Databeskyttelse er afgørende for at sikre, at din organisation er i overensstemmelse med lovgivningsmæssige overholdelsesstandarder som GDPR og for at imødekomme dine kunders og forretningspartneres forventninger. Ikke kun kan databrud resultere i store bøder, men omdømmeskader kan være lige så store. For at hjælpe understøtter Microsoft server 5 forskellige former for kryptering til beskyttelse af data. Denne artikel forklarer hver af dem, og hvor de skal bruges.

SSL-transportkryptering

ligesom hjemmesider, der sikrer trafik mellem server og server, kan SSL-Server konfigureres til at bruge Secure Sockets Layer (SSL) til at kryptere trafik, når den bevæger sig mellem serverforekomsten og klientapplikationen. Derudover kan klienten validere serverens identitet ved hjælp af serverens certifikat. SSL beskytter kun data, når de bevæger sig på tværs af netværket, men i modsætning til de fleste andre former for SSL-serverkryptering er SSL tilgængelig i alle understøttede versioner af SSL-serveren og i alle udgaver.

før du aktiverer SSL, skal du installere et certifikat på serveren. Den bedste måde at gøre dette på er ved at anmode om et certifikat fra din egen virksomhedscertificeringsmyndighed (CA). Du kan konfigurere klienter, så de har tillid til de certifikater, den udsteder. Alternativt er det muligt at bruge selvsignerede certifikater, selvom dette er bedst egnet til testmiljøer.gennemsigtig datakryptering (TDE)

gennemsigtig datakryptering (TDE) i Server beskytter data i hvile ved at kryptere databasedata og logfiler på disken. Det fungerer gennemsigtigt til klient eksisterende applikationer, så de ikke behøver at blive ændret, når TDE er aktiveret. TDE bruger realtidskryptering på sideniveau. Sider krypteres, før de skrives til disken, uden at øge størrelsen på dine data og logfiler, og sider dekrypteres, når de læses i hukommelsen. TDE er kun tilgængelig i Enterprise-udgaver af . Det fungerer også for en database, et datalager og et parallelt datalager.

TDE-kryptering har en hierarkisk struktur, hvor Data Protection API (Dpapi) sidder oven på hierarkiet og bruges til at kryptere servicemasternøglen (SMK). Du kan bruge SMK til at kryptere legitimationsoplysninger, sammenkædede serveradgangskoder og database master keys (DMK ‘ er), der er bosiddende i forskellige databaser. En DMK er en symmetrisk nøgle, der beskytter de private nøgler til certifikater og asymmetriske nøgler, der er gemt i databaser.Server kan generere selvsignerede certifikater til brug med TDE, eller du kan anmode om et certifikat fra en CA (som er den mere almindelige tilgang). Hvis du beslutter at aktivere TDE, skal du sikkerhedskopiere certifikatet og den private nøgle, der er knyttet til certifikatet. Du skal gendanne eller vedhæfte databasen på en anden server. Hvis du aktiverer TDE på en anden SERVERDATABASE, krypteres tempdb-systemdatabasen også. Hvis du deaktiverer TDE, skal du beholde certifikatet og den private nøgle, fordi dele af transaktionsloggen kan forblive krypteret, indtil du udfører en fuld sikkerhedskopi.

TDE kræver også en DATABASEKRYPTERINGSNØGLE (DEK), som enten er en symmetrisk nøgle, der er beskyttet ved hjælp af et certifikat, der er gemt i masterdatabasen, eller en asymmetrisk nøgle, der er beskyttet af en tjeneste, der bruger udvidelig nøgleadministration (EKM), f.eks. Sikkerhedskopifiler af TDE-aktiverede databaser krypteres ved hjælp af DEK, så under gendannelsesoperationer skal certifikatet, der beskytter DEK, være tilgængeligt.

symmetriske nøgler bruger den samme adgangskode til at kryptere og dekryptere data. Asymmetriske nøgler bruger en adgangskode til at kryptere data (offentlig nøgle) og en anden adgangskode til at dekryptere data (privat nøgle). Du kan bruge kommandoen Opret certifikat til at oprette certifikater og kommandoerne Opret symmetrisk nøgle og opret asymmetrisk Nøgletransakt til at oprette databasekrypteringsnøgler.

Backup-kryptering

Backup-kryptering fungerer som TDE, men krypterer sikkerhedskopier i stedet for de aktive data og logfiler. Backup kryptering er tilgængelig i Server 2014 og senere. Du kan angive AES 128, AES 192, AES 256 eller Triple DES-kryptering og bruge enten et certifikat eller en asymmetrisk nøgle, der er gemt i EKM. Derudover er det muligt at aktivere TDE og Backup-kryptering samtidigt, selvom du skal bruge forskellige certifikater eller nøgler.

ligesom med TDE, hvis du aktiverer Backup-kryptering, skal du også sikkerhedskopiere certifikatet eller nøglen. Uden nøglen eller certifikatet kan sikkerhedskopifilen ikke bruges til at gendanne data. Sikkerhedskopier kan også krypteres, når du bruger Server Managed Backup til Microsoft.

det er værd at bemærke, at hvis du bruger et certifikat til at kryptere sikkerhedskopier, skal du have det originale certifikat, når du gendanner data. Det betyder, at certifikatet skal have det samme fingeraftryk, som da sikkerhedskopien blev oprettet. Fornyelse af certifikater eller ændring af dem på nogen måde kan medføre, at fingeraftrykket ændres.

kryptering på kolonne/celleniveau

kryptering på celleniveau kan aktiveres i kolonner, der indeholder følsomme data. Dataene krypteres på disken og forbliver krypteret i hukommelsen, indtil DECRYPTBYKEY-funktionen bruges til at dekryptere den. Derfor er det ikke sikkert ud over blot at bruge en funktion i brugerkonteksten til at dekryptere det, selvom dataene er krypteret. Derudover, fordi en funktion er nødvendig for at dekryptere dataene, skal klientapplikationer ændres for at arbejde med kryptering på celleniveau.

styring af krypteringsnøgler

Som med TDE skal du oprette en hovednøgle (DMK), før du bruger kryptering på celleniveau. Der er fire muligheder for kryptering af oplysninger ved hjælp af kryptering på celleniveau:

• du kan bruge en adgangskode til at kryptere og dekryptere dataene, men du skal kryptere lagrede procedurer og funktioner; ellers kan adgangssætningen tilgås i metadataene.
• asymmetriske nøgler giver stærk sikkerhed, men kan have indflydelse på ydeevnen.
• symmetriske nøgler er normalt stærke nok og giver en god balance mellem sikkerhed og ydeevne.
• certifikater giver også en god balance mellem sikkerhed og ydeevne, og de kan knyttes til en databasebruger.

altid krypteret

krypterer altid følsomme data i klientapplikationer uden at afsløre krypteringsnøglerne til databasemotoren, hvilket giver adskillelse mellem dataejere og dataadministratorer. For eksempel, med altid krypteret aktiveret, kan du være sikker på, at dine databaseadministratorer ikke kan læse følsomme data. Som navnet antyder, krypteres data i hvile, og hvis de bruges i et tredjepartssystem, f.eks.

altid krypteret kan konfigureres til individuelle databasekolonner. Der anvendes to slags nøgler: kolonne krypteringsnøgler og kolonne master nøgler. Kolonnekrypteringsnøgler beskytter data i en kolonne og kolonnemastertaster er ‘nøglebeskyttende nøgler’, der krypterer en eller flere kolonnekrypteringsnøgler. Kolonnemasternøgler gemmes i eksterne nøglelagre, der er tillid til, f.eks.

krypteringsprocessen er gennemsigtig for klientapplikationer, men kræver en speciel driver på klientcomputere. Altid krypteret er tilgængelig i Server 2016 og senere, men kun i Enterprise-udgaver. På grund af de ekstra krav på klientsiden er altid krypteret bedst egnet til situationer, hvor adskillelse af dataejere og ledere er et primært krav.

IT konsulent og forfatter med speciale i ledelse og sikkerhedsteknologier. Russell har mere end 15 års erfaring inden for IT, han har skrevet en bog om vinduer sikkerhed, og han var medforfatter til en tekst til Microsofts officielle akademiske kursus (MOAC) serie.