169it科技资讯


当前位置:  数据库>sqlserver

揭秘SQL Server 2014有哪些新特性(4)-原生备份加密

    来源: 互联网  发布时间:2014-10-15

SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无法使用,这有效的解决了上述数据泄漏问题。原先的解决方案

    在SQL Server 2014之前,如果希望实现对备份实现加密,会通过如下两种方式之一实现:

使用透明数据加密(TDE)加密整个数据库,从而使得备份和事务日志也会被加密 使用第三方备份加密工具

    首先来谈一下使用透明数据加密,如果仅仅是为了对备份加密,使用TDE有点过于大材小用,因为使用TDE会导致数据库本身和日志被加密,对CPU带来额外开销,此外,使用TDE加密过的数据库如果使用备份压缩,压缩比率会非常低。如果使用SQL Server 2014的原生备份加密,则无需对整个数据库进行加密,备份仅仅在被写入磁盘之前被加密。原声备份加密如果结合备份压缩功能,那么会先进行压缩,再加密,从而得到非常高的压缩比率。

    其次使用第三方备份加密工具需要额外的费用,并且在执行过程中也会有比较繁琐的操作成本,使用第三方备份当需要对备份到Azure的备份进行加密时,将会非常繁琐,而使用原生备份加密,可以直接对备份到Azure的备份进行加密,从而对OFF-SITE备份提供了额外的安全性。

使用原生数据加密

    在SQL Server 2014 企业版、BI版、标准版中包括了该功能。使用备份加密需要有二个先决条件:

存在证书或非对称密钥 选择备份加密算法

    下面使用原声数据加密对备份加密,首先建立证书:

CREATE CERTIFICATE BackupCertificate

WITH SUBJECT = 'Backup Encryption Certificate';

GO

建立完成后,直接使用证书进行备份加密:

BACKUP DATABASE TestBK TO DISK ='C:\Test_Encrypted.bak'WITH COMPRESSION, ENCRYPTION (ALGORITHM = AES_256, SERVER CERTIFICATE = BackupCertificate);


    结果如图1所示,在图1中,注意到SQL Server给出了提示信息要备份证书以及证书的私钥,否则数据将无法使用。通常在最佳实践中,当证书创建时就应该备份,数据安全永远是第一位的。

图1.提示备份证书私钥

    在图1中,注意到备份指定的加密算法是AES_256算法。SQL Server 2014提供了4种对备份加密的算法,分别是AES128、AES196、AES256和三重DES算法。

    在SQL Server 2014的Management Studio中也对原声备份加密提供了GUI的支持,如图2所示。

图2.GUI对原生备份加密的GUI支持

原生加密备份对压缩的影响

   前文提到,使用原生备份加密可以使得备份压缩几乎不受加密的影响,下面备份一个2.5G左右的测试库,指定压缩备份,第一个例子仅使用压缩备份,第2-4例子使用压缩备份+不同的压缩算法,测试语句如图3所示。

图3.测试语句

    图4看到,使用备份加密对数据库备份大小几乎毫无影响。

图4.不同的加密算法对备份压缩几乎毫无影响

图5.加密算法对备份的影响

    由图4和图5的结论可以得出,无论使用了何种加密算法,加密对压缩比率几乎毫无影响。

原生加密备份对性能的影响

    使用原生备份加密是一项极大的消耗CPU的操作,下面在图3的基础上进一步添加不压缩备份的情况,备份的时间如图6所示。

图6.不同压缩算法下备份时间

    由图6测试可以看出,除了3DES算法需要消耗的时间较长之外,AES算法在CPU不成为备份机瓶颈的情况下,对备份时间并无太大的影响。但加密对具体环境的影响会因环境而已,不同环境下的测试结果呈现可能会大相径庭,如果担心原生加密备份对性能产生影响,请先在具体环境进行测试。

小结

    SQL Server原声备份加密对数据安全提供了非常好的解决方案。使用原生备份加密基本不会增加备份文件大小,并且打破了使用透明数据加密后几乎没有压缩率的窘境。使用原生备份加密无论在将数据备份到异地数据中心,还是将数据备份到云端,都可以以非常低的成本对数据提供额外的安全保障。


    
相关技术文章:
    ▪解决SqlServer 各版本 sa帐户不能登录问题

     1.使用Management Studio Express,用“Windows身份验证”登录,选中SQL服务器名,右击鼠标选择属性,在服务器属性选项页面,选择“安全性”,将服务器身份验证由“Windows身份验证”改为“SQL Server和Windows身份验证”,单击确定。 2.使用SQL  Server 2005外围应用配置器,选择“服务和连接的外围应用配置器”,选SQL Express–>Database Engine–>服务,先停止,再启动,重启SQL Server服务器。  3.再回到Management Studio Express,选择“安全性”–>登录名–>sa,右击鼠标,在登录属性-sa页面,选择状态,将登录由“禁用”改为“启用”(此时可设置sa登录密码或取消......


    ▪浅析SQL Server中包含事务的存储过程

     先来看一个概念:   数据库事务(Database Transaction) ,是指作为单个逻辑工作单元执行的一系列操作,要么完整地执行,要么完全地不执行。那么在存储过程里添加事务,则可以保证该事务里的所有sql代码要么完全执行要么完全不执行。   举个简单的带事务的存储过程: Begin     Set NOCOUNT ON; --不返回影响行数     Set XACT_ABORT ON; --使用存储过程执行事务需要开启XACT_ABORT参数(默认为OFF)       delete from table1 where name='' --删除数据sql1     begin tran tran1 --开始一个事务tran1       delete ......


    ▪深入分析MSSQL数据库中事务隔离级别和锁机制

     锁机制 NOLOCK和READPAST的区别。 1.       开启一个事务执行插入数据的操作。 BEGIN TRAN t INSERT INTO Customer SELECT 'a','a' 2.       执行一条查询语句。 SELECT * FROM Customer WITH (NOLOCK) 结果中显示”a”和”a”。当1中事务回滚后,那么a将成为脏数据。(注:1中的事务未提交) 。NOLOCK表明没有对数据表添加共享锁以阻止其它事务对数据表数据的修改。 SELECT * FROM Customer 这条语句将一直死锁,直到排......


 
最新技术文章:
    ▪Sql Server里删除数据表中重复记录的例子

     [项目] 数据库中users表,包含u_name,u_pwd两个字段,其中u_name存在重复项,现在要实现把重复的项删除! [分析] 1、生成一张临时表new_users,表结构与users表一样; 2、对users表按id做一个循环,每从users表中读出一个条记录,判断new_users中是否存在有相同的u_name,如果没有,则把它插入新表;如果已经有了相同的项,则忽略此条记录; 3、把users表改为其它的名称,把new_users表改名为users,实现我们的需要。 [程序] 代码如下: declare ......


    ▪如何查看SQLSERVER中某个查询用了多少TempDB空间

         在SQL Server中,TempDB主要负责供下述三类情况使用: 内部使用(排序、hash join、work table等) 外部使用(临时表,表变量等) 行版本控制(乐观并发控制)       而对于内部使用,一些比较复杂的查询中由于涉及到了大量的并行、排序等操作时就需要大量的内存空间,每一个查询在开始时都会由SQL Server预估需要多少内存,在具体的执行过程中,如果授予的内存不足,则需要将多出来的部分由TempDB处理,这也就是所谓的Spill to TempDB。     通过下述语句可以观察到某个查询对TempDB造成了多少读写: ......


    ▪在SQL Server中使用ISNULL执行空值判断查询

     有如下查询: 代码如下: select isnull(lastchanged,'') as lastchanged from vhhostlist where s_comment='test202' 本来,ISNULL函数只有一个参数,它表示的含义就是判断这个参数的值是否为NULL,是NULL则返回TRUE,否则返回FALSE; 但是,在SQLServer的查询语句中,isnull需要两个参数,它的含义是如果参数1为NULL,则以参数2为isnull函数的返回值; 即,上面查询的的含义是,查询vhhostlist表中s_comment='test202'那一行lastchanged字段的值,如果它为NULL,则返回一个空字符串; 记得以前不懂这个的时候,遇到这样一......


 


站内导航:


特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

©2012-2017,169IT.COM,E-mail:www_169it_com#163.com(请将#改为@)

浙ICP备11055608号