Alexander UsА если будет похищен весь сервер со включённым TDE для базы "XYZ"?
Может ли злоумышленник получить доступ у данным базы "XYZ"?

Т.е.:
1) помогает ли TDE в случае похищения SQL сервера?
2) помогает ли TDE в случае похищения SQL сервера и контроллера домена?

не помогает в обоих упомянутых случаях

не используйте локальные диски, если у вас сервер могут физически увести

Alexander Uskomradне помогает в обоих упомянутых случаях
не используйте локальные диски, если у вас сервер могут физически увести
Увы, базы большие, перенос в сеть будет слишком затратным.

в смысле? в какую сеть?

Alexander UsПравильно ли я понял: если крадут файл то TDE помогает, а если крадут сервер то не помогает?
Не поделитесь ли ссылкой или объяснением почему не помогает?

если у вас ушёл сервер с дисками, то не проблема его включить, получить доступ админа в винду (полагаю, что можно), далее становитесь сисадмином на сиквеле и все данные ваши

Alexander UsИ, в случае кражи сервера с базой , защтщённой TDE какова сложность взлома?
нулевая, подразумевается что master с сертификатом и ключем тоже ушел комплектом


ссылки почитать:
https://www.red-gate.com/simple-talk/sql/sql-development/encrypting-sql-server-transparent-data-encryption-tde/
https://blogs.msdn.microsoft.com/sqlsecurity/2016/10/05/feature-spotlight-transparent-data-encryption-tde/

Alexander Uskomradне используйте локальные диски, если у вас сервер могут физически увестиИзвините, туплю: а какие диски использовать?
гулите на тему "san storage"

Alexander UsВот, наткнулся на статью где разносят TDE в пух и прах:
https://simonmcauliffe.com/technology/tde/

ну, справедливости ради, стоит заметить, что сжатые бэкапы шифрованных баз поддерживаются с SQL2016
https://blogs.msdn.microsoft.com/sql_server_team/backup-compression-for-tde-enabled-databases-important-fixes-in-sql-2016-sp1-cu4-and-sql-2016-rtm-cu7/

в общем, применять какое-либо решение стоит осознавая все его плюсы и минусы

в вашем случае, полагаю, достаточно будет физически разделить сервер и диски с данными

Alexander UsУ Вас наверное похожие вопросы на повестке?
не заметил подобной активности
вероятно, банки это не особо затронуло по причине изначальной повышенной секьюрности

Alexander Us
Суть её в том, что достаточно сделать папку C:\Windows\System32\Microsoft\Protect\S-1-5-18 доступной для чтения только сисадимнам.
Недостаток в том, что на физ. машине можно будет запускать только sql server, но не другие приложения, использующие штфрование.


суть в том, что надо ограничить доступ к этой папке;выдать только тем эккаунтам, которым нужно использовать шифрование
с случае выделенного сервера - учетке сиквела, ну и админам

0wlkomrad,

Может я чего-то не понял в статье, но ведь это же не спасает от возможности зайти админом, стать владельцем папки и спокойно ее прочитать. То есть, в случае с маски-шоу приглашенный эксперт сможет ломануть шифрование конфискованного сервера. Или я неправ?

Если дальше рассуждать, надо дальше защищать хранилище ключа с помощь какого-нибудь BitLocker.
в случае маски-шоу, надо разносить физические носители с файлами баз и сам сервер в пространстве
имея комплект "сервер+диски" можно получить доступ к данным

не имея дисков, такого доступа получить, очевидно, нельзя ... не считая способов термального криптоанализа

AndrFРазве админ готов присесть на несколько лет за участие в организованной преступной группировке - его зарплата оправдывает это?

админ может не знать где диски
всё что он видит - сэновские LUN-ы, презентованные операционке
куда там идет оптика, как она идет - не его компетенция

ОПГ - это вердикт суда, админ устроился в легальную лавку и не способен оценить степень её "преступности" с улицы

[quot Lepsik]komradпропущено...


Если вывести спутник с сервером на геостационарную орбиту - там даже американский шатл не достанет.

transaction delay будет космическим

Alexander UsВот ещё вопрос:

если TDE включено, то на старых версиях типа SQL2008 не будет работать сжатие бэкапов.

Есть ли какие нибудь тулы, котрые могут создавать сжатые бэкапы зашифрованных баз (для старых версий типа SQL2008 ) ?

Например:
winzip & Co
Redgate SQL backup и прочие подобные

Alexander Uskomrad,

Вы не путаете?
Вы полагаете "Redgate SQL backup и прочие подобные" могут создать сжатый бэкап DTE зашифрованной базы?
никто же не запрещает жать шифрованные данные
просто они плохо поддаются такому воздействию из-за своей природы

https://forum.red-gate.com/discussion/12609/can-sql-backup-backup-a-database-that-is-using-tde

что такое сжатие?
это поиск повторяющихся паттернов и их замена на что-то более малое, на ссылку (устранение избыточности)
в шифрованных файлах таких повторяющихся паттернов гораздо меньше, чем в обычных
отсюда и сжатие невелико

Alexander Uskomradникто же не запрещает жать шифрованные данные
просто они плохо поддаются такому воздействию из-за своей природы...
отсюда и сжатие невелико

komrad,
ну это же и так понятно.
Меня интересует "эффективное" сжатие.

Может есть тулы, которые могут TDE базу с SQL2008 бэкатить так, как это может SQL2014: с настоящим сжатием?

только sql2016+ умеет делать сжатые бекапы шифрованных баз

альтернативные сторонние тулзы для ранних версий мне неизвестны

Alexander UsНо нативный SQL Backup начиная с 2014 такой бэкап делает.

https://blogs.msdn.microsoft.com/sqlcat/2016/06/20/sqlsweet16-episode-1-backup-compression-for-tde-enabled-databases/