Azure SQL 数据库透明数据加密 (TDE) + 始终加密安全吗？

Question

我很好奇是否有人知道您是否可以同时结合透明数据加密 (TDE) 和 Always Encrypted 列级加密而不会造成问题？

TDE 加密整个数据库，但数据库管理员仍然可以查看表数据。而 Always Encrypted 通过加密存储在表中的值来保护我们员工的数据。但是我们只需要通过这种方式保护几列。

我了解到在 Always Encrypted 列上执行压缩等操作是有风险的。所以我想知道是否可以使用 Always Encrypted 将 TDE 添加到数据库中？我不想冒险破坏数据。

谢谢

Answer 1

我不明白为什么那行不通。 TDE 和 Always Encrypted 基本上是不同的方法：

• TDE 对数据文件进行编码，并且（恕我直言）使用它的唯一原因是防止物理文件被盗时数据泄露
• 始终加密使用公钥-私钥加密列中的数据，因此即使您知道登录/传递到数据库 - 您仍然需要私钥来解码数据；它用于信用卡等敏感数据

当您同时使用两者时 - 您在列中保存了编码数据文件中的编码数据。

我了解到在 Always Encrypted 列上执行压缩等操作是有风险的

我找不到任何对此的引用。您可能会误以为压缩加密数据是没有意义的。

Microsoft about TDE backup compression:

加密数据的压缩率明显低于同等的未加密数据。如果使用 TDE 加密数据库，备份压缩将无法显着压缩备份存储。因此，不建议同时使用 TDE 和备份压缩。

Microsoft about Always Encrypted compression:

加密数据不能压缩，但压缩数据可以加密。如果你使用压缩，你应该在加密之前压缩数据