Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
В описании TDE сказано:
Однако если будет похищен физический носитель (например, диск или ленты резервной копии), злоумышленник может легко восстановить или подключить базу данных и получить доступ к данным.

Т.е. согласно болу, если злоумышленник похтщает файлы, диски или бэкап от базы со включённым TDE - то данные защищены.

А если будет похищен весь сервер со включённым TDE для базы "XYZ"?
Может ли злоумышленник получить доступ у данным базы "XYZ"?

Т.е.:
1) помогает ли TDE в случае похищения SQL сервера?
2) помогает ли TDE в случае похищения SQL сервера и контроллера домена?
28 авг 18, 11:35    [21655891]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
Alexander Us
А если будет похищен весь сервер со включённым TDE для базы "XYZ"?
Может ли злоумышленник получить доступ у данным базы "XYZ"?

Т.е.:
1) помогает ли TDE в случае похищения SQL сервера?
2) помогает ли TDE в случае похищения SQL сервера и контроллера домена?


не помогает в обоих упомянутых случаях

не используйте локальные диски, если у вас сервер могут физически увести
28 авг 18, 12:01    [21655947]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
komrad
не помогает в обоих упомянутых случаях
не используйте локальные диски, если у вас сервер могут физически увести

Увы, базы большие, перенос в сеть будет слишком затратным.

Правильно ли я понял: если крадут файл то TDE помогает, а если крадут сервер то не помогает?
Не поделитесь ли ссылкой или объяснением почему не помогает?

И, в случае кражи сервера с базой, защтщённой TDE какова сложность взлома?
28 авг 18, 12:12    [21655965]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6794
Alexander Us,

Я так подозреваю, что речь идет о случае если украли сервер включили и смогли войти. Сбросить пароли на win вроде никогда проблемой не было.
28 авг 18, 12:17    [21655972]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Alexander Us
komrad
не помогает в обоих упомянутых случаях
не используйте локальные диски, если у вас сервер могут физически увести

Увы, базы большие, перенос в сеть будет слишком затратным.
До первого маски-шоу все так думают.
28 авг 18, 12:19    [21655976]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
Ennor Tiegael
До первого маски-шоу все так думают.

Речь идёт о защите от хищения.
Маски-шоу тут не при чём.
28 авг 18, 12:22    [21655978]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
Alexander Us
komrad
не помогает в обоих упомянутых случаях
не используйте локальные диски, если у вас сервер могут физически увести

Увы, базы большие, перенос в сеть будет слишком затратным.

в смысле? в какую сеть?

Alexander Us
Правильно ли я понял: если крадут файл то TDE помогает, а если крадут сервер то не помогает?
Не поделитесь ли ссылкой или объяснением почему не помогает?

если у вас ушёл сервер с дисками, то не проблема его включить, получить доступ админа в винду (полагаю, что можно), далее становитесь сисадмином на сиквеле и все данные ваши

Alexander Us
И, в случае кражи сервера с базой, защтщённой TDE какова сложность взлома?

нулевая, подразумевается что master с сертификатом и ключем тоже ушел комплектом


ссылки почитать:
https://www.red-gate.com/simple-talk/sql/sql-development/encrypting-sql-server-transparent-data-encryption-tde/
https://blogs.msdn.microsoft.com/sqlsecurity/2016/10/05/feature-spotlight-transparent-data-encryption-tde/
28 авг 18, 12:23    [21655983]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
komrad
не используйте локальные диски, если у вас сервер могут физически увести
Извините, туплю: а какие диски использовать?
28 авг 18, 12:52    [21656029]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
komrad,

спасибо за ссылки и ответы.

ЗЫ:

Вот, наткнулся на статью где разносят TDE в пух и прах:
https://simonmcauliffe.com/technology/tde/
28 авг 18, 13:14    [21656071]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alibek B.
Member

Откуда:
Сообщений: 3517
Alexander Us
Извините, туплю: а какие диски использовать?

Не локальные.
NFS, ISCSI, FC.
Если канал позволяет и нагрузка небольшая, то даже какое-нибудь облако.
28 авг 18, 13:34    [21656118]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
Alexander Us
komrad
не используйте локальные диски, если у вас сервер могут физически увести
Извините, туплю: а какие диски использовать?

гулите на тему "san storage"
28 авг 18, 13:35    [21656126]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
Alexander Us
Вот, наткнулся на статью где разносят TDE в пух и прах:
https://simonmcauliffe.com/technology/tde/


ну, справедливости ради, стоит заметить, что сжатые бэкапы шифрованных баз поддерживаются с SQL2016
https://blogs.msdn.microsoft.com/sql_server_team/backup-compression-for-tde-enabled-databases-important-fixes-in-sql-2016-sp1-cu4-and-sql-2016-rtm-cu7/

в общем, применять какое-либо решение стоит осознавая все его плюсы и минусы

в вашем случае, полагаю, достаточно будет физически разделить сервер и диски с данными
28 авг 18, 13:41    [21656151]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
komrad
ну, справедливости ради, стоит заметить, что сжатые бэкапы шифрованных баз поддерживаются с SQL2016

Увы, это надо для SQL2008.

Вобще вся кутерьма из за введения в DE:"EU-Datenschutzverordnung";
По NL это где то так: "Europese verordening gegevensbescherming".

У Вас наверное похожие вопросы на повестке?
28 авг 18, 15:02    [21656331]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
AndrF
Member

Откуда:
Сообщений: 2183
Ennor Tiegael
До первого маски-шоу все так думают.


Можно подумать что от маски-шоу вам что-то поможет. При грамотном подходе сами все предоставите, если присесть не желаете...
28 авг 18, 15:44    [21656441]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
L_argo
Member

Откуда:
Сообщений: 1132
офф: Чтоб сервер не унесли, его можно заминировать. :)

Что-то вроде спец. чемодана с краской для переноса денег.

Грят, что во Франции, после введения в строй этих чемоданов, не было ниодной попытки завладеть чемоданом. И это при том что, чемоданы были без спецохраны с автоматами. Мож врут... :)
28 авг 18, 17:00    [21656625]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
Alexander Us
У Вас наверное похожие вопросы на повестке?

не заметил подобной активности
вероятно, банки это не особо затронуло по причине изначальной повышенной секьюрности
28 авг 18, 17:33    [21656678]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Alexander Us
1) помогает ли TDE в случае похищения SQL сервера?
2) помогает ли TDE в случае похищения SQL сервера и контроллера домена?
TDE помогает поставить галочку "базы зашифрованы" в чеклисте и показать начальству.
28 авг 18, 19:39    [21656839]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
AndrF,

Помогает в том смысле, что работа не останавливается после физического изъятия всех on-prem серверов; в случае с облаком это весьма затруднительно сделать.
29 авг 18, 07:40    [21657083]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 33239
Блог
Ennor Tiegael,

Роскомнадзор с вами бы не согласился
29 авг 18, 07:51    [21657088]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
Ну хорошо,

давайте подбораться к итогам:

тут инструкция по взлому TDE

тут инструкция по предотвращению взлома TDE

Суть её в том, что достаточно сделать папку C:\Windows\System32\Microsoft\Protect\S-1-5-18 доступной для чтения только сисадимнам.
Недостаток в том, что на физ. машине можно будет запускать только sql server, но не другие приложения, использующие штфрование.

Буду рад, если наши эксперты сочтут возможным прокоментировать методику предотвращения взлома TDE.
29 авг 18, 10:06    [21657193]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
Alexander Us

Суть её в том, что достаточно сделать папку C:\Windows\System32\Microsoft\Protect\S-1-5-18 доступной для чтения только сисадимнам.
Недостаток в том, что на физ. машине можно будет запускать только sql server, но не другие приложения, использующие штфрование.


суть в том, что надо ограничить доступ к этой папке;выдать только тем эккаунтам, которым нужно использовать шифрование
с случае выделенного сервера - учетке сиквела, ну и админам
29 авг 18, 11:01    [21657273]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
komrad,

Спасибо.
29 авг 18, 12:21    [21657461]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
0wl
Member

Откуда:
Сообщений: 53
komrad,

Может я чего-то не понял в статье, но ведь это же не спасает от возможности зайти админом, стать владельцем папки и спокойно ее прочитать. То есть, в случае с маски-шоу приглашенный эксперт сможет ломануть шифрование конфискованного сервера. Или я неправ?

Если дальше рассуждать, надо дальше защищать хранилище ключа с помощь какого-нибудь BitLocker.
29 авг 18, 17:17    [21657934]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5158
0wl
komrad,

Может я чего-то не понял в статье, но ведь это же не спасает от возможности зайти админом, стать владельцем папки и спокойно ее прочитать. То есть, в случае с маски-шоу приглашенный эксперт сможет ломануть шифрование конфискованного сервера. Или я неправ?

Если дальше рассуждать, надо дальше защищать хранилище ключа с помощь какого-нибудь BitLocker.

в случае маски-шоу, надо разносить физические носители с файлами баз и сам сервер в пространстве
имея комплект "сервер+диски" можно получить доступ к данным

не имея дисков, такого доступа получить, очевидно, нельзя ... не считая способов термального криптоанализа
29 авг 18, 17:22    [21657942]     Ответить | Цитировать Сообщить модератору
 Re: TDE: от чего таблетка?  [new]
AndrF
Member

Откуда:
Сообщений: 2183
komrad
не имея дисков, такого доступа получить, очевидно, нельзя ... не считая способов термального криптоанализа


Почему обязательно термального?

Разве админ готов присесть на несколько лет за участие в организованной преступной группировке - его зарплата оправдывает это?
29 авг 18, 17:44    [21657976]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить