当社のクライアントは、適切な暗号化キーなしでDBAまたは権限のないユーザーがコンテンツDBを表示できないように、MOSSコンテンツデータベースを暗号化する必要があります。 SQL Server 2008の透過的なデータ暗号化(TDE)は、DBAから機密情報を保護できないため、TDEは「安心して」データを保護するように設計されています。誰もがこの問題に直面していますか?SQL Server 2008のDBAから機密情報を保護する
答えて
データベースに機密データを格納するという要件は、データベース管理者を信頼することです。
dbaが見ることができない方法でデータを暗号化することができたとしても、キー(またはデータ!)を渡す接続を盗聴したり、暗号化する前にデータをキャプチャするようにトリガーを設定することができますその計画が許すならば。
要するに、信頼できるDBAを取得する方が、より簡単で優れたソリューションです。
DBAが接続を盗聴するのを防ぐために、アプリケーション・レベルで暗号化を実行できます。 – Ottokar
DBAを信頼できない場合は、データベース自体を信頼できません。アプリケーションは、暗号化されたデータをデータベースサーバーにのみ通信する必要があります。
あなたのアプリケーションを実行するサーバーの管理者もいます。彼を信頼することからあなたの道を暗号化することは不可能に近いでしょう。
ここでVinkoに同意すると、あなたが信頼できるDBAを取得するか、または誰が審査に合格することができますか?
DB内でデータを使用できるようにする方法はありません。
You データがDBの外で使用できるようにします。いくつかの方法でCRUD操作の前に暗号化するだけです。
DBAがデータにアクセスするのを「合理的に」より困難にする方法があります。キーをsqlclr関数にインライン・データとして格納できますが、バイナリ・コードは引き続きDBAからアクセスできます。しかし、これは鍵を複製して同期させることを意味し、効果的なセキュリティをかなり妨害します。
暗号化されたコンテンツだけを入力しても、実際のパフォーマンスを引き出すことはできませんか?また、それがSharepointデータベースであるとすれば、私はあなたが実際にそれを行うことができるのか疑問に思います。 –
DBAを信頼してください。 技術的には、DBAが制限なくセキュリティを制御できるようにすると、システム全体が脆弱になります。なぜなら、DBAが侵害された場合、システム全体のセキュリティが損なわれ、災害になるからです。
システムにバックドアを挿入する不正プログラマはどうですか? 不正なマネージャーは、システムの有効な使用から得たレポートからデータを販売していますか?またはハードドライブをコピーするルージュクリーニングの女性ですか? ...あなたは考えを得る。あなたはただ誰かを信頼しなければなりません。そうでなければ、誰もがすべてを知っておらず、すべてが基本を知る必要性などで処理される軍事安全保障レベルについて話していますが、それは実質のお金です。 Sharepointデータベースの場合、正直なDBAを取得すれば十分です。私はあなたが棚のDBサーバーからそのような種類のセキュリティを実現できるかどうかは確かではありません。 –
信頼できるプログラマがあなたのデータやバックアップなどを管理していますか? – gbn
ここに同じ問題...
私たちは、MSSQLデータベースのホスティング会社であり、私はDBAかどうかを信頼し、私たちのために、それは問題ではないと言うことができます。 私たちの顧客は銀行、保険会社です。彼らの要求事項は:「DBAは非常に機密データを含んでいるためデータベースを読み取ることができません。
現在、私たちは解決策を探しています。
私はあなた自身で質問として投稿するべきだと思います。私はあなたが持っているのと同じ問題を抱えています。ここを見てください:http://stackoverflow.com/questions/970262/how-to-protect-a-database-from-the-server-administrator-in-sql -サーバ –
アプリケーションレベルでデータを暗号化することが必要です。 DBAがアクセスできないキーを格納する必要があります。
これは何も新しいものではありません。
- 1. PhoneGapの機密情報を保護しますか?
- 2. Objective Cソースコードの機密情報の保護
- 3. SQL Server 2008で機密データを暗号化して保存する
- 4. 機密情報をkeepassデータベースの中に保存するC#
- 5. Javaの保護情報
- 6. 機密情報を保存する場所は?
- 7. ASP.NETからSQL Serverの資格情報
- 8. 機密情報をログファイルに隠す
- 9. google-services.jsonは機密情報ですか?
- 10. Oracle TDEはDBAからデータを保護できますか?
- 11. RoRの機密データ(クレジットカード)を保護
- 12. githubから機密情報(パスワードなど)を隠す
- 13. Sql Report Server 2008に資格情報を渡す
- 14. MySQLデータベースにMS SQL Serverの資格情報を保存する
- 15. 電子メールヘッダーの機密情報?
- 16. SQL Server - 2つのテーブルから情報を取得する
- 17. curlリダイレクトログイン資格情報の保護
- 18. SQL Server 2008 - ファイルの保存
- 19. javascriptコード内に機密情報を保持するセキュリティ上の欠陥
- 20. 機密情報(ユーザー名とパスワード)をweb.configに保存していますか?
- 21. PHP:データベース接続の資格情報を保護する
- 22. SQL Server 2008から2008 R2へのアップグレード
- 23. 機密データをC#ソースコード内で保護していますか?
- 24. WCFクライアントアプリケーションで機密データを保護する方法は?
- 25. HTTP応答の機密情報の削除/非表示
- 26. コールドブート攻撃:Haskellで機密情報を拘束する方法
- 27. C#は機密情報を格納する
- 28. JBoss設定で機密情報を暗号化する
- 29. jdbc用のSQL Serverログイン資格情報
- 30. アンドロイドアプリで情報を保護する方法
あなたはDBAを信頼しませんか? – gbn
信頼の問題ではなく、能力の問題である可能性があります。彼らはDBAが機密データを見ることが不可能であることを要求しているようです。 DBAはすべてのデータを削除できますが、表示することはできません。 –