Chuẩn bị TDE: sao lưu khóa / chứng chỉ để khôi phục

10

Tôi đang làm việc trong một môi trường dev để hiểu rõ hơn về TDEmã hóa. Tôi có nó hoạt động cùng với các bản sao lưu và khôi phục trên một máy chủ khác. Có một vài câu hỏi, tôi biết tôi cần sao lưu chứng chỉ bằng khóa riêng tương ứng.

USE master; 
GO 
BACKUP CERTIFICATE Test
TO FILE = 'C:\Test.cer'
WITH PRIVATE KEY
(FILE = 'C:\Test.pvk',
ENCRYPTION BY PASSWORD = 'Example12#')

Chúng cần được di chuyển / khôi phục trên máy chủ mới trong trường hợp xảy ra lỗi. Có bất cứ điều gì khác mà tôi cần sao lưu từ máy chủ nguồn cần thiết trong trường hợp cần khôi phục lại máy chủ khác không?

Ngoài ra bất kỳ đề nghị về lưu trữ khóa riêng? Tôi nghĩ lúc này là sao lưu chứng chỉ, khóa riêng và mật khẩu vào cơ sở dữ liệu KeePass được sao lưu riêng và sao chép ngoài trang web.

Điều đó đặt ra câu hỏi mặc dù sao lưu khóa riêng KeePass tới đâu?

sql-server  encryption  transparent-data-encryption 
Ngực
nguồn

Câu trả lời:

5

Nếu bạn muốn khôi phục trên một máy chủ khác, bạn sẽ có thể làm như vậy với chứng chỉ, khóa riêng và tệp sao lưu cơ sở dữ liệu.

Khi một chứng chỉ được tạo trong bất kỳ cơ sở dữ liệu nào trong SQL Server, nó là một phần của hệ thống phân cấp mã hóa . Chứng chỉ trong cơ sở dữ liệu chủ chỉ chứa khóa công khai, không cần bảo vệ, tuy nhiên, cơ sở dữ liệu chủ cũng sẽ chứa khóa riêng nhưng liên quan đến toán học cần được bảo vệ. Phương pháp bảo vệ khóa riêng là mã hóa nó bằng khóa chính của cơ sở dữ liệu mà bạn đã tạo trong cơ sở dữ liệu chính trước khi tạo chứng chỉ. Lớp tiếp theo trong hệ thống phân cấp mã hóa là DMK được mã hóa bằng khóa chính của dịch vụ. Chỉ có một SMK trên hệ thống và nó nằm trong cơ sở dữ liệu chủ.

Mặc dù bạn không cần DMK và SMK để khôi phục bản sao lưu được mã hóa sang máy chủ khác, tôi vẫn sẽ sao lưu hai khóa này vì nó giúp phục hồi linh hoạt hơn nhiều.

Khi bạn khôi phục chứng chỉ mã hóa sao lưu vào cơ sở dữ liệu chính, điều xảy ra đằng sau hậu trường là khóa riêng được đọc từ tệp, được giải mã bằng mật khẩu bạn cung cấp trong lệnh khôi phục, sau đó được mã hóa bằng khóa chính của cơ sở dữ liệu và được lưu. Như bạn đã biết, khóa riêng từ chứng chỉ có thể được sử dụng để giải mã Khóa mã hóa cơ sở dữ liệu trong tệp sao lưu và khôi phục thành công cơ sở dữ liệu.

Tôi không có đề xuất cụ thể để lưu trữ chứng chỉ và tệp sao lưu chính, nhưng chúng cần phải có sẵn cho bạn và bất cứ ai thực hiện khắc phục thảm họa trong tổ chức của bạn.

Michael Keleher
nguồn
1

Trong cuốn sách Bảo mật SQL Server của Denny Cherry, tôi đã tìm thấy một thực tiễn bảo mật tốt nhất để sao lưu các chứng chỉ:

  • Ghi các bản sao lưu chứng chỉ trên hai đĩa CD khác nhau
  • Đặt mỗi đĩa CD trong một phong bì dán kín và có chữ ký
  • Đánh dấu phong bì với những hệ thống mà các chứng chỉ này dành cho
  • Đặt một đĩa CD trong văn phòng an toàn của người quản lý công ty
  • Lưu trữ đĩa CD thứ hai tại một vị trí an toàn khác
Poldba
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.