TDE - Transparent Data Encryption

1,009 views

Published on

Apresentação feita no evento SQL Server Day em 2008

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,009
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Os seus dados estãorealmenteseguros? A sala de servidoresdasuaempresa é bemprotegida? Vocês tem um plano de backup bemelaborado, com cópias do backup emoutro local, foradaempresa? Um dos errosmaiscomunsnasempresas é nãoconheceraondeestãoos dados críticos. Normalmentetemosregrasrestritas de segurançaemnossosservidoresprincipais, emnossasala de servidores. Masnãoaplicamos a mesmaregraem um servidorsecundário de relatóriosquefica no departamento de marketing porexemplo, ounaquele backup quefoigravadoemumafita e entreguepara o motoboylevarpara o local seguroforadaempresaondevocêsarmazenamumacópia do backup paracasos de desastre. Cadaincidentedesses, custaemmédia U$287 mil para as empresassegundopesquisas. Porissopergunto de novo.. Os seus dados estãorealmenteseguros?
  • Legal.. Masentão.. O que é TDE e comoelepode me ajudar com osproblemasanteriores? TDE é um mecanismo de criptografiaem tempo real de IO dos arquivos de dados e de log. Ouseja, o TDE criptografaos dados fisicamente no disco, qndoelessãoescritos e osdescriptografaquandosão lidos. De forma transparentepara as aplicações, sem a necessidade de qualqueralteraçãonasaplicações… Dessa forma.. Mesmoquealguemconsigaroubar um disco do seuservidorou um backup os dados estarãocriptografados e nãoserápossívelleros dados sem as chaves de criptografiacorretas.
  • A palavra Encryption de TDE geramuitaconfusão, porissoesse slide é necessárioparadeixarbemclaroque o TDE não é umasoluçãocompleta de criptografia de dados. O objetivo do TDE é apenascriptografarosarquivos de dados e de log fisicamente, evitando o acessonãoautorizadoaos dados casoalguemtenhaacessoaosarquivos do bancoou um backup. Elenão serve paracriptografar dados sensitivosnatabela, comoporexemplonúmero do cartão de crédito. e tbmnãoiráimpedirque um usuárioouadministradorconsigafazer um SELECT nos dados. Assimcomotbmnãoirácriptografaros dados emmemória no servidor
  • A imagemnãoestámuito boa, masvamoslá:Essaimagemrepresenta a arquiteturaqueestáportrás do TDE. Emprimeirolugar, todainstancia do SQL Server tem o quechamamos de Service Master Key, que é umachavecriptográficacriadaquandoinstalamos o SQL Server no nossoservidor. Essachaveporsisó é criptografada a nível de sistemaoperacionalpelo DPAPI (Data protection API)A service master key é utilizadaparacriar e criptografar a Database Master Key, que é maisumachavecriptográficacriada no banco de dados MASTER. Sópodeexistir 1 database master key porinstancia.A database master key é utilizadaparacriar um certificado SSL na base de dados masterFeitoisso, a nível de banco de dados, teremos a Database Encryption Key (DEK), que é umachavesimétricacriptografada com o certificadocriadoanteriormente.Feitoisso, finalmentepodemosativar a criptografiananossa base de dados. Queiráentãoestarprotegidaportodaessaparafernalha de criptografiaQual o ponto de explicartudoisso? É somenteparaquevocêsentendamcomo o processofunciona, e comocadacomponente é importanteparaquetudofuncionecorretament.Maschega de teoria e vamosvercomo é simples colocartudoissoemprática
  • TDE - Transparent Data Encryption

    1. 1. Entendendo TDE Nome: Felipe Ferreira E-Mail: fferreira@solidq.com Titulações Comunidade
    2. 2. Agenda• Introdução• O que é TDE• O que o TDE NÃO faz!• Arquitetura• Demo• Considerações
    3. 3. Introdução• Os seus dados estão realmente seguros? – Segundo pesquisa realizada pela consultoria Applied Research, incidentes com perda de dados custam em torno de US$ 287 mil/incidente globalmente – Segundo pesquisa realizada pela Verizon um dos erros mais comuns na área de segurança é não aplicar aos backups e servidores secundários a mesma regra de segurança dos servidores principais da empresa
    4. 4. O que é TDE?• Transparent Data Encryption é um mecanismo de criptografia em tempo real dos arquivos de dados e de log
    5. 5. O que TDE NÃO faz…• TDE não é um substituto para a criptografia a nível de coluna• TDE não irá impedir que um usuário com acesso leia as informações do banco através de um SELECT• TDE não irá criptografar os dados em memória• TDE não criptografa a comunicação cliente/servidor
    6. 6. Arquitetura
    7. 7. DEMO
    8. 8. Considerações• Performance: – Overhead médio de 5% em consumo de CPU – A partir do momento que 1 base de dados esteja com o TDE habilitado, automaticamente a base tempDB também utilizará TDE, afetando a performance de todas os bancos do servidor
    9. 9. Considerações• Gerenciamento: – É OBRIGATÓRIO ter backup do certificado para poder restaurar a base de dados em outro servidor. Sem o certificado, a base está perdida! – A criptografia inicial da base pode consurmir muitos recursos e tempo dependendo do tamanho da base de dados – Para verificar o status da criptografia podemos usar a DMV sys.dm_database_encryption_keys
    10. 10. E mais considerações….• Dados FILESTREAM não são criptografados, mesmo que TDE esteja habilitado• Se você utiliza replicação tem que habilitar o TDE no distributor e subscribers manualmente caso queira que os dados sejam replicados criptografados• Em uma sessão de database mirroring ou log shipping as 2 bases serão criptografadas, assim como o log de transação enviados entre ambas• DB criptografados não compactam bem, por isso não é recomendado usar TDE junto com backup compression
    11. 11. Did you know?SQL Server Central has highly activeforums, where you can get a response toa question on SQL Server and othertopics in a matter of minutes.
    12. 12. Did you know?Simple-Talk.com has a wealth of articleswritten by industry experts on SQLServer, .NET and SysAdmin, with noregistration required to access eacharticle.
    13. 13. Did you know? “Red Gate Software sponsored SQL Server Day. We’d love to hear your comments and suggestions about our tools. To get in touch just email communities@red- gate.com" Annabel Bradford Red Gate Software
    14. 14. Obrigado ao Apoio
    15. 15. Obrigado ! Felipe Ferreira felipe.ff@msn.com

    ×