通用硬件安全模块
nShield 数据库安全选项包
通过 Microsoft 可扩展密钥管理 (EKM) API 与 Microsoft SQL Server 相集成。
保护数据库安全
nShield 数据库安全 Option Pack 实现了 nShield 硬件安全模块 (HSM) 与 Microsoft SQL Server 的无缝集成。 为数据库中的数据加密可以保护数据,但用于解锁数据的加密密钥保护也必须实施到位。 HSM 将加密密钥与数据分开,并存储于安全、可信的平台上,从而保护加密密钥。
不止于安全性
数据库安全 Option Pack 的优势
硬件密钥保护
将数据库加密密钥存储在安全、防篡改环境当中,以防止复制或篡改。
用户和角色执行
访问 Microsoft SQL Server 加密数据时,获得更强大的可控性。
更严格的密钥控制
通过管理员智能卡身份验证,限制对数据库加密密钥的访问
灵活的加密支持
支持透明数据加密 (TDE) 以及单元级加密。
技术规格
SQLEKM 提供商已通过测试,可支持以下企业版:
- Microsoft SQL Server 2019
- Microsoft SQL Server 2017
以下平台支持这些功能:
- Windows Server 2019 R2 标准版(64 位配置)
- Windows Server 2016(64 位配置)
支持的 Security World 软件和 nShield HSM
The Database Security Option Pack for SQL Server is fully compatible with V12.40.2 or higher of the Security World Software and all current PCIe and network attached HSMs.
支持的数据库加密类型
出于安全考虑,Microsoft SQL Server 支持使用加密密钥来保护数据库安全。 这些加密密钥可用于执行两个级别的加密。
- 透明数据加密 (TDE) 用于对整个数据库进行加密,使用时无需更改现有查询和应用程序。 当 SQL Server 将使用 TDE 加密的数据库从磁盘存储加载到内存中时,数据库会自动解密,这意味着客户端无需执行任何解密操作,可以直接在服务器环境中查询数据库。 数据库保存到磁盘存储后将再次加密。 使用 TDE 时,数据在内存中不受加密保护。 每个数据库每次只能针对 TDE 使用一个加密密钥。
- 使用单元级加密 (CLE) 时,必须指定要加密的数据以及用来加密数据的密钥。 CLE 加密各个单元或列时会使用一个或多个密钥。 这将允许您对数据库中最敏感的数据执行细粒度访问策略。 仅指定数据会被加密: 其他数据出于未加密状态。 这种加密模式可以最大限度地减少数据库服务器和客户端应用程序中的数据暴露。 您也可以在已使用 TDE 加密的数据库表格中应用 CLE。 但请注意,使用 CLE 时,数据仅在需要使用时才会在内存中解密。 您可以使用同一数据表中的不同加密密钥对单独的数据进行加密。
支持的部署配置:
- 独立服务
- 使用 nShield Solo 或 nShield Connect 的数据库故障转移群集