Felipe Ferreira, profile picture
Carregado porFelipe Ferreira
844 visualizações

TDE - Transparent Data Encryption

Felipe Ferreira apresenta sobre Transparent Data Encryption (TDE) no SQL Server. TDE criptografa os arquivos de dados e logs em tempo real para proteger contra roubo ou perda de dados. TDE não substitui criptografia a nível de coluna e não impede que usuários com acesso leiam dados, mas demonstra como configurar a arquitetura de criptografia no banco de dados. Considerações incluem um pequeno impacto no desempenho e a necessidade de backups do certificado para restaurar bancos de dados criptografados.

Incorporar apresentação

Entendendo TDE Nome: Felipe Ferreira E-Mail: fferreira@solidq.com Titulações Comunidade
Agenda • Introdução • O que é TDE • O que o TDE NÃO faz! • Arquitetura • Demo • Considerações
Introdução • Os seus dados estão realmente seguros? – Segundo pesquisa realizada pela consultoria Applied Research, incidentes com perda de dados custam em torno de US$ 287 mil/incidente globalmente – Segundo pesquisa realizada pela Verizon um dos erros mais comuns na área de segurança é não aplicar aos backups e servidores secundários a mesma regra de segurança dos servidores principais da empresa
O que é TDE? • Transparent Data Encryption é um mecanismo de criptografia em tempo real dos arquivos de dados e de log
O que TDE NÃO faz… • TDE não é um substituto para a criptografia a nível de coluna • TDE não irá impedir que um usuário com acesso leia as informações do banco através de um SELECT • TDE não irá criptografar os dados em memória • TDE não criptografa a comunicação cliente/servidor
Arquitetura
DEMO
Considerações • Performance: – Overhead médio de 5% em consumo de CPU – A partir do momento que 1 base de dados esteja com o TDE habilitado, automaticamente a base tempDB também utilizará TDE, afetando a performance de todas os bancos do servidor
Considerações • Gerenciamento: – É OBRIGATÓRIO ter backup do certificado para poder restaurar a base de dados em outro servidor. Sem o certificado, a base está perdida! – A criptografia inicial da base pode consurmir muitos recursos e tempo dependendo do tamanho da base de dados – Para verificar o status da criptografia podemos usar a DMV sys.dm_database_encryption_keys
E mais considerações…. • Dados FILESTREAM não são criptografados, mesmo que TDE esteja habilitado • Se você utiliza replicação tem que habilitar o TDE no distributor e subscribers manualmente caso queira que os dados sejam replicados criptografados • Em uma sessão de database mirroring ou log shipping as 2 bases serão criptografadas, assim como o log de transação enviados entre ambas • DB criptografados não compactam bem, por isso não é recomendado usar TDE junto com backup compression
Did you know? SQL Server Central has highly active forums, where you can get a response to a question on SQL Server and other topics in a matter of minutes.
Did you know? Simple-Talk.com has a wealth of articles written by industry experts on SQL Server, .NET and SysAdmin, with no registration required to access each article.
Did you know? “Red Gate Software sponsored SQL Server Day. We’d love to hear your comments and suggestions about our tools. To get in touch just email communities@red- gate.com" Annabel Bradford Red Gate Software
Obrigado ao Apoio
Obrigado ! Felipe Ferreira felipe.ff@msn.com

Mais conteúdo relacionado

PPTX
Look Forward Design
porNajlae Benmiloud
 
PPTX
Avaliação Neuropsicológica
porGisele Cortoni Calia
 
PPT
Mobile Commerce
porAndré Costa
 
PPT
Comment le NFC va réinventer votre marketing de proximité ?
porCITC-EuraRFID
 
PDF
Presentación de Growiti
porGrowiti
 
PDF
Technologie nfc contre la contrefacon carlos moreno - wi se-key
porRezonance
 
PDF
High performance e commerce
pormacnews.de
 
PDF
Kundenbindung mit mobilen Diensten
poreBusiness-Lotse Oberschwaben-Ulm
 
Look Forward Design
porNajlae Benmiloud
 
Avaliação Neuropsicológica
porGisele Cortoni Calia
 
Mobile Commerce
porAndré Costa
 
Comment le NFC va réinventer votre marketing de proximité ?
porCITC-EuraRFID
 
Presentación de Growiti
porGrowiti
 
Technologie nfc contre la contrefacon carlos moreno - wi se-key
porRezonance
 
High performance e commerce
pormacnews.de
 
Kundenbindung mit mobilen Diensten
poreBusiness-Lotse Oberschwaben-Ulm
 

Destaque

PPT
Les transactions financières et bancaires dans la e-administration & la e-go...
porAbdoulaye Kanté
 
PPT
Mein computer
pordeutschonline
 
PPTX
Projet sidi bou said
pordv vdvd
 
DOCX
La technologie NFC peut-elle permettre le développement du paiement mobile da...
porVictor Droit
 
PPT
eparo – Inhalte und Funktionen von Websites (Vortrag IICO Kongress 2009 – Rol...
poreparo GmbH
 
PPT
openHAB @ rheinJUG Düsseldorf
porThomas Eichstädt-Engelen
 
PPT
Pvm
porgabrielhvs
 
PDF
Oliver ryf eine einführung für it pros
porDigicomp Academy AG
 
PDF
Google wallet
porDaniel Cousineau, M.Sc.
 
PPTX
Android Application Development of NFC Peer-to-Peer Mode
porChun-Kai Wang
 
PPTX
Jelly bean 2.0
porGoobec Brasil
 
PPSX
Transformació intel·ligent de la gestió cap a un model transparent, obert, in...
porPep Budi
 
PDF
Conligus Italy - Conligus Compensation Plan -Deutsch
porConligus Italia
 
PDF
Grundlagen Social Media
porChristian Henner-Fehr
 
PPTX
[Wun] Apresentação Oficial da Oportunidade
porOsmar Calixto da Silva
 
PPTX
AGOF internet facts 2012/04
porAd6Media Germany
 
PPS
Zwitserland bergwereld
porAmadeu Wolff
 
Les transactions financières et bancaires dans la e-administration & la e-go...
porAbdoulaye Kanté
 
Mein computer
pordeutschonline
 
Projet sidi bou said
pordv vdvd
 
La technologie NFC peut-elle permettre le développement du paiement mobile da...
porVictor Droit
 
eparo – Inhalte und Funktionen von Websites (Vortrag IICO Kongress 2009 – Rol...
poreparo GmbH
 
openHAB @ rheinJUG Düsseldorf
porThomas Eichstädt-Engelen
 
Pvm
porgabrielhvs
 
Oliver ryf eine einführung für it pros
porDigicomp Academy AG
 
Google wallet
porDaniel Cousineau, M.Sc.
 
Android Application Development of NFC Peer-to-Peer Mode
porChun-Kai Wang
 
Jelly bean 2.0
porGoobec Brasil
 
Transformació intel·ligent de la gestió cap a un model transparent, obert, in...
porPep Budi
 
Conligus Italy - Conligus Compensation Plan -Deutsch
porConligus Italia
 
Grundlagen Social Media
porChristian Henner-Fehr
 
[Wun] Apresentação Oficial da Oportunidade
porOsmar Calixto da Silva
 
AGOF internet facts 2012/04
porAd6Media Germany
 
Zwitserland bergwereld
porAmadeu Wolff
 

Mais de Felipe Ferreira

PPTX
Visão geral do Integration Services - SSIS
porFelipe Ferreira
 
PPTX
Criando um cubo no SSAS
porFelipe Ferreira
 
PDF
Expremendo performance do sql server
porFelipe Ferreira
 
PPTX
Melhorando a Qualidade do seu Banco de Dados utilizando Data Tier Applications
porFelipe Ferreira
 
PPTX
SQLSat #127
porFelipe Ferreira
 
PPTX
Enteprise Data Mining with SQL Server by Mark Tabladillo
porFelipe Ferreira
 
PPTX
FastTrack - Lessons Learned from the Field
porFelipe Ferreira
 
PPTX
Gerenciando Multiplos Servidores
porFelipe Ferreira
 
PPTX
Apresentação BI - Camara Espanhola
porFelipe Ferreira
 
PPTX
Visão geral do Analysis Services
porFelipe Ferreira
 
PPTX
SQL Server FastTrack com SQL Server 2012
porFelipe Ferreira
 
Visão geral do Integration Services - SSIS
porFelipe Ferreira
 
Criando um cubo no SSAS
porFelipe Ferreira
 
Expremendo performance do sql server
porFelipe Ferreira
 
Melhorando a Qualidade do seu Banco de Dados utilizando Data Tier Applications
porFelipe Ferreira
 
SQLSat #127
porFelipe Ferreira
 
Enteprise Data Mining with SQL Server by Mark Tabladillo
porFelipe Ferreira
 
FastTrack - Lessons Learned from the Field
porFelipe Ferreira
 
Gerenciando Multiplos Servidores
porFelipe Ferreira
 
Apresentação BI - Camara Espanhola
porFelipe Ferreira
 
Visão geral do Analysis Services
porFelipe Ferreira
 
SQL Server FastTrack com SQL Server 2012
porFelipe Ferreira
 

TDE - Transparent Data Encryption

  • 1.
    Entendendo TDE Nome: Felipe Ferreira E-Mail: fferreira@solidq.com Titulações Comunidade
  • 2.
    Agenda • Introdução • O que é TDE • O que o TDE NÃO faz! • Arquitetura • Demo • Considerações
  • 3.
    Introdução • Os seusdados estão realmente seguros? – Segundo pesquisa realizada pela consultoria Applied Research, incidentes com perda de dados custam em torno de US$ 287 mil/incidente globalmente – Segundo pesquisa realizada pela Verizon um dos erros mais comuns na área de segurança é não aplicar aos backups e servidores secundários a mesma regra de segurança dos servidores principais da empresa
  • 4.
    O que éTDE? • Transparent Data Encryption é um mecanismo de criptografia em tempo real dos arquivos de dados e de log
  • 5.
    O que TDENÃO faz… • TDE não é um substituto para a criptografia a nível de coluna • TDE não irá impedir que um usuário com acesso leia as informações do banco através de um SELECT • TDE não irá criptografar os dados em memória • TDE não criptografa a comunicação cliente/servidor
  • 6.
  • 7.
  • 8.
    Considerações • Performance: – Overhead médio de 5% em consumo de CPU – A partir do momento que 1 base de dados esteja com o TDE habilitado, automaticamente a base tempDB também utilizará TDE, afetando a performance de todas os bancos do servidor
  • 9.
    Considerações • Gerenciamento: – É OBRIGATÓRIO ter backup do certificado para poder restaurar a base de dados em outro servidor. Sem o certificado, a base está perdida! – A criptografia inicial da base pode consurmir muitos recursos e tempo dependendo do tamanho da base de dados – Para verificar o status da criptografia podemos usar a DMV sys.dm_database_encryption_keys
  • 10.
    E mais considerações…. •Dados FILESTREAM não são criptografados, mesmo que TDE esteja habilitado • Se você utiliza replicação tem que habilitar o TDE no distributor e subscribers manualmente caso queira que os dados sejam replicados criptografados • Em uma sessão de database mirroring ou log shipping as 2 bases serão criptografadas, assim como o log de transação enviados entre ambas • DB criptografados não compactam bem, por isso não é recomendado usar TDE junto com backup compression
  • 11.
    Did you know? SQLServer Central has highly active forums, where you can get a response to a question on SQL Server and other topics in a matter of minutes.
  • 12.
    Did you know? Simple-Talk.comhas a wealth of articles written by industry experts on SQL Server, .NET and SysAdmin, with no registration required to access each article.
  • 13.
    Did you know? “Red Gate Software sponsored SQL Server Day. We’d love to hear your comments and suggestions about our tools. To get in touch just email communities@red- gate.com" Annabel Bradford Red Gate Software
  • 14.
  • 15.
    Obrigado ! Felipe Ferreira felipe.ff@msn.com

Notas do Editor

  • #4 Os seus dados estãorealmenteseguros? A sala de servidoresdasuaempresa é bemprotegida? Vocês tem um plano de backup bemelaborado, com cópias do backup emoutro local, foradaempresa? Um dos errosmaiscomunsnasempresas é nãoconheceraondeestãoos dados críticos. Normalmentetemosregrasrestritas de segurançaemnossosservidoresprincipais, emnossasala de servidores. Masnãoaplicamos a mesmaregraem um servidorsecundário de relatóriosquefica no departamento de marketing porexemplo, ounaquele backup quefoigravadoemumafita e entreguepara o motoboylevarpara o local seguroforadaempresaondevocêsarmazenamumacópia do backup paracasos de desastre. Cadaincidentedesses, custaemmédia U$287 mil para as empresassegundopesquisas. Porissopergunto de novo.. Os seus dados estãorealmenteseguros?
  • #5 Legal.. Masentão.. O que é TDE e comoelepode me ajudar com osproblemasanteriores? TDE é um mecanismo de criptografiaem tempo real de IO dos arquivos de dados e de log. Ouseja, o TDE criptografaos dados fisicamente no disco, qndoelessãoescritos e osdescriptografaquandosão lidos. De forma transparentepara as aplicações, sem a necessidade de qualqueralteraçãonasaplicações… Dessa forma.. Mesmoquealguemconsigaroubar um disco do seuservidorou um backup os dados estarãocriptografados e nãoserápossívelleros dados sem as chaves de criptografiacorretas.
  • #6 A palavra Encryption de TDE geramuitaconfusão, porissoesse slide é necessárioparadeixarbemclaroque o TDE não é umasoluçãocompleta de criptografia de dados. O objetivo do TDE é apenascriptografarosarquivos de dados e de log fisicamente, evitando o acessonãoautorizadoaos dados casoalguemtenhaacessoaosarquivos do bancoou um backup. Elenão serve paracriptografar dados sensitivosnatabela, comoporexemplonúmero do cartão de crédito. e tbmnãoiráimpedirque um usuárioouadministradorconsigafazer um SELECT nos dados. Assimcomotbmnãoirácriptografaros dados emmemória no servidor
  • #7 A imagemnãoestámuito boa, masvamoslá:Essaimagemrepresenta a arquiteturaqueestáportrás do TDE. Emprimeirolugar, todainstancia do SQL Server tem o quechamamos de Service Master Key, que é umachavecriptográficacriadaquandoinstalamos o SQL Server no nossoservidor. Essachaveporsisó é criptografada a nível de sistemaoperacionalpelo DPAPI (Data protection API)A service master key é utilizadaparacriar e criptografar a Database Master Key, que é maisumachavecriptográficacriada no banco de dados MASTER. Sópodeexistir 1 database master key porinstancia.A database master key é utilizadaparacriar um certificado SSL na base de dados masterFeitoisso, a nível de banco de dados, teremos a Database Encryption Key (DEK), que é umachavesimétricacriptografada com o certificadocriadoanteriormente.Feitoisso, finalmentepodemosativar a criptografiananossa base de dados. Queiráentãoestarprotegidaportodaessaparafernalha de criptografiaQual o ponto de explicartudoisso? É somenteparaquevocêsentendamcomo o processofunciona, e comocadacomponente é importanteparaquetudofuncionecorretament.Maschega de teoria e vamosvercomo é simples colocartudoissoemprática