文档

设置透明数据加密TDE

更新时间:

在安全合规或静态数据加密等场景下,推荐使用透明数据加密TDE(Transparent Data Encryption)功能,对数据文件执行实时I/O加密和解密,确保敏感数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密,阻止可能的攻击者绕过数据库直接从存储中读取敏感信息,有效提高数据库中敏感数据的安全性。使用TDE功能不会增加数据文件的大小,开发人员无需更改任何应用程序。

前提条件

RDS SQL Server实例需满足以下要求:

  • 实例大版本:SQL Server 2019 标准版、SQL Server 2022 标准版、SQL Server 企业版

  • 实例规格:通用型、独享型(不支持共享型)

说明
  • 不支持只读实例

  • 如果您使用自有密钥,请提前准备加密证书、私钥以及密码。

注意事项

  • 如果您使用阿里云提供的服务密钥,开通TDE后,要恢复数据到本地,需要先通过RDS关闭TDE

    说明

    关闭TDE后,还存在部分未解密的事务日志,此时下载的备份文件仍处于加密状态,无法直接用于恢复。如需下载解密后的备份文件,请在实例完成三次日志备份和一次全量备份后,再下载最新的全量备份文件。更多信息,请参见Database Encryption in SQL Server 2008 Enterprise Edition。关于如何设置日志备份和数据备份,请参见备份SQL Server数据

  • 开启TDE后,会显著增加CPU使用率。

使用限制

开启TDE

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
  2. 在左侧菜单栏中单击数据安全性

  3. TDE页签单击未开通左边滑块。

    说明

    仅特定实例支持TDE功能,请参见前提条件

  4. 选择密钥类型,单击确定,开通TDE。

    使用由阿里云自动生成的密钥

    选中需要加密的数据库,单击图标,并单击确定TDE设置

    使用自带SQL Server密钥加密

    1. 上传证书及私钥文件到OSS。具体操作,请参见控制台上传文件上传文件到OSS

    2. 单击下一步,配置密钥相关参数。选择自带密钥

      参数

      取值及说明

      OSS Bucket

      选择上传证书及私钥文件所在的OSS Bucket。

      证书

      选择您上传到OSS的证书文件。

      私钥

      选择您上传到OSS的私钥文件。

      密码

      输入您自有SQL Server密钥的密码。

    3. 单击下一步进入授权数据库

      选中需要加密的数据库,单击图标,并单击确定授权数据库

关闭TDE

说明
  • 如需解除单个或多个数据库级别的TDE加密,只需将目标数据库从已保护数据库列表中移除即可。

  • 如需关闭单个实例级别的TDE加密功能,需要将所有数据库从已保护数据库列表中移除,系统会自动关闭实例TDE功能。

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
  2. 在左侧菜单栏中单击数据安全性

  3. TDE页签下,单击TDE设置

  4. 在对话框右侧的已保护数据库中,选中需要解除TDE加密的数据库,单击图标图标,并单击确定

    image

说明

关闭TDE后,还存在部分未解密的事务日志,此时下载的备份文件仍处于加密状态,无法直接用于恢复。如需下载解密后的备份文件,请在实例完成三次日志备份和一次全量备份后,再下载最新的全量备份文件。更多信息,请参见Database Encryption in SQL Server 2008 Enterprise Edition。关于如何设置日志备份和数据备份,请参见备份SQL Server数据

相关文档

  • 您还可以使用API开启透明数据加密,请参见ModifyDBInstanceTDE

  • 如果您还需要对实例访问链路进行加密,可以开启SSL链路加密,请参见设置SSL加密

  • 本页导读 (1)