wizliВсем привет!

Писал эту тему в соседней ветке, но мне посоветовали написать именно в эту.

Приступлю сразу к делу. Есть база, где находится крайне конфидициальная информация, и необходимо ее зашифровать, в том числе и от DBA.
Расшифрованные данные должны видеть только юзеры, по средством отчетности. Задача свести к минимуму риск утечки информации.

База стоит на стеке технологий MS. Планирую реализовывать шифрования внутренними средствами, но хотелось бы узнать про внешние возможности. Потому что внутренний стек не дает полную защиту, довольно много дыр. Плюс тяжко защищаться от DBA))

В первую очередь рассматриваю коммерчиские продукты, с поддержкой и так далее.


1) А упралять политикой работы с ключами тоже будут "конечные пользователи"? да? каждый ключ иметь дату экспирации. ключи нужно менять. Кто этим будет заниматься? "конечные пользователи" или все таки админы?

2) Я никогда в жизни не поверю что шифровать нужно именно всю БД. Ряд столбцов - возможно, но всю БД?!!! Вы себе представляете как это может убить производительность системы

а так вообще есть Transparent Data Encryption (TDE) https://msdn.microsoft.com/en-us/library/bb934049.aspx
да поможет гугл

Мораль сей басни такова: шифровать имеет смысл бекапы, а ставить зашиту от своих же админов это как врать врачу перед операцией. Выделите 1-2 админов - всем другим закрыть доступ.

Шифрование данный приведет к постоянному фул скану, при больших объемах данный и больших выборок, а особенно в отчетности - даже самое сильное железо может превратиться в однопользовательскую систему