Suchen

Echtzeit-Verschlüsselung für Datenbank-Files und -Backups Transparent Data Encryption unter SQL Server 2008

| Redakteur: Stephan Augsten

Aus Sicherheitsgründen hat Microsoft den SQL Server 2008 um eine transparente Datenverschlüsselung erweitert. Mit dieser Funktion lassen sich Datenbankinhalte, -Backups und temporäre Datenbanken in Echtzeit ver- und wieder entschlüsseln. Security-Insider.de erläutert, wie man Transparent Data Encryption aktiviert und was man bei ihrer Verwendung beachten sollte.

Firma zum Thema

Der SQL Server 2008 von Microsoft bietet Datenbank-Sicherheit durch transparente Datenverschlüsselung.
Der SQL Server 2008 von Microsoft bietet Datenbank-Sicherheit durch transparente Datenverschlüsselung.
( Archiv: Vogel Business Media )

Compliance-Vorgaben wie der Payment Card Industry Data Security Standard (PCI DSS) nötigen Unternehmen dazu, ihre Datenbanken und Backups abzusichern. Genau zu diesem Zweck hat Microsoft die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) für SQL Server 2008 vorrangig entwickelt.

Administratoren sollten aber immer im Hinterkopf behalten, dass TDE nur Maßnahme unter SQL Server 2008 ist, um Compliance-Anforderungen zu erfüllen: Der Datenbank-Administrator muss sich immer noch selbst vergewissern, dass sensible Daten verschlüsselt werden. Netzwerk- und System-Administratoren müssen nach wie vor die Windows-Server, das Netzwerk und die Verbindungen zwischen Web- und Applikationsservern schützen. Und die Entwickler sind grundsätzlich dazu verpflichtet, die Kommunikation zwischen Clients und Servern zu verschlüsseln oder anders abzusichern.

Der Mehrwert von TDE besteht darin, dass sich Daten und Protokolle mithilfe von AES- und 3DES-Verschlüsselungsalgorithmen verschlüsseln lassen, ohne vorhandene Anwendungen ändern zu müssen. Bevor man die transparente Datenverschlüsselung auf dem SQL Server aktiviert, sollte man aber einige wichtige Faktoren berücksichtigen:

  • Die Verschlüsselung bei der Datenspeicherung und die Entschlüsselung beim Lesevorgang unweigerlich auf die Performance aus. Die Geschwindigkeitseinbußen resultieren vornehmlich aus den höheren CPU-Anforderungen.
  • Die Größe der Dateien, Transaction Logs und Backups verändert sich bei eingeschalteter TDE nicht. Allerdings lassen sich verschlüsselte Datenbanken nicht so gut komprimieren, wie unchiffrierte Datenbanken. Deshalb benötigt man für die Backups mehr Speicherplatz. Zusätzliche Kosten entstehen, wenn man die verschlüsselten Backup-Dateien in einen Datentresor auslagert.
  • Backups lassen sich unter SQL Server zwar auch einfach mit einem Passwort absichern, aber dies ist die wohl schwächste Möglichkeit. Die meisten Tape-Backup-Lösungen unterstützen bereits die On-the-Fly-Verschlüsselung während der Bandspeicherung – und erreichen dabei mittlerweile akzeptable Geschwindigkeiten. Dadurch sind zwar die Sicherungskopien geschützt, die Dateien auf dem SQL Server selbst hingegen nicht.

Genau deshalb verlangen zahlreiche Compliance-Anforderungen nach einer Verschlüsselung der Datenbank-Dateien. Im Folgenden befassen wir uns mit anderen wichtigen Faktoren, die es bei der Implementierung der transparenten Datenverschlüsselung zu beachten gilt.

Seite 2: Transparent Data Encryption unter SQL Server 2008 aktivieren

(ID:2040671)