我正在考虑加密包含敏感用户数据的数据库。使用 bitlocker 之类的东西加密整个驱动器是否对性能更好,还是仅使用 SQL Server 中的内置加密来加密数据库更好?
我在 Windows Server 2016 机器上使用 SQL Server 2016
答案1
使用透明数据加密 (TDE),无论目的地在哪里,您的备份也会自动加密。
使用 Bitlocker,如果有人将备份到另一个位置(如网络驱动器路径或 Azure),则该备份不会被加密。
对于这两种方法,如果有人有权运行 SELECT 命令,您就麻烦了。
如需了解更多详情,请访问Microsoft 的 SQL Server 合规性指南。它很旧(大约 2008 年),但内容更详细。这是我读过的最好的白皮书之一,因为它将业务目标映射到 SQL Server 功能。
答案2
单纯从性能角度来看,bitlocker 速度更快,性能更高。但是,如果您的数据敏感,则加密类型应基于您的合规性/安全性要求。例如,如果需要备份加密,TDE 是更好的选择。