Trong SQL Server 2016, sự khác biệt giữa Mã hóa dữ liệu luôn được mã hóa và trong suốt là gì?

Khi tôi viết bài này, tôi vẫn đang chờ bản phát hành chính thức của SQL Server 2016 để chúng tôi có thể khám phá tính hữu ích của tính năng "Luôn được mã hóa" của nó.

Tôi chỉ muốn biết sự khác biệt cụ thể giữa Luôn được mã hóa & Mã hóa dữ liệu trong suốt hiện có trong SQL Server 2016 để chúng tôi có thể đưa ra quyết định chính xác cho các dự án trong tương lai.

Nhược điểm của mã hóa dữ liệu trong suốt so với luôn được mã hóa:

• Chỉ bảo vệ dữ liệu khi nghỉ ngơi - sao lưu và tệp dữ liệu là "an toàn" nhưng dữ liệu chuyển động hoặc trong bộ nhớ dễ bị tổn thương
• Toàn bộ cơ sở dữ liệu
• Tất cả dữ liệu được mã hóa theo cùng một cách

• Nén sao lưu có thể mất nhiều thời gian hơn và phản tác dụng

  • Thực tế, có một số cải tiến ở đây trong SQL Server 2016 đã thách thức những gì chúng ta thường biết về việc cố gắng nén dữ liệu được mã hóa - nó tốt hơn nhiều so với các phiên bản trước, nhưng có lẽ vẫn tệ hơn là chỉ mã hóa một số cột (chưa được kiểm tra)
• tempdb cũng kế thừa mã hóa - duy trì ngay cả sau khi tắt TDE
• Yêu cầu phiên bản doanh nghiệp
• Dữ liệu luôn có thể truy cập vào sysadmin

Luôn được mã hóa giải quyết tất cả các vấn đề này một phần hoặc toàn bộ:

• Dữ liệu được bảo vệ khi nghỉ ngơi, trong chuyển động và trong bộ nhớ - kiểm soát nhiều hơn đối với certs, khóa và chính xác ai có thể giải mã dữ liệu
• Có thể chỉ là một cột duy nhất
• Loại mã hóa là một lựa chọn:
  • Có thể sử dụng mã hóa xác định để hỗ trợ các chỉ mục và tra cứu điểm (giả sử, SSN)
  • Có thể sử dụng mã hóa ngẫu nhiên để bảo vệ cao hơn (giả sử số thẻ tín dụng)
• Vì nó không phải là toàn bộ cơ sở dữ liệu, nên việc nén sao lưu không nhất thiết bị ảnh hưởng - tất nhiên bạn càng mã hóa nhiều cột, bạn càng gặp nhiều may mắn
• tempdb chưa được giải quyết
• Kể từ SQL Server 2016 Gói dịch vụ 1, Luôn được mã hóa hiện hoạt động trong tất cả các phiên bản
• Dữ liệu có thể được bảo vệ khỏi sysadmin (nhưng không phải sysadmin VÀ quản trị viên bảo mật / cert / key của Windows, nói cách khác, bạn có thể tách rời trách nhiệm miễn là hai nhóm đó không thông đồng)

Tuy nhiên, có một hạn chế và đó là không phải tất cả các trình điều khiển và ứng dụng có thể xử lý trực tiếp dữ liệu được mã hóa, do đó, trong một số trường hợp, điều này sẽ yêu cầu cập nhật / thay đổi trình điều khiển và / hoặc sửa đổi mã.

Nói một cách đơn giản, TDE là dữ liệu được mã hóa ở phần còn lại (Trên đĩa) và AE cũng là dữ liệu được mã hóa trên dây.