2. Một số phương pháp bảo mật trên các hệ quản trị Cơ sở dữ liệu
2.1.2. Phương pháp mã hóa TDE
Sử dụng trong mã hóa dữ liệu lưu trữ.
Trong suốt đối với ứng dụng: Không cần thay đổi ứng dụng, tất cả các kiểu truy vấn đều được hỗ trợ.
Các thuật toán mật mã: AES_128, AES_192, AES_256 and TRIPLE_DES
Giới hạn của TDE: Không hỗ trợ một số kiểu dữ liệu và số thao tác khi sử dụng TDE [29].
Khi TDE được kích hoạt (hoặc vô hiệu hóa), CSDL được đánh dấu là được mã hóa và trạng thái DEK được đặt thành “Encryption In Progress”. Máy chủ bắt đầu quét các tập tin CSDL và mã hóa (hoặc giải mã khi TDE được vô hiệu hóa). Mặc định, các khóa mã hóa CSDL được quản lý bởi Certificates. TDE được kích hoạt cho tất cả các CSDL mới được triển khai, nhưng đối với các CSDL cũ hơn thì chúng ta cần phải kích hoạt thủ công. Để kích hoạt TDE cho những CSDL cũ bằng Transact-SQL, cần phải thực hiện những bước sau:
1) Nếu DMK chưa tồn tại, cần phải tạo một khóa mã hóa CSDL.
2) Tạo hoặc chỉ định một certificate để bảo vệ DEK. Để bảo mật tốt nhất, nên tạo một certificate mới có chức năng duy nhất để bảo vệ DEK. Đảm bảo rằng certificate này được bảo vệ bởi DMK.
25
3) Tạo DEK và mã hóa bằng certificate lấy ở bước 2, certificate được tham chiếu với một certificate server để phân biệt nó với các certificate khác cùng lưu trong một CSDL người dùng.
4) Kích hoạt TDE, nó sẽ thực hiện quét mã hóa (chạy ngầm) một cách bất đồng bộ. Việc quản lý các khóa mã hóa CSDL (DEK) là hết sức quan trọng. Ngoài việc sử dụng các chứng thư để quản lý các khóa mã hóa CSDL, ta thể sử dụng một module quản lý khóa mở rộng để lưu trữ và quản lý các khóa DEK. Sử dụng Azure Key Vault giúp có thể làm được điều này.