Właśnie zacząłem szukać szyfrowania za pomocą kluczy i certyfikatów na serwerze SQL 2005/08 i chociaż wygląda to bardzo dobrze, nie jestem pewien, dlaczego powinienem używać go zamiast zezwalać na bezpieczeństwo serwera SQL.
Na przykład mam tabelę z wrażliwymi danymiw, takie jak nazwa użytkownika / hasło. Mogę albo zaszyfrować dane przy użyciu powiedz ENCRYPTBYCERT, albo po prostu zostawić jako zwykły tekst i po prostu zastosować uprawnienia do tabeli dla autoryzowanych użytkowników.
Nie będę przenosił tych danych przez Internet, tylko uzyskiwałbym wewnętrzny dostęp przez sieć.
Czy istnieją inne powody, by używać szyfrowania?
Odpowiedzi:
1 dla odpowiedzi № 1Zapewnia to większe bezpieczeństwo, jeśli szyfrujesz wpoziom DB. Na początku jest on powiązany z maszyną, więc nie możesz (na przykład) wykonać kopii zapasowej bazy danych, przywrócić jej gdzieś indziej i mieć ją. Jeśli szyfrujesz również klucze (na przykład w sekcji zaszyfrowanej web.config), to właśnie broniłeś się przed kilkoma różnymi potencjalnymi atakami.
Jeśli więc przechowujesz dane klientów (chronione prawem o prywatności) lub dane CC (oczywiście z należytym uwzględnieniem PCI DSS), szyfrowanie w ten sposób chroni je na przykład przed własnym personelem wsparcia.
A potem ... jeśli zakładasz, że twoje inne zabezpieczenia są solidne, źli ludzie nigdy nie będą mogli uzyskać dostępu do danych, ale jeśli tak, i jeśli zostaną zaszyfrowane, nadal nic nie osiągną.