Alternative a TDE di SQL Server

A causa dell'elevato costo di SQL Server Enterprise Edition, che include la funzionalità di crittografia dei dati trasparente, sto cercando un prodotto alternativo e ho trovato solo un paio di opzioni:

• DbDefence
• NetLib Encryptionizer

Qualcuno potrebbe fornire i dettagli della propria esperienza con uno dei prodotti di cui sopra (impatto sulle prestazioni, facilità d'uso, ecc.)?

Altre alternative a TDE di SQL Server?

Nota: attualmente stiamo utilizzando SQL Server 2008 R2 Standard Edition.

Disponiamo di alcuni server misti che utilizzano la crittografia, a seconda delle esigenze aziendali. Per server molto critici, abbiamo deciso di eseguire l'upgrade alla versione Enterprise in quanto non solo fornisce TDE ma anche altri vantaggi quando si tratta di prestazioni o risoluzione dei problemi.

Sì, TDE è abbastanza efficace e molto buono, ma dato che ha un costo abbiamo deciso che le aziende con priorità media e bassa utilizzino uno strumento di terze parti come NetLib.

Vorrei sottolineare alcuni dei suoi vantaggi, per il nostro utilizzo:

• Fornisce crittografia trasparente dei dati e crittografia delle colonne per tutte le versioni di SQL Server dal 2000 al 2014 e per tutte le edizioni di SQL Server da Express a Enterprise. TDE di SQL Server è disponibile solo nell'edizione Enterprise di SQL Server 2008 e versioni successive.
• Facile da installare e mantenere. Ci sono voluti appena 5-6 minuti per farlo, una volta che eravamo consapevoli di cosa bisogna fare.
• Le chiavi del database sono archiviate al di fuori di SQL Server, inclusi percorsi alternativi come rete, supporti rimovibili, ecc.
• La crittografia trasparente dei dati di Encryptionizer non ha praticamente alcun impatto sulle prestazioni del database (<1%) su un server di dimensioni adeguate. Alcuni report di benchmark mostrano che SQL Server TDE ha un impatto maggiore sulle prestazioni tra il 5-10%.
• Supporto per FILESTREAMS (SQL Server 2008 e SQL Server 2014).
• Supporta backup compressi di SQL Server (CON COMPRESSIONE).
• È possibile crittografare i database di sistema inclusi il masterdatabase e il tempdbdatabase.

Non ho sentito molto su DbDefence, ma sì, credo che supporti la replica, il log shipping e il mirroring. Leggi qui per maggiori informazioni.

Credo che tu possa avere una prova dei prodotti di cui sopra e decidere secondo le esigenze aziendali che si adattano meglio al tuo ambiente.

Di recente ho dovuto cercare informazioni per crittografare i dati senza acquistare l'Enterprise Edition, che è troppo per il nostro budget. Ecco cosa ho trovato:

Da SQL Server 2016 SP1, la funzionalità Always Encrypted è inclusa nelle edizioni express di SQL Server. Non fornisce la crittografia dell'intero database come TDE, DbDefence e NetLib Encryptionizer, devi definire le colonne che vuoi crittografare. Ma ha il vantaggio di essere fatto automaticamente. Può quindi essere una buona alternativa.

Un'altra possibilità è quella di crittografare direttamente i file con EFS o BitLocker. Queste due funzionalità sono incluse in Windows.

Per EFS, è necessario definire i file che si desidera crittografare e solo l'utente che ha crittografato i file può leggerli / copiarli (quindi è necessario utilizzare l'account che eseguirà il servizio SQL Server.). Ma può portare problemi di prestazioni.

BitLocker crittografa l'intero database ma richiede un hardware specifico: un modulo TPM nel server.

Devo ancora testare DbDefence e Encryptionizer ma aggiornerò la mia risposta quando lo farò.

Come hai sottolineato, esistono due alternative principali a TDE: Encryptionizer e DBDefence. Funzionano in modo molto diverso: Encryptionizer si trova tra SQL Server e il sistema operativo. DBDefence inietta il codice nel processo SQL in esecuzione utilizzando l'SDK Deviazioni (ora defunto). Entrambi supportano tutte le versioni e le edizioni di SQL Server. (Dichiarazione di non responsabilità: vengo da NetLib Security ).