Acabo de comenzar a buscar en el cifrado mediante claves y certificados en el servidor SQLl 2005/08 y, aunque se ve muy bien, no estoy muy seguro de por qué debería usarlo sobre los permisos de seguridad del servidor SQL.
Por ejemplo, tengo una tabla con datos sensiblesen, como nombre de usuario / contraseñas. Puedo cifrar los datos utilizando, por ejemplo, ENCRYPTBYCERT, o simplemente dejarlos como texto sin formato y solo aplicar los permisos a la tabla para los usuarios autorizados.
No voy a transferir estos datos a través de Internet, solo accediendo internamente a través de la red.
¿Hay alguna otra razón para usar el cifrado?
Respuestas
1 para la respuesta № 1Bueno, proporciona más seguridad si cifras enEl nivel de DB. Para empezar, está vinculado a la máquina, por lo que no puede (por ejemplo) hacer una copia de seguridad de la base de datos, restaurarla en otro lugar y tenerla. Si también cifra las claves (por ejemplo, en una sección cifrada con web.config), entonces se ha defendido contra varios posibles ataques diferentes.
Entonces, si estaba almacenando los datos del cliente (protegidos por la ley de privacidad), o los datos CC (obviamente con el debido respeto a las PCI DSS), el cifrado de esta forma lo protege, por ejemplo, de su propio personal de soporte.
Y luego ... si está asumiendo que su otra seguridad es sólida, las personas malas nunca podrán acceder a los datos, pero si lo hicieron, y si estaban cifrados, todavía no están llegando a ninguna parte.