SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无法使用,这有效的解决了上述数据泄漏问题。原先的解决方案
在SQL Server 2014之前,如果希望实现对备份实现加密,会通过如下两种方式之一实现:
使用透明数据加密(TDE)加密整个数据库,从而使得备份和事务日志也会被加密 使用第三方备份加密工具
首先来谈一下使用透明数据加密,如果仅仅是为了对备份加密,使用TDE有点过于大材小用,因为使用TDE会导致数据库本身和日志被加密,对CPU带来额外开销,此外,使用TDE加密过的数据库如果使用备份压缩,压缩比率会非常低。如果使用SQL Server 2014的原生备份加密,则无需对整个数据库进行加密,备份仅仅在被写入磁盘之前被加密。原声备份加密如果结合备份压缩功能,那么会先进行压缩,再加密,从而得到非常高的压缩比率。
其次使用第三方备份加密工具需要额外的费用,并且在执行过程中也会有比较繁琐的操作成本,使用第三方备份当需要对备份到Azure的备份进行加密时,将会非常繁琐,而使用原生备份加密,可以直接对备份到Azure的备份进行加密,从而对OFF-SITE备份提供了额外的安全性。
使用原生数据加密
在SQL Server 2014 企业版、BI版、标准版中包括了该功能。使用备份加密需要有二个先决条件:
存在证书或非对称密钥 选择备份加密算法
下面使用原声数据加密对备份加密,首先建立证书:
CREATE CERTIFICATE BackupCertificate
WITH SUBJECT = 'Backup Encryption Certificate';
GO
建立完成后,直接使用证书进行备份加密:
BACKUP DATABASE TestBK TO DISK ='C:\Test_Encrypted.bak'WITH COMPRESSION, ENCRYPTION (ALGORITHM = AES_256, SERVER CERTIFICATE = BackupCertificate);
