi d'autres avantages en termes de performances ou de dépannage.

Oui, TDE est assez efficace et très bon, mais comme il a un coût, nous avons décidé pour les entreprises de priorité moyenne et faible d'utiliser un outil tiers comme NetLib.

Je voudrais souligner quelques-uns de ses avantages, selon notre utilisation:

  • Fournit un chiffrement transparent des données et un chiffrement des colonnes pour toutes les versions de SQL Server de 2000 à 2014 et pour toutes les éditions de SQL Server d'Express via Enterprise. Le TDE de SQL Server est disponible uniquement dans l'édition Entreprise de SQL Server 2008 et versions ultérieures.
  • Facile à installer et à entretenir. Il nous a fallu à peine 5-6 minutes pour le faire, une fois que nous étions conscients de ce qui devait être fait.
  • Les clés de base de données sont stockées en dehors de SQL Server, y compris d'autres emplacements tels que le réseau, les supports amovibles, etc.
  • Le chiffrement transparent des données d'Encryptionizer n'a pratiquement aucun impact sur les performances de la base de données (<1%) sur un serveur de taille appropriée. Certains rapports de référence montrent que SQL Server TDE a un impact plus important sur les performances entre 5 et 10%.
  • Prise en charge de FILESTREAMS (SQL Server 2008 et SQL Server 2014).
  • Prend en charge les sauvegardes compressées SQL Server (AVEC COMPRESSION).
  • Possible de crypter les bases de données système, y compris la masterbase de données et la tempdbbase de données.

Je n'ai pas beaucoup entendu parler de DbDefence, mais oui, je crois qu'il prend en charge la réplication, l'envoi de journaux et la mise en miroir. Lisez ici pour plus d'informations.

Je crois que vous pouvez avoir un essai des produits ci-dessus et décider selon les besoins de l'entreprise qui convient le mieux à votre environnement.

KASQLDBA
la source
Merci pour votre réponse. Puis-je demander depuis combien de temps vous utilisez NetLib Encryptionizer? Quelque problème que ce soit?
Matt F
2
Environ 6 mois et n'en ai entendu aucun. Veuillez lire ici pour son travail complet qui nous a également aidé: sqlservercentral.com/articles/Product+Reviews/…
KASQLDBA
3
Avertissement: je viens de NetLib Security. Si les modérateurs me le permettent, je peux répondre à toutes les questions spécifiques que vous avez ici. Sinon, rendez-vous sur netlibsecurity.com et cliquez sur Contactez-nous et nous serons heureux de répondre à toutes vos questions.
Neil Weicher
3

J'ai dû récemment rechercher des informations pour crypter les données sans acheter l'édition Enterprise, ce qui est trop pour notre budget. Voici ce que j'ai trouvé:

Depuis SQL Server 2016 SP1, la fonctionnalité Always Encrypted est incluse dans les éditions express de SQL Server. Il ne fournit pas de cryptage de base de données complet comme TDE, DbDefence et NetLib Encryptionizer, vous devez définir les colonnes que vous souhaitez crypter. Mais cela a l'avantage de se faire automatiquement. Cela peut donc être une bonne alternative.

Une autre possibilité consiste à crypter directement les fichiers avec EFS ou BitLocker. Ces deux fonctionnalités sont incluses dans Windows.

Pour EFS, vous devez définir les fichiers que vous souhaitez crypter, et seul l'utilisateur qui a crypté les fichiers peut les lire / copier (vous devez donc utiliser le compte qui exécutera le service SQL Server.). Mais cela peut entraîner des problèmes de performances.

BitLocker crypte toute la base de données mais nécessite d'avoir un matériel spécifique: un module TPM dans le serveur.

Je n'ai pas encore testé DbDefence et Encryptionizer mais je mettrai à jour ma réponse lorsque je le ferai.

Loïc Lopes
la source
Qu'est-ce que l'EFS exactement?
TT.
2
Il s'agit d'un mécanisme de chiffrement de Windows effectué au niveau du système de fichiers. Il est disponible depuis Windows 2000 sur les éditions Professional ou Server (il ne fonctionne pas sur les éditions Home). Vous pouvez l'ajouter à un fichier uniquement grâce à ses propriétés.
Loïc Lopes
1

Comme vous l'avez souligné, il existe deux alternatives principales à TDE: Encryptionizer et DBDefence. Ils fonctionnent cependant très différemment: Encryptionizer se situe entre SQL Server et le système d'exploitation. DBDefence injecte du code dans le processus SQL en cours d'exécution à l'aide du SDK Detours (désormais disparu). Les deux prennent en charge toutes les versions et éditions de SQL Server. (Avertissement: je suis de NetLib Security ).

Neil Weicher
la source