TDE: Хранилище ключей
Хранилище ключей создается с помощью команды PROUTIL ENABLEENCRYPTION во время активации TDE в базе данных. Хранилище ключей имеет следующие основные функции:
- Хранение DMK отдельно от базы данных
- Формирование виртуальных ключей объектов базы данных на основе DMK
- Защита от копирования DMK и виртуальных ключей объектов
- Контроль доступа к хранилищу ключей с использованием надежного Passphrase
- Запрет доступа к зашифрованной базе данных, если пользователь не смог правильно указать Passphrase для аутентификации в хранилище ключей
- Настройка хранилища ключей для открытия автоматизированными процессами
Хранилище ключей имеет два типа встроенных учетных записей:
- Учетная запись администратора
- Учетная запись пользователя
Администратор хранилища ключей может создавать и изменять хранилище ключей. Пользовательские привилегии обеспечивают доступ к значениям ключей шифрования. При работе с хранилищем ключей для учетной записи администратора всегда указывайте Passphrase. Для обычных пользователей эта опция необязательна, т.к. в хранилище ключей что-либо изменить они не могут. Passphrase представляет собой последовательность слов или любой текст, используемый для контроля доступа к компьютерной системе, программам или данным. Использование Passphrase аналогично использованию обычного пароля, но, как правило, Passphrase содержит большее количество символов, благодаря чему обеспечивает дополнительную надежность. Passphrase учетных записей администратора должен отличаться от Passphrase пользователя. Passphrase должен формироваться исходя из следующих правил:
Таблица 1 Правила формирования Passphrase в TDE
| Правило |
Значение |
| Минимальное количество символов |
8 |
| Максимальное количество символов |
2048 |
| Минимальное количество целочисленных символов |
1 |
| Минимальное количество буквенных символов |
2 |
| Минимальное количество символов пунктуации |
1 |
| Набор символов |
[a-zA-Z0-9]!@#$%^& *()_+-{}[]|\,./<>?;:<space> |
| Первый символ |
Смотри набор символов |
| Максимальное количество повторяющихся символов |
0 |
| Использование верхнего и нижнего регистра буквенных символов |
Да |
| Чувствительность к регистру |
Да |
| Устаревание контрольного слова |
Нет |
| История контрольных слов |
Нет |
Хранилище ключей в момент создания связывается с базой данных, но хранится отдельно. Помните, PROBKUP не выполняет резервного копирования хранилища ключей. Хранилище также не копируется при копировании базы данных утилитой PROCOPY. Хранилище ключей не является частью описания структуры базы данных. Если выполнить копирование только зашифрованной базы данных, то открыть ее не получится, пока в каталог новой базы не будет скопирован файл хранилища, и пока этот файл не будет привязан к ней с помощью команды PROUTIL EPOLICY MANGE REBIND.
Хранилище ключей – это объект, который из соображений безопасности хранится отдельно от базы данных. Необходимо обеспечить его резервное копирование и надежную защиту. Защита хранилища ключей жизненно важна для обеспечения доступа к зашифрованной базе данных. Доступ к базе без этого хранилища нельзя получить никаким из известных способов.
Представьте, что база данных - это ваш автомобиль, а хранилище ключей - это ключи от него. Отдельное размещение хранилища ключей от базы данных обусловлено тем, что их совместное хранение было бы равносильно оставлению ключей от автомобиля в замке его дверей. Помимо этого у вас всегда есть запасные ключи на случай утери основных, так и для базы данных необходимо иметь резервную копию хранилища ключей. Всегда храните резервную копию хранилища ключей отдельно от резервной копии базы данных.
| 
Главная
