揭秘SQL Server 2014有哪些新特性(4)-原生备份加密

SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无法使用,这有效的解决了上述数据泄漏问题。原先的解决方案

在SQL Server 2014之前,如果希望实现对备份实现加密,会通过如下两种方式之一实现:

使用透明数据加密(TDE)加密整个数据库,从而使得备份和事务日志也会被加密 使用第三方备份加密工具

首先来谈一下使用透明数据加密,如果仅仅是为了对备份加密,使用TDE有点过于大材小用,因为使用TDE会导致数据库本身和日志被加密,对CPU带来额外开销,此外,使用TDE加密过的数据库如果使用备份压缩,压缩比率会非常低。如果使用SQL Server 2014的原生备份加密,则无需对整个数据库进行加密,备份仅仅在被写入磁盘之前被加密。原声备份加密如果结合备份压缩功能,那么会先进行压缩,再加密,从而得到非常高的压缩比率。

其次使用第三方备份加密工具需要额外的费用,并且在执行过程中也会有比较繁琐的操作成本,使用第三方备份当需要对备份到Azure的备份进行加密时,将会非常繁琐,而使用原生备份加密,可以直接对备份到Azure的备份进行加密,从而对OFF-SITE备份提供了额外的安全性。

使用原生数据加密

在SQL Server 2014 企业版、BI版、标准版中包括了该功能。使用备份加密需要有二个先决条件:

存在证书或非对称密钥 选择备份加密算法

下面使用原声数据加密对备份加密,首先建立证书:

CREATE CERTIFICATE BackupCertificate

WITH SUBJECT = 'Backup Encryption Certificate';

GO

建立完成后,直接使用证书进行备份加密:

BACKUP DATABASE TestBK TO DISK ='C:\Test_Encrypted.bak'WITH COMPRESSION, ENCRYPTION (ALGORITHM = AES_256, SERVER CERTIFICATE = BackupCertificate);

结果如图1所示,在图1中,注意到SQL Server给出了提示信息要备份证书以及证书的私钥,否则数据将无法使用。通常在最佳实践中,当证书创建时就应该备份,数据安全永远是第一位的。

图1.提示备份证书私钥

在图1中,注意到备份指定的加密算法是AES_256算法。SQL Server 2014提供了4种对备份加密的算法,分别是AES128、AES196、AES256和三重DES算法。

在SQL Server 2014的Management Studio中也对原声备份加密提供了GUI的支持,如图2所示。

图2.GUI对原生备份加密的GUI支持

原生加密备份对压缩的影响

前文提到,使用原生备份加密可以使得备份压缩几乎不受加密的影响,下面备份一个2.5G左右的测试库,指定压缩备份,第一个例子仅使用压缩备份,第2-4例子使用压缩备份+不同的压缩算法,测试语句如图3所示。

图3.测试语句

图4看到,使用备份加密对数据库备份大小几乎毫无影响。

图4.不同的加密算法对备份压缩几乎毫无影响

图5.加密算法对备份的影响

由图4和图5的结论可以得出,无论使用了何种加密算法,加密对压缩比率几乎毫无影响。

原生加密备份对性能的影响

使用原生备份加密是一项极大的消耗CPU的操作,下面在图3的基础上进一步添加不压缩备份的情况,备份的时间如图6所示。

图6.不同压缩算法下备份时间

由图6测试可以看出,除了3DES算法需要消耗的时间较长之外,AES算法在CPU不成为备份机瓶颈的情况下,对备份时间并无太大的影响。但加密对具体环境的影响会因环境而已,不同环境下的测试结果呈现可能会大相径庭,如果担心原生加密备份对性能产生影响,请先在具体环境进行测试。

小结

SQL Server原声备份加密对数据安全提供了非常好的解决方案。使用原生备份加密基本不会增加备份文件大小,并且打破了使用透明数据加密后几乎没有压缩率的窘境。使用原生备份加密无论在将数据备份到异地数据中心,还是将数据备份到云端,都可以以非常低的成本对数据提供额外的安全保障。

(0)

相关推荐

  • 获取SQL Server2014的安装时间

    获取SQL Server2014的安装时间

    如果你没有特意记录安装日期(实际大部分人都不会这样做),那么有没有办法从SQL Server里查询到呢? 想想我们在安装的时候,肯定会有Windows认证登录账号的创建信息,我们可以通过查询它来确定安装日期.查询的T-SQL如下: SELECT * FROM SYS.SERVER_PRINCIPALS 其输出的结果如下: 从结果中,我们可以看到create_date这一栏,比如通过name为NT AUTHORITY\SYSTEM的登录账号的创建日期,就知道SQL Server的安装日期了.

  • SQL SERVER 2014 安装图解教程(含SQL SERVER 2014下载)

    SQL SERVER 2014 安装图解教程(含SQL SERVER 2014下载)

    2015年1月1日,新的一年开始之际,本来应该好好做点有意义的事情来跨个年的.结果,老习惯 - 睡觉之前一定要折腾一下电脑,说干就干,给新到的 DELL 电脑装虚机,下载 SQL SERVER 2014,安装 SQL SERVER 2014. SQL SERVER 2014 安装完成以后,不像 SQL SERVER 2008 R2 会提供一个 BIDS 开发工具,也不像 SQL SERVER 2012 会提供一个 SSDT 开发工具,也就是说 BI 的开发工具(SSIS, SSRS, SSAS)

  • MS SQL Server2014链接到MS SQL Server 2000的解决方案及问题处理

    MS SQL Server2014链接到MS SQL Server 2000的解决方案及问题处理

    开发与企业应用中,好几个版本SQL Server相互链接.分布式读取与存储,需要实现sp_addlinkedserver.SQL Server 2000, SQL Server 2008, SQL Server 2012和SQL Server 2014: 但今天在本机的MS SQL Server 2014中,想添加SQL Server 2000的链接,使用下面的方法: <SQL Server创建链接服务器的存储过程示例分享>http://www.jb51.net/article/52314.h

  • 揭秘SQL Server 2014有哪些新特性(2)-固态硬盘 Buffer Pool(缓冲池) 扩展

    揭秘SQL Server 2014有哪些新特性(2)-固态硬盘 Buffer Pool(缓冲池) 扩展

    简介 SQL Server 2014中另一个非常好的功能是,可以将SSD虚拟成内存的一部分,来供SQL Server数据页缓冲区使用.通过使用SSD来扩展Buffer-Pool,可以使得大量随机的IOPS由SSD来承载,从而大量减少对于数据页的随机IOPS和PAGE-OUT. SSD AS Buffer Pool SSD是固态硬盘,不像传统的磁盘有磁头移动的部分,因此随机读写的IOPS远远大于传统的磁盘.将SSD作为Buffer Pool的延伸,就可以以非常低的成本巨量的扩充内存.而传统的模式是

  • win10安装Sql Server 2014图文教程

    win10安装Sql Server 2014图文教程

    win10系统如何安装Sql Server 2014呢?请看教程,希望对大家能有所帮助. 如图,双击Sql Server 2014安装包 然后点击setup.exe 第三步:点击安装,再点击红线所指的地方 第四步:如何出现如图所示界面,一直点击下一步,直到出现设置角色的步骤,选择第一个Sql server 功能安装,按下一步,出现功能选择,全部选中按下一步. 第五步:出现配置安装选项:A. 配置实例名称与实例ID每台 Windows Server 上最多只能安装一个默认实例.安装程序会根据实例I

  • 揭秘SQL Server 2014有哪些新特性(3)-可更新列存储聚集索引

    揭秘SQL Server 2014有哪些新特性(3)-可更新列存储聚集索引

    简介 列存储索引其实在在SQL Server 2012中就已经存在,但SQL Server 2012中只允许建立非聚集列索引,这意味着列索引是在原有的行存储索引之上的引用了底层的数据,因此会消耗更多的存储空间,但2012中的限制最大的还是一旦将非聚集列存储索引建立在某个表上时,该表将变为只读,这使得即使在数据仓库中使用列索引,每次更新数据都变成非常痛苦的事.SQL Server 2014中的可更新聚集列索引则解决了该问题. 可更新聚集列存储索引? 聚集列存储索引的概念可以类比于传统的行存储,聚集

  • Win10下安装Sql Server 2014反复提示需安装.NET Framework 3.5 SP1的解决方案

    Win10下安装Sql Server 2014反复提示需安装.NET Framework 3.5 SP1的解决方案

    一.首先安装.NET Framework 3.5 离线安装方式: 1.装载相对应的系统安装盘,我是Windows 10 x64 企业版,所以装载Windows 10 x64 企业版安装镜像ISO,盘符为H. 2.以管理员身份运行命令提示符(Win键+X键,选择命令提示符(管理员)),输入以下命令: dism.exe /online /enable-feature /featurename:NetFX3 /Source:H:\sources\sxs 等待部署完成即可. 在线安装方式: 1.打开控制

  • SQL Server2014 哈希索引原理详解

    SQL Server2014 哈希索引原理详解

    当一个key-value键值对传递给一个哈希函数的时候,经过哈希函数的计算之后,根据结果会把key-value键值对放在合适的hash buckets(哈希存储桶)里 举个栗子 我们假设对10取模( % 10 )就是哈希函数.如果key-value键值对的key是1525 ,传递到哈希函数,那么1525 会存放在第五个bucket里 因为5 as 1525 % 10 = 5. 同样,537 会存放在第七个bucket ,2982 会存放在第二个bucket ,依次类推 同样,在hash inde

  • 揭秘SQL Server 2014有哪些新特性(1)-内存数据库

    揭秘SQL Server 2014有哪些新特性(1)-内存数据库

    简介 SQL Server 2014提供了众多激动人心的新功能,但其中我想最让人期待的特性之一就要算内存数据库了.去年我再西雅图参加SQL PASS Summit 2012的开幕式时,微软就宣布了将在下一个SQL Server版本中附带代号为Hekaton的内存数据库引擎.现在随着2014CTP1的到来,我们终于可以一窥其面貌. 内存数据库 在传统的数据库表中,由于磁盘的物理结构限制,表和索引的结构为B-Tree,这就使得该类索引在大并发的OLTP环境中显得非常乏力,虽然有很多办法来解决这类问题

  • 升级SQL Server 2014的四个要点要注意

    升级并不容易,但是有一些特性值得花时间了解.下面本文将介绍一些避免升级问题的技巧. 升级一个关键业务SQL Server实例并不容易;它要求有周全的计划.计划不全会增加遇到升级问题的可能性,从而影响或延迟SQL Server 2014的升级.在规划SQLServer 2014升级时,有一些注意事项有助于避免遇到升级问题. 注意:升级SQL Server 2014的四个要点! 选择升级策略 在SQL Server升级中考虑采用内部或是并行迁移策略.我首选并行迁移策略,因为它风险较低,即便难度更大一

随机推荐