科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道用EKM提升SQL Server 2008数据库安全

用EKM提升SQL Server 2008数据库安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 我们知道,为防止数据库和日志文件被无权限的人访问或黑客攻击,加密是一种很重要的手段。此前的SQL Server自带的数据加密功能可以加密文件,但它将密钥存储在SQL Server中,这带来了安全隐患。

来源:chinaitlab 2011年3月5日

关键字: 服务器配置 SQL Server 2008

  • 评论
  • 分享微博
  • 分享邮件

  1、为什么要增加EKM功能?

  我们知道,为防止数据库和日志文件被无权限的人访问或黑客攻击,加密是一种很重要的手段。此前的SQL Server自带的数据加密功能可以加密文件,但它将密钥存储在SQL Server中,这带来了安全隐患。

  

用EKM提升SQL Server 2008数据库<a class=
安全" src="http://windows.chinaitlab.com/UploadFiles_3263/200911/20091121110559897.jpg" border=1>

  SQL Server 2005并不允许在本地SQL Server 2005加密环境中使用第三方的密钥或密钥管理程序。这样,如果公司在其它应用中使用第三方加密产品对数据进行了加密,而你却不能用这个产品对SOL Server的数据进行加密或管理SQL Server的密钥,这是相当麻烦的。

  EKM弥补了这个弱点,它允许密钥存储在数据库之外,包括特殊的硬件(例如智能卡、USB设备)或被称为硬件安全模块(Hardware Security Modules,HSM)的软件模块中。因此,在SQL Server 2008中引入EKM是非常实用的。

  2、将密钥存储在HSM中

  EKM功能在SQL Server 2008的企业版、开发版、评估版中都可用,它允许密钥存储在数据库之外的HSM中,与加密数据分开存储。

  把密钥存储在HSM中可以防止它们被数据库所有者和其他高级别数据库用户访问,因为这些用户没有权限访问存储密钥的HSM。只有那些在加密解密过程中拥有HSM设备权限的最终用户,才能用这些密钥加密新数据或查看现有巳加密数据(需要注意的是:如果HSM 设备没有使用过,sysadmin用户组的成员仍然可以访问密钥)。如果要让用户可以使用第三方的HSM,需要在SQL Server 2008的EKM中将这些第三方厂商的EKM/HSM模块注册到SOL Server 2008中。

  3、如何启用/禁用EKM?

  (1).启用EKM

  要在数据库中使用EKM,必须先用系统存储过程sp_configure来启用SOL Server实例的EKM功能。

  启用EKM提供程序高级选项

  sp_configure 'show advanced options',1;

  GO

  RECONFIGURE;

  GO

  启用EKM提供程序

  sp_configure 'EKM provider enabled',1;

  GO

  RECONFIGURE;

  GO

  启用EKM之后,要创建一个EKM Provider(或者更多,你可能用到了多个HSM ),使用新的CREATE CRYPTOGRAPHIC PROVIDER的DDL(Data Definition Language,数据定义语言)语句。

  CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov

  FROM FILE = 'C:\EKM_Files\KeyProvFile.dll';

  GO

  启用了EKM并创建了Provider之后,就可以用这个Provider作为密钥。而如果要用EKM Provider模块进行安全登录,我们也可以用它来进行认证。

  (2).禁用EKM

  在某些情况下,我们可能需要在数据库中禁用一个Provider并启用新的Provider。例如,如果公司选择了另外一个第三方密钥提供商作为标准。在SOL Server 2008中,我们可以禁用Provider,但仍然把它保留在数据库中,在准备好之后再永久删除它,这样就可以从容地找出使用到旧Provider的对象,把它们修改为使用新的Provider。不过,笔者建议最好保留旧的Provider,以防出错。要禁用一个Provider,使用ALTER CRYPTOGRAPHIC PROVIDER语句,可执行如下命令:

  ALTER CRYPTOGRAPHIC PROVIDER pEKM_Prov_ModuIe

  FROM FILE=''DISABLE

  4、如何获知EKM使用情况?

  部署和实施EKM的数据库管理员和开发人员还需要对存储EKM Provider的元数据视图及相关的信息有一定的认识。SQL Server 2008提供了一系列新的目录视图、动态管理视图和动态管理函数,数据库管理员们可以用它们检查EKM Provider和EKM的使用情况。

  利用这些视图和函数我们可获取与EKM相关的信息,例如SQL Sewer实例中正在使用的Provider列表、使用EKM 的认证信息列表、数据库中每个Provider ID的密钥列表、rovider的属性,以及每个Provider ID使用的加密算法等。

  总结:通过以上对EKM相对比较简单的解析,我们看到SQL Server的加密功能在SQL Server 2008中有了很大的提升。很多数据库管理员为是否要使用加密而犹豫不决,这是因为他们担心密钥的存储问题,以往密钥和加密数据是存储在一起的,而现在SQL Sewer 2008中有了一个新的工具,它可以消除管理员们的这个担心,EKM功能值得一用。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章