투명한 데이터 암호화Transparent Data Encryption (TDE)

이 항목은 다음에 적용됩니다. 예SQL Server(2008부터)예Azure SQL Database예Azure SQL Data Warehouse 예병렬 데이터 웨어하우스 THIS TOPIC APPLIES TO: yesSQL Server (starting with 2008)yesAzure SQL DatabaseyesAzure SQL Data Warehouse yesParallel Data Warehouse

이전 버전의 SQL Server와 관련된 콘텐츠는 TDE(투명한 데이터 암호화)를 참조하세요.For content related to previous versions of SQL Server, see Transparent Data Encryption (TDE).

TDE (투명한 데이터 암호화)는 미사용 데이터 암호화라고 하는 SQL ServerSQL Server, Azure SQL 데이터베이스Azure SQL DatabaseAzure SQL 데이터 웨어하우스Azure SQL Data Warehouse 데이터 파일을 암호화합니다.Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, Azure SQL 데이터베이스Azure SQL Database, and Azure SQL 데이터 웨어하우스Azure SQL Data Warehouse data files, known as encrypting data at rest. 보안 시스템 디자인, 중요한 자산 암호화 및 데이터베이스 서버에 대한 방화벽 구축과 같은 데이터베이스의 보안을 설정하기 위해 여러 가지 예방 조치를 취할 수 있습니다.You can take several precautions to help secure the database such as designing a secure system, encrypting confidential assets, and building a firewall around the database servers. 그러나 물리적 미디어(예: 드라이브 또는 백업 테이프)를 도난 당한 경우 악의적인 사용자가 데이터베이스를 복원하거나 연결하여 데이터를 찾아볼 수 있습니다.However, in a scenario where the physical media (such as drives or backup tapes) are stolen, a malicious party can just restore or attach the database and browse the data. 한 가지 해결 방법은 데이터베이스의 중요한 데이터를 암호화하고 인증서와 함께 데이터를 암호화하는 데 사용된 키를 보호하는 것입니다.One solution is to encrypt the sensitive data in the database and protect the keys that are used to encrypt the data with a certificate. 이 경우 키가 없으면 누구도 데이터를 사용할 수 없지만 이러한 보호 방법은 사전에 계획해야 합니다.This prevents anyone without the keys from using the data, but this kind of protection must be planned in advance.

TDE(투명한 데이터 암호화)를 통해 데이터 및 로그 파일의 실시간 I/O 암호화 및 암호 해독을 수행합니다.TDE performs real-time I/O encryption and decryption of the data and log files. 이 암호화에서는 DEK(데이터베이스 암호화 키)를 사용하며 이 키는 복구하는 동안 사용할 수 있도록 데이터베이스 부트 레코드에 저장됩니다.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. DEK는 서버의 master 데이터베이스에 저장된 인증서 또는 EKM 모듈로 보호되는 비대칭 키를 사용하여 보호되는 대칭 키입니다.The DEK is a symmetric key secured by using a certificate stored in the master database of the server or an asymmetric key protected by an EKM module. TDE는 데이터 및 로그 파일을 의미하는 "유휴" 데이터를 보호하고TDE protects data "at rest", meaning the data and log files. 다양한 업계에서 확립된 법, 규정 및 지침에 부합하는 기능을 제공합니다.It provides the ability to comply with many laws, regulations, and guidelines established in various industries. 이를 통해 소프트웨어 개발자는 AES 및 3DES 암호화 알고리즘을 사용하여 기존의 응용 프로그램을 변경하지 않고 데이터를 암호화할 수 있습니다.This enables software developers to encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

TDE 정보About TDE

데이터베이스 파일 암호화는 페이지 수준에서 수행됩니다.Encryption of the database file is performed at the page level. 암호화된 데이터베이스의 페이지는 암호화된 후 디스크에 작성되고 메모리로 읽어 들일 때 암호가 해독됩니다.The pages in an encrypted database are encrypted before they are written to disk and decrypted when read into memory. TDE로 암호화된 데이터베이스의 크기가 증가되지는 않습니다.TDE does not increase the size of the encrypted database.

SQL 데이터베이스SQL Database에 적용되는 정보Information applicable to SQL 데이터베이스SQL Database

SQL 데이터베이스SQL Database V12에서 TDE를 사용하는 경우, master 데이터베이스에 저장된 서버 수준 인증서가 SQL 데이터베이스SQL Database에 의해 자동으로 생성됩니다.When using TDE with SQL 데이터베이스SQL Database V12 the server-level certificate stored in the master database is automatically created for you by SQL 데이터베이스SQL Database. SQL 데이터베이스SQL Database 의 TDE 데이터베이스를 이동하려면 데이터베이스 암호를 해독하고, 데이터베이스를 이동한 후, 대상 SQL 데이터베이스SQL Database에서 TDE를 다시 사용하도록 해야 합니다.To move a TDE database on SQL 데이터베이스SQL Database you must decrypt the database, move the database, and then re-enable TDE on the destination SQL 데이터베이스SQL Database. SQL 데이터베이스SQL Database의 TDE에 대한 단계별 지침은 Transparent Data Encryption with Azure SQL Database를 참조하십시오.For step-by-step instructions for TDE on SQL 데이터베이스SQL Database, see Transparent Data Encryption with Azure SQL Database.

SQL ServerSQL Server에 적용되는 정보Information applicable to SQL ServerSQL Server

보안이 설정된 후 올바른 인증서를 사용하여 데이터베이스를 복원할 수 있습니다.After it is secured, the database can be restored by using the correct certificate. 인증서에 대한 자세한 내용은 SQL Server Certificates and Asymmetric Keys를 참조하십시오.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

TDE를 설정할 경우 인증서 및 인증서와 연결된 개인 키를 즉시 백업해야 합니다.When enabling TDE, you should immediately back up the certificate and the private key associated with the certificate. 인증서를 사용할 수 없게 되거나 다른 서버에서 데이터베이스를 복원하거나 연결해야 할 경우 인증서와 개인 키의 백업본이 있어야 합니다. 그렇지 않으면 데이터베이스를 열 수 없습니다.If the certificate ever becomes unavailable or if you must restore or attach the database on another server, you must have backups of both the certificate and the private key or you will not be able to open the database. 데이터베이스에서 TDE를 해제하더라도 인증서 암호화는 그대로 유지해야 합니다.The encrypting certificate should be retained even if TDE is no longer enabled on the database. 데이터베이스가 암호화되지 않더라도 트랜잭션 로그 부분은 그대로 보호될 수 있으며, 일부 작업의 경우 데이터베이스 전체 백업을 수행할 때까지는 인증서가 필요할 수 있습니다.Even though the database is not encrypted, parts of the transaction log may still remain protected, and the certificate may be needed for some operations until the full backup of the database is performed. 만료 날짜가 지난 인증서도 여전히 데이터를 TDE로 암호화하고 해독하는 데 사용할 수 있습니다.A certificate that has exceeded its expiration date can still be used to encrypt and decrypt data with TDE.

암호화 계층Encryption Hierarchy

다음 그림에서는 TDE 암호화의 아키텍처를 보여 줍니다.The following illustration shows the architecture of TDE encryption. 데이터베이스 수준 항목만(데이터베이스 암호화 키 및 ALTER DATABASE 부분은 SQL 데이터베이스SQL Database에서 TDE를 사용하는 경우 사용자가 구성활 수 있습니다.Only the database level items (the database encryption key and ALTER DATABASE portions are user-configurable when using TDE on SQL 데이터베이스SQL Database.

이 항목에서 설명하는 계층 표시Displays the hierarchy described in the topic.

투명한 데이터 암호화 사용Using Transparent Data Encryption

TDE를 사용하려면 다음 단계를 수행합니다.To use TDE, follow these steps.

||
|-|
|적용 대상: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.|

  • 마스터 키 만들기Create a master key

  • 마스터 키로 보호되는 인증서를 만들거나 얻기Create or obtain a certificate protected by the master key

  • 데이터베이스 암호화 키를 만들고 인증서로 키 보호Create a database encryption key and protect it by the certificate

  • 암호화를 사용하도록 데이터베이스 설정Set the database to use encryption

    다음 예에서는 AdventureWorks2012 라는 서버에 설치된 인증서를 사용하여 MyServerCert데이터베이스를 암호화하고 암호를 해독하는 방법을 보여 줍니다.The following example illustrates encrypting and decrypting the AdventureWorks2012 database using a certificate installed on the server named MyServerCert.

USE master;  
GO  
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';  
go  
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';  
go  
USE AdventureWorks2012;  
GO  
CREATE DATABASE ENCRYPTION KEY  
WITH ALGORITHM = AES_128  
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;  
GO  
ALTER DATABASE AdventureWorks2012  
SET ENCRYPTION ON;  
GO  

암호화 및 암호 해독 작업은 SQL ServerSQL Server에 의해 백그라운드 스레드로 예약됩니다.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. 이 항목의 뒷부분에 나오는 카탈로그 뷰 및 동적 관리 뷰를 사용하여 이러한 작업의 상태를 볼 수 있습니다.You can view the status of these operations using the catalog views and dynamic management views in the list that appears later in this topic.

주의

TDE가 사용된 데이터베이스의 백업 파일도 데이터베이스 암호화 키를 사용하여 암호화됩니다.Backup files of databases that have TDE enabled are also encrypted by using the database encryption key. 따라서 이러한 백업 파일을 복원하려면 데이터베이스 암호화 키를 보호하는 인증서를 사용할 수 있어야 합니다.As a result, when you restore these backups, the certificate protecting the database encryption key must be available. 즉, 데이터베이스 백업뿐만 아니라 데이터 손실을 방지하기 위해 서버 인증서의 백업도 유지 관리해야 합니다.This means that in addition to backing up the database, you have to make sure that you maintain backups of the server certificates to prevent data loss. 인증서를 더 이상 사용할 수 없을 경우 데이터 손실이 발생합니다.Data loss will result if the certificate is no longer available. 자세한 내용은 SQL Server Certificates and Asymmetric Keys을 참조하세요.For more information, see SQL Server Certificates and Asymmetric Keys.

명령 및 함수Commands and Functions

TDE 인증서는 다음 문에서 수락된 데이터베이스 마스터 키로 암호화되어야 합니다.The TDE certificates must be encrypted by the database master key to be accepted by the following statements. 이 인증서가 암호만으로 암호화되면 문에서는 암호기로서 이것을 거부합니다.If they are encrypted by password only, the statements will reject them as encryptors.

중요

TDE에서 인증서가 사용된 후 암호로 보호되도록 인증서가 변경되면 다시 시작한 다음에는 데이터베이스에 액세스할 수 없게 됩니다.Altering the certificates to be password-protected after they are used by TDE will cause the database to become inaccessible after a restart.

다음 표에서는 TDE 명령 및 함수에 대한 링크와 설명을 제공합니다.The following table provides links and explanations of TDE commands and functions.

명령 또는 함수Command or function 용도Purpose
CREATE DATABASE ENCRYPTION KEY(Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) 데이터베이스 암호화에 사용할 키를 만듭니다.Creates a key that is used to encrypt a database.
ALTER DATABASE ENCRYPTION KEY(Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) 데이터베이스 암호화에 사용할 키를 변경합니다.Changes the key that is used to encrypt a database.
DROP DATABASE ENCRYPTION KEY(Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) 데이터베이스 암호화에 사용한 키를 제거합니다.Removes the key that was used to encrypt a database.
ALTER DATABASE SET 옵션(Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) TDE를 설정하는 데 사용된 ALTER DATABASE 옵션에 대해 설명합니다.Explains the ALTER DATABASE option that is used to enable TDE.

카탈로그 뷰 및 동적 관리 뷰Catalog Views and Dynamic Management Views

다음 표에서는 TDE 카탈로그 뷰 및 동적 관리 뷰를 보여 줍니다.The following table shows TDE catalog views and dynamic management views.

카탈로그 뷰 또는 동적 관리 뷰Catalog view or dynamic management view 용도Purpose
sys.databases(Transact-SQL)sys.databases (Transact-SQL) 데이터베이스 정보를 보여 주는 카탈로그 뷰입니다.Catalog view that displays database information.
sys.certificates(Transact-SQL)sys.certificates (Transact-SQL) 데이터베이스의 인증서를 보여 주는 카탈로그 뷰입니다.Catalog view that shows the certificates in a database.
sys.dm_database_encryption_keys(Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) 데이터베이스에 사용된 암호화 키 및 데이터베이스 암호화의 상태에 대한 정보를 보여 주는 동적 관리 뷰입니다.Dynamic management view that provides information about the encryption keys used in a database, and the state of encryption of a database.

사용 권한Permissions

위에 표시된 표에서 설명한 것처럼 TDE의 기능 및 명령에는 각각의 사용 권한 요구 사항이 있습니다.Each TDE feature and command has individual permission requirements, described in the tables shown earlier.

TDE와 관련된 메타데이터를 보려면 인증서에 대한 VIEW DEFINITION 권한이 필요합니다.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on the certificate.

고려 사항Considerations

처리 중인 데이터베이스 암호화 작업에 대해 재암호화를 검색하는 동안에는 데이터베이스에 대한 유지 관리 작업이 비활성화됩니다.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. 데이터베이스에 단일 사용자 모드 설정을 사용하여 유지 관리 작업을 수행할 수 있습니다.You can use the single user mode setting for the database to perform the maintenance operation. 자세한 내용은 단일 사용자 모드로 데이터베이스 설정을 참조하세요.For more information, see Set a Database to Single-user Mode.

sys.dm_database_encryption_keys 동적 관리 뷰를 사용하여 데이터베이스 암호화의 상태를 찾을 수 있습니다.You can find the state of the database encryption using the sys.dm_database_encryption_keys dynamic management view. 자세한 내용은 이 항목의 앞부분에 나오는 "카탈로그 뷰 및 동적 관리 뷰" 섹션을 참조하세요.For more information, see the "Catalog Views and Dynamic Management Views"section earlier in this topic).

TDE에서는 데이터베이스의 모든 파일 및 파일 그룹이 암호화됩니다.In TDE, all files and filegroups in the database are encrypted. 데이터베이스에 READ ONLY로 표시된 파일 그룹이 있는 경우 데이터베이스 암호화 작업이 실패합니다.If any filegroups in a database are marked READ ONLY, the database encryption operation will fail.

데이터베이스가 데이터베이스 미러링이나 로그 전달에 사용되고 있을 경우 두 데이터베이스 모두 암호화됩니다.If a database is being used in database mirroring or log shipping, both databases will be encrypted. 로그 트랜잭션은 암호화되어 전송됩니다.The log transactions will be encrypted when sent between them.

중요

전체 텍스트 인덱스는 데이터베이스에 암호화가 설정될 때 암호화됩니다.Full-text indexes will be encrypted when a database is set for encryption. SQL Server 2008 이전 버전에서 만든 전체 텍스트 인덱스는 SQL Server 2008 이상으로 업그레이드하는 동안 데이터베이스에 가져와서 TDE로 암호화됩니다.Full-text indexes created prior to SQL Server 2008 will be imported into the database during upgrade to SQL Server 2008 or greater and they will be encrypted by TDE.

데이터베이스의 TDE 상태 변경을 모니터링하려면 SQL Server Audit 또는 SQL Database 감사를 사용합니다.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database Auditing. SQL Server의 경우 SQL Server 감사 동작 그룹 및 동작에서 찾을 수 있는 감사 동작 그룹 DATABASE_CHANGE_GROUP에서 TDE가 추적됩니다.For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP which can be found in SQL Server Audit Action Groups and Actions.

제한 사항Restrictions

초기 데이터베이스 암호화, 키 변경 또는 데이터베이스 암호 해독 중에는 다음 작업을 수행할 수 없습니다.The following operations are not allowed during initial database encryption, key change, or database decryption:

  • 데이터베이스의 파일 그룹에서 파일 삭제Dropping a file from a filegroup in the database

  • 데이터베이스 삭제Dropping the database

  • 데이터베이스를 오프라인으로 설정Taking the database offline

  • 데이터베이스 분리Detaching a database

  • 데이터베이스 또는 파일 그룹을 READ ONLY 상태로 전환Transitioning a database or filegroup into a READ ONLY state

    CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY 또는 ALTER DATABASE...SET ENCRYPTION 문 실행 중에는 다음 작업을 수행할 수 없습니다.The following operations are not allowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • 데이터베이스의 파일 그룹에서 파일 삭제Dropping a file from a filegroup in the database.

  • 데이터베이스 삭제Dropping the database.

  • 데이터베이스를 오프라인으로 설정Taking the database offline.

  • 데이터베이스 분리Detaching a database.

  • 데이터베이스 또는 파일 그룹을 READ ONLY 상태로 전환Transitioning a database or filegroup into a READ ONLY state.

  • ALTER DATABASE 명령 사용Using an ALTER DATABASE command.

  • 데이터베이스 또는 데이터베이스 파일 백업 시작Starting a database or database file backup.

  • 데이터베이스 또는 데이터베이스 파일 복원 시작Starting a database or database file restore.

  • 스냅숏 만들기Creating a snapshot.

    다음 작업 또는 상태에서는 CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY 또는 ALTER DATABASE...SET ENCRYPTION 문을 실행할 수 없습니다.The following operations or conditions will prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • 데이터베이스가 읽기 전용이거나 데이터베이스에 읽기 전용 파일 그룹이 포함된 경우The database is read-only or has any read-only file groups.

  • ALTER DATABASE 명령이 실행 중인 경우An ALTER DATABASE command is executing.

  • 데이터 백업이 실행 중인 경우Any data backup is running.

  • 데이터베이스가 오프라인이거나 복원 상태인 경우The database is in an offline or restore condition.

  • 스냅숏이 진행 중인 경우A snapshot is in progress.

  • 데이터베이스 유지 관리 태스크Database maintenance tasks.

    데이터베이스 파일을 만들 때 TDE가 사용하도록 설정되어 있으면 즉시 파일 초기화를 사용할 수 없습니다.When creating database files, instant file initialization is not available when TDE is enabled.

    비대칭 키로 데이터베이스 암호화 키를 암호화하려면 비대칭 키가 확장 가능 키 관리 공급자에 있어야 합니다.In order to encrypt the database encryption key with an asymmetric key, the asymmetric key must reside on an extensible key management provider.

투명한 데이터 암호화 및 트랜잭션 로그Transparent Data Encryption and Transaction Logs

TDE를 사용하도록 데이터베이스를 설정하면 가상 트랜잭션 로그의 남은 부분을 비우는 효과가 있어서 다음 가상 트랜잭션 로그를 강제로 실행할 수 있습니다.Enabling a database to use TDE has the effect of "zeroing out" the remaining part of the virtual transaction log to force the next virtual transaction log. 이렇게 하면 데이터베이스에 암호화가 설정된 후 트랜잭션 로그에 남아 있는 일반 텍스트가 없습니다.This guarantees that no clear text is left in the transaction logs after the database is set for encryption. 이 예에서와 같이 encryption_state 뷰의 sys.dm_database_encryption_keys 열을 확인하여 로그 파일 암호화의 상태를 찾을 수 있습니다.You can find the status of the log file encryption by viewing the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;  
GO  
/* The value 3 represents an encrypted state   
   on the database and transaction logs. */  
SELECT *  
FROM sys.dm_database_encryption_keys  
WHERE encryption_state = 3;  
GO  

SQL ServerSQL Server 로그 파일 아키텍처에 대한 자세한 내용은 트랜잭션 로그(SQL Server)를 참조하세요.For more information about the SQL ServerSQL Server log file architecture, see The Transaction Log (SQL Server).

데이터베이스 암호화 키를 변경하기 전에 트랜잭션 로그에 작성된 모든 데이터는 이전 데이터베이스 암호화 키를 사용하여 암호화됩니다.All data written to the transaction log before a change in the database encryption key will be encrypted by using the previous database encryption key.

데이터베이스 암호화 키를 두 번 수정한 후 다시 데이터베이스 암호화 키를 수정하려면 먼저 로그 백업을 수행해야 합니다.After a database encryption key has been modified twice, a log backup must be performed before the database encryption key can be modified again.

투명한 데이터 암호화 및 tempdb 시스템 데이터베이스Transparent Data Encryption and the tempdb System Database

SQL ServerSQL Server 인스턴스에 TDE를 사용하여 암호화된 다른 데이터베이스가 있으면 tempdb 시스템 데이터베이스가 암호화됩니다.The tempdb system database will be encrypted if any other database on the instance of SQL ServerSQL Server is encrypted by using TDE. 이로 인해 동일한 SQL ServerSQL Server인스턴스의 암호화되지 않은 데이터베이스의 성능에 영향을 미칠 수 있습니다.This might have a performance effect for unencrypted databases on the same instance of SQL ServerSQL Server. tempdb 시스템 데이터베이스에 대한 자세한 내용은 tempdb 데이터베이스를 참조하세요.For more information about the tempdb system database, see tempdb Database.

투명한 데이터 암호화 및 복제Transparent Data Encryption and Replication

복제를 수행해도 암호화된 형식의 TDE 설정 데이터베이스에 있는 데이터는 자동으로 복제되지 않습니다.Replication does not automatically replicate data from a TDE-enabled database in an encrypted form. 배포 및 구독자 데이터베이스를 보호하려면 TDE를 개별적으로 설정해야 합니다.You must separately enable TDE if you want to protect the distribution and subscriber databases. 트랜잭션 및 병합 복제를 위한 데이터의 초기 배포뿐만 아니라 스냅숏 복제도 암호화되지 않은 중간 파일(예: bcp 파일)에 데이터를 저장할 수 있습니다.Snapshot replication, as well as the initial distribution of data for transactional and merge replication, can store data in unencrypted intermediate files; for example, the bcp files. 트랜잭션 또는 병합 복제 중에 통신 채널을 보호하도록 암호화를 설정할 수 있습니다.During transactional or merge replication, encryption can be enabled to protect the communication channel. 자세한 내용은 데이터베이스 엔진에 암호화 연결 사용(SQL Server 구성 관리자)을 참조하세요.For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

투명한 데이터 암호화 및 FILESTREAM 데이터Transparent Data Encryption and FILESTREAM DATA

TDE를 사용하는 경우에도 FILESTREAM 데이터는 암호화되지 않습니다.FILESTREAM data is not encrypted even when TDE is enabled.

투명한 데이터 암호화 및 버퍼 풀 확장Transparent Data Encryption and Buffer Pool Extension

TDE를 사용하여 데이터베이스를 암호화한 경우에 BPE(버퍼 풀 확장)와 관련된 파일을 암호화하지 않습니다.Files related to buffer pool extension (BPE) are not encrypted when database is encrypted using TDE. Bitlocker와 같은 파일 시스템 수준 암호화 도구 또는 BPE 관련 파일에 대한 EFS를 사용해야 합니다.You must use file system level encryption tools like Bitlocker or EFS for BPE related files.

투명한 데이터 암호화 및 메모리 내 OLTPTransparent Data Encryption and In-Memory OLTP

TDE는 메모리 내 OLTP 개체가 포함된 데이터베이스에서 사용할 수 있습니다.TDE can be enabled on a database that has In-Memory OLTP objects. TDE를 사용하는 경우 SQL Server 2016SQL Server 2016Azure SQL 데이터베이스Azure SQL Database 메모리 내 OLTP 로그 레코드와 데이터가 암호화됩니다.In SQL Server 2016SQL Server 2016 and Azure SQL 데이터베이스Azure SQL Database In-Memory OLTP log records and data are encrypted if TDE is enabled. TDE를 사용하지만 MEMORY_OPTIMIZED_DATA 파일 그룹의 파일이 암호화되지 않으면 SQL Server 2014SQL Server 2014 메모리 내 OLTP 로그 레코드와 데이터가 암호화됩니다.In SQL Server 2014SQL Server 2014 In-Memory OLTP log records are encrypted if TDE is enabled, but files in the MEMORY_OPTIMIZED_DATA filegroup are not encrypted.

다른 SQL Server로 TDE 보호 데이터베이스 이동Move a TDE Protected Database to Another SQL Server
EKM을 사용하여 SQL Server에서 TDE를 사용하도록 설정Enable TDE on SQL Server Using EKM
Azure Key Vault를 사용한 확장 가능 키 관리(SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Azure SQL Database를 사용한 투명한 데이터 암호화Transparent Data Encryption with Azure SQL Database
SQL Data Warehouse에서 TDE(투명한 데이터 암호화) 시작Get started with Transparent Data Encryption (TDE) on SQL Data Warehouse
SQL Server 암호화SQL Server Encryption
SQL Server 및 데이터베이스 암호화 키(데이터베이스 엔진)SQL Server and Database Encryption Keys (Database Engine)

관련 항목:See Also

SQL Server 데이터베이스 엔진 및 Azure SQL Database에 대한 보안 센터 Security Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM(SQL Server)FILESTREAM (SQL Server)