Прозрачное шифрование данных (TDE)Transparent Data Encryption (TDE)

ОБЛАСТЬ ПРИМЕНЕНИЯ: даSQL Server даБаза данных SQL AzureдаХранилище данных SQL AzureдаParallel Data WarehouseAPPLIES TO: yesSQL Server yesAzure SQL Database yesAzure SQL Data Warehouse yesParallel Data Warehouse

Прозрачное шифрование данных (TDE) позволяет шифровать файлы данных SQL ServerSQL Server, База данных SQL AzureAzure SQL Databaseи Хранилище данных SQL AzureAzure SQL Data Warehouse ; это называется шифрованием хранящихся данных.Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, База данных SQL AzureAzure SQL Database, and Хранилище данных SQL AzureAzure SQL Data Warehouse data files, known as encrypting data at rest. Чтобы защитить базу данных, можно принять ряд мер предосторожности, например спроектировать систему безопасности, проводить шифрование конфиденциальных ресурсов и поместить серверы базы данных под защиту брандмауэра.You can take several precautions to help secure the database such as designing a secure system, encrypting confidential assets, and building a firewall around the database servers. Однако если будет похищен физический носитель (например, диск или ленты резервной копии), злоумышленник может легко восстановить или подключить базу данных и получить доступ к данным.However, in a scenario where the physical media (such as drives or backup tapes) are stolen, a malicious party can just restore or attach the database and browse the data. Одним из решений может стать шифрование конфиденциальных данных в базе данных и защита ключей, используемых при шифровании, с помощью сертификата.One solution is to encrypt the sensitive data in the database and protect the keys that are used to encrypt the data with a certificate. Это не позволит использовать данные ни одному человеку, не имеющему ключей, но такой тип защиты следует планировать заранее.This prevents anyone without the keys from using the data, but this kind of protection must be planned in advance.

Функция прозрачного шифрования данных выполняет шифрование и дешифрование ввода-вывода в реальном времени для файлов данных и журналов.TDE performs real-time I/O encryption and decryption of the data and log files. При шифровании используется ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных, где можно получить к нему доступ при восстановлении.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. Ключ шифрования базы данных является симметричным ключом, защищенным сертификатом, который хранится в базе данных master на сервере, или асимметричным ключом, защищенным модулем расширенного управления ключами.The DEK is a symmetric key secured by using a certificate stored in the master database of the server or an asymmetric key protected by an EKM module. Функция прозрачного шифрования данных защищает "неактивные" данные, то есть файлы данных и журналов.TDE protects data "at rest", meaning the data and log files. Благодаря ей обеспечивается соответствие требованиям различных законов, постановлений и рекомендаций, действующих в разных отраслях.It provides the ability to comply with many laws, regulations, and guidelines established in various industries. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения.This enables software developers to encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

Важно!

Функция прозрачного шифрования данных не обеспечивает шифрование каналов связи.TDE does not provide encryption across communication channels. Дополнительные сведения о способах шифрования данных, передаваемых по каналам связи, см. в разделе Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).For more information about how to encrypt data across communication channels, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

См. также:Related topics:

Сведения о прозрачном шифровании данных (TDE)About TDE

Шифрование файла базы данных проводится на уровне страниц.Encryption of the database file is performed at the page level. Страницы в зашифрованной базе данных шифруются до записи на диск и дешифруются при чтении в память.The pages in an encrypted database are encrypted before they are written to disk and decrypted when read into memory. Прозрачное шифрование данных не увеличивает размер зашифрованной базы данных.TDE does not increase the size of the encrypted database.

Сведения, применимые к База данных SQLSQL DatabaseInformation applicable to База данных SQLSQL Database

При использовании прозрачного шифрования данных с База данных SQLSQL Database версии 12 База данных SQLSQL Database автоматически создает для вас сертификат на уровне сервера, хранящийся в базе данных master.When using TDE with База данных SQLSQL Database V12, the server-level certificate stored in the master database is automatically created for you by База данных SQLSQL Database. Чтобы переместить базу данных TDE в База данных SQLSQL Database, расшифровывать ее не нужно.To move a TDE database on База данных SQLSQL Database, you do not have to decrypt the database for the move operation. Дополнительные сведения об использовании прозрачного шифрования данных с База данных SQLSQL Database см. в статье Прозрачное шифрование данных в базе данных SQL Azure.For more information on utilizing TDE with База данных SQLSQL Database, see Transparent Data Encryption with Azure SQL Database.

Сведения, применимые к SQL ServerSQL ServerInformation applicable to SQL ServerSQL Server

После защиты базы данных ее можно восстановить с помощью правильного сертификата.After it is secured, the database can be restored by using the correct certificate. Дополнительные сведения о сертификатах см. в разделе SQL Server Certificates and Asymmetric Keys.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

При включении функции прозрачного шифрования данных необходимо немедленно создать резервную копию сертификата и закрытого ключа, связанного с этим сертификатом.When enabling TDE, you should immediately back up the certificate and the private key associated with the certificate. В случае если сертификат окажется недоступен или понадобится восстановить базу данных на другом сервере либо присоединить ее к другому серверу, необходимо иметь копии сертификата и закрытого ключа. Иначе будет невозможно открыть базу данных.If the certificate ever becomes unavailable or if you must restore or attach the database on another server, you must have backups of both the certificate and the private key or you will not be able to open the database. Сертификат шифрования следует сохранить, даже если функция прозрачного шифрования в базе данных будет отключена.The encrypting certificate should be retained even if TDE is no longer enabled on the database. Даже если база данных не зашифрована, части журнала транзакций могут по-прежнему оставаться защищенными, а для некоторых операций будет требоваться сертификат до выполнения полного резервного копирования базы данных.Even though the database is not encrypted, parts of the transaction log may still remain protected, and the certificate may be needed for some operations until the full backup of the database is performed. Сертификат, который превысил свой срок хранения, все еще может быть использован для шифрования и расшифровки данных с помощью прозрачного шифрования данных.A certificate that has exceeded its expiration date can still be used to encrypt and decrypt data with TDE.

Иерархия шифрованияEncryption Hierarchy

На рисунке ниже показана архитектура прозрачного шифрования данных.The following illustration shows the architecture of TDE encryption. При использовании прозрачного шифрования данных в База данных SQLSQL Databaseпользователь может настраивать только элементы уровня базы данных (ключ шифрования базы данных и фрагменты ALTER DATABASE).Only the database level items (the database encryption key and ALTER DATABASE portions are user-configurable when using TDE on База данных SQLSQL Database.

Отображает иерархию, описанную в разделе. Displays the hierarchy described in the topic.

Использование прозрачного шифрования данныхUsing Transparent Data Encryption

Чтобы использовать прозрачное шифрование данных, выполните следующие действия.To use TDE, follow these steps.

Область применения: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.

  • Создайте главный ключCreate a master key

  • Создайте или получите сертификат, защищенный главным ключомCreate or obtain a certificate protected by the master key

  • Создайте ключ шифрования базы данных и защитите его с помощью сертификатаCreate a database encryption key and protect it by the certificate

  • Задайте ведение шифрования базы данныхSet the database to use encryption

В следующем примере демонстрируется шифрование и дешифрование базы данных AdventureWorks2012 с помощью сертификата с именем MyServerCert, установленного на сервере.The following example illustrates encrypting and decrypting the AdventureWorks2012 database using a certificate installed on the server named MyServerCert.

USE master;  
GO  
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';  
go  
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';  
go  
USE AdventureWorks2012;  
GO  
CREATE DATABASE ENCRYPTION KEY  
WITH ALGORITHM = AES_128  
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;  
GO  
ALTER DATABASE AdventureWorks2012  
SET ENCRYPTION ON;  
GO  

Операции шифрования и дешифрования запланированы в фоновых потоках SQL ServerSQL Server.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. Состояние этих операций можно просмотреть в представлениях каталога и динамических административных представлениях в списке, представленном далее в этом разделе.You can view the status of these operations using the catalog views and dynamic management views in the list that appears later in this topic.

Внимание!

Файлы резервных копий баз данных, в которых включено TDE, также шифруются с помощью ключа шифрования базы данных.Backup files of databases that have TDE enabled are also encrypted by using the database encryption key. Поэтому для восстановления таких резервных копий необходимо иметь сертификат, защищающий ключ шифрования базы данных.As a result, when you restore these backups, the certificate protecting the database encryption key must be available. Это значит, что помимо резервного копирования базы данных обязательно необходимо сохранять резервные копии сертификатов серверов, чтобы не допустить потери данных.This means that in addition to backing up the database, you have to make sure that you maintain backups of the server certificates to prevent data loss. Если сертификат станет недоступным, это приведет к потере данных.Data loss will result if the certificate is no longer available. Дополнительные сведения см. в статье SQL Server Certificates and Asymmetric Keys.For more information, see SQL Server Certificates and Asymmetric Keys.

Команды и функцииCommands and Functions

Чтобы в следующих инструкциях можно было использовать сертификаты TDE, они должны быть зашифрованы главным ключом базы данных.The TDE certificates must be encrypted by the database master key to be accepted by the following statements. Если они зашифрованы только паролем, то они будут отклонены инструкциями как шифраторы.If they're encrypted by password only, the statements will reject them as encryptors.

Важно!

Если после использования сертификатов в TDE включить защиту паролем, база данных станет недоступной после перезапуска.Altering the certificates to be password-protected after they are used by TDE will cause the database to become inaccessible after a restart.

В следующей таблице представлены ссылки и объяснения команд и функций TDE.The following table provides links and explanations of TDE commands and functions.

Команда или функцияCommand or function НазначениеPurpose
CREATE DATABASE ENCRYPTION KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) Создает ключ, используемый для шифрования базы данных.Creates a key that is used to encrypt a database.
ALTER DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) Изменяет ключ, используемый для шифрования базы данных.Changes the key that is used to encrypt a database.
DROP DATABASE ENCRYPTION KEY (Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) Удаляет ключ, использовавшийся для шифрования базы данных.Removes the key that was used to encrypt a database.
Параметры ALTER DATABASE SET (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) Объясняет параметр ALTER DATABASE , который используется для включения TDE.Explains the ALTER DATABASE option that is used to enable TDE.

Представления каталога и динамические административные представленияCatalog Views and Dynamic Management Views

В следующей таблице показаны представления каталогов и динамические административные представления TDE.The following table shows TDE catalog views and dynamic management views.

Представление каталога или динамическое административное представлениеCatalog view or dynamic management view НазначениеPurpose
sys.databases (Transact-SQL)sys.databases (Transact-SQL) Представление каталога со сведениями о базе данных.Catalog view that displays database information.
sys.certificates (Transact-SQL)sys.certificates (Transact-SQL) Представление каталога с сертификатами из базы данных.Catalog view that shows the certificates in a database.
sys.dm_database_encryption_keys (Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) Динамическое административное представление со сведениями о ключах шифрования, используемых в базе данных, и состоянии шифрования базы данных.Dynamic management view that provides information about the encryption keys used in a database, and the state of encryption of a database.

РазрешенияPermissions

Для каждой функции или команды TDE действуют отдельные требования к разрешениям, описанные в таблицах выше.Each TDE feature and command has individual permission requirements, described in the tables shown earlier.

Для просмотра метаданных, связанных с TDE, необходимо разрешение VIEW DEFINITION на сертификат.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on the certificate.

ЗамечанияConsiderations

Во время проверки базы данных на повторное шифрование, выполняемой для операции шифрования, операции обслуживания базы данных отключаются.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. Для выполнения операции обслуживания базы данных можно использовать однопользовательский режим.You can use the single user mode setting for the database to perform the maintenance operation. Дополнительные сведения см. в разделе Установка однопользовательского режима базы данных.For more information, see Set a Database to Single-user Mode.

Состояние шифрования базы данных можно определить с помощью динамического административного представления sys.dm_database_encryption_keys.You can find the state of the database encryption using the sys.dm_database_encryption_keys dynamic management view. Дополнительные сведения см. выше в подразделе "Представления каталога и динамические административные представления" этого раздела.For more information, see the "Catalog Views and Dynamic Management Views"section earlier in this topic).

В режиме TDE все файлы и файловые группы зашифрованы.In TDE, all files and filegroups in the database are encrypted. Если какие-либо файловые группы в базе данных помечены признаком READ ONLY, то операция шифрования базы данных завершится сбоем.If any filegroups in a database are marked READ ONLY, the database encryption operation will fail.

Если база данных используется в зеркальном отображении базы данных или в доставке журналов, то зашифрованы будут обе базы данных.If a database is being used in database mirroring or log shipping, both databases will be encrypted. Транзакции журналов при передаче между ними будут передаваться в зашифрованном виде.The log transactions will be encrypted when sent between them.

Важно!

Полнотекстовые индексы будут шифроваться после включения шифрования базы данных.Full-text indexes will be encrypted when a database is set for encryption. Полнотекстовые индексы, созданные до версии SQL Server 2008, будут импортированы в базу данных во время обновления до SQL Server 2008 или более поздней версии, и к ним будет применено прозрачное шифрование данных.Full-text indexes created prior to SQL Server 2008 will be imported into the database during upgrade to SQL Server 2008 or greater and they will be encrypted by TDE.

Совет

Чтобы отслеживать изменения в состоянии прозрачного шифрования для базы данных, используйте аудит базы данных SQL или подсистему аудита SQL Server.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database Auditing. Для SQL Server прозрачное шифрование данных отслеживается в группе действий аудита DATABASE_CHANGE_GROUP, которую можно найти в списке Действия и группы действий подсистемы аудита SQL Server.For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP which can be found in SQL Server Audit Action Groups and Actions.

ОграниченияRestrictions

При первом шифровании базы данных, изменении ключа или дешифровании базы данных не допускаются следующие операции:The following operations are not allowed during initial database encryption, key change, or database decryption:

  • удаление файла из файловой группы в базе данных;Dropping a file from a filegroup in the database

  • удаление базы данных;Dropping the database

  • перевод базы данных в режим «вне сети»;Taking the database offline

  • отсоединение базы данных;Detaching a database

  • перевод базы данных или файловой группы в состояние READ ONLY.Transitioning a database or filegroup into a READ ONLY state

При выполнении инструкций CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY или ALTER DATABASE...SET ENCRYPTION не допускаются следующие операции:The following operations are not allowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • удаление файла из файловой группы в базе данных;Dropping a file from a filegroup in the database.

  • Удаление базы данных.Dropping the database.

  • перевод базы данных в режим «вне сети»;Taking the database offline.

  • отсоединение базы данных;Detaching a database.

  • перевод базы данных или файловой группы в состояние READ ONLY;Transitioning a database or filegroup into a READ ONLY state.

  • использование команды ALTER DATABASE;Using an ALTER DATABASE command.

  • запуск резервного копирования базы данных или файла базы данных;Starting a database or database file backup.

  • запуск восстановления базы данных или файла базы данных;Starting a database or database file restore.

  • создание моментального снимка.Creating a snapshot.

Следующие операции или условия запрещают выполнение инструкций CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY или ALTER DATABASE...SET ENCRYPTION.The following operations or conditions will prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • база данных предназначена только для чтения, или в ней есть файловые группы, доступные только для чтения;The database is read-only or has any read-only file groups.

  • выполняется команда ALTER DATABASE;An ALTER DATABASE command is executing.

  • выполняется какая-либо операция резервного копирования;Any data backup is running.

  • база данных находится в состоянии восстановления или в состоянии «вне сети»;The database is in an offline or restore condition.

  • идет создание моментального снимка;A snapshot is in progress.

  • выполняется задача обслуживания базы данных.Database maintenance tasks.

При создании файлов базы данных быстрая инициализация файлов недоступна при включенном TDE.When creating database files, instant file initialization is not available when TDE is enabled.

Чтобы зашифровать ключ шифрования базы данных с помощью асимметричного ключа, используемый асимметричный ключ должен находиться в поставщике расширенного управления ключами.In order to encrypt the database encryption key with an asymmetric key, the asymmetric key must reside on an extensible key management provider.

Прозрачное шифрование данных и журналы транзакцийTransparent Data Encryption and Transaction Logs

Включение TDE в базе данных приводит к «обнулению» оставшейся части виртуального журнала транзакций и принудительному началу нового виртуального журнала транзакций.Enabling a database to use TDE has the effect of "zeroing out" the remaining part of the virtual transaction log to force the next virtual transaction log. Это гарантирует, что после включения шифрования базы данных в журналах транзакций не останется простого текста.This guarantees that no clear text is left in the transaction logs after the database is set for encryption. Состояние шифрования файла журнала можно определить, просмотрев столбец encryption_state в представлении sys.dm_database_encryption_keys, как показано в примере:You can find the status of the log file encryption by viewing the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;  
GO  
/* The value 3 represents an encrypted state   
   on the database and transaction logs. */  
SELECT *  
FROM sys.dm_database_encryption_keys  
WHERE encryption_state = 3;  
GO  

Дополнительные сведения об архитектуре файлов журнала SQL ServerSQL Server см. в разделе Журнал транзакций (SQL Server).For more information about the SQL ServerSQL Server log file architecture, see The Transaction Log (SQL Server).

Все данные, записанные в журнале транзакций до изменения ключа шифрования базы данных, будут зашифрованы с помощью предыдущего ключа шифрования базы данных.All data written to the transaction log before a change in the database encryption key will be encrypted by using the previous database encryption key.

После двукратного изменения ключа шифрования базы данных необходимо выполнить резервное копирование журнала перед следующим изменением ключа шифрования базы данных.After a database encryption key has been modified twice, a log backup must be performed before the database encryption key can be modified again.

Прозрачное шифрование данных и системная база данных tempdbTransparent Data Encryption and the tempdb System Database

Системная база данных tempdb будет шифроваться, если с помощью TDE шифруется любая другая база данных в экземпляре SQL ServerSQL Server .The tempdb system database will be encrypted if any other database on the instance of SQL ServerSQL Server is encrypted by using TDE. Это может влиять на производительность незашифрованных баз данных в том же экземпляре SQL ServerSQL Server.This might have a performance effect for unencrypted databases on the same instance of SQL ServerSQL Server. Дополнительные сведения о системной базе данных tempdb см. в разделе База данных tempdb.For more information about the tempdb system database, see tempdb Database.

Прозрачное шифрование данных и репликацияTransparent Data Encryption and Replication

Репликация данных не выполняется автоматически в зашифрованном виде из базы данных с включенным TDE.Replication does not automatically replicate data from a TDE-enabled database in an encrypted form. Необходимо отдельно включить TDE, если нужно защитить базы данных распространителя и подписчика.You must separately enable TDE if you want to protect the distribution and subscriber databases. При репликации моментальных снимков и начальном распределении данных для репликации транзакций и репликации слиянием данные могут храниться в незашифрованных промежуточных файлах, например файлах BCP.Snapshot replication, as well as the initial distribution of data for transactional and merge replication, can store data in unencrypted intermediate files; for example, the bcp files. Во время репликации транзакций или репликации слиянием шифрование можно включить для защиты каналов связи.During transactional or merge replication, encryption can be enabled to protect the communication channel. Дополнительные сведения см. в разделе Включение шифрования соединений в компоненте Database Engine (диспетчер конфигураций SQL Server).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

Прозрачное шифрование данных и данные FILESTREAMTransparent Data Encryption and FILESTREAM DATA

Данные FILESTREAM не шифруются, даже если включено прозрачное шифрование данных.FILESTREAM data is not encrypted even when TDE is enabled.

Сканирование — прозрачное шифрование данных (TDE)Transparent Data Encryption (TDE) scan

Чтобы включить прозрачное шифрование данных (TDE) для базы данных, SQL ServerSQL Server должен выполнить сканирование шифрования. При этом каждая страница считывается из файлов данных в буферный пул, после чего зашифрованные страницы записываются обратно на диск.In order to enable Transparent Data Encryption (TDE) on a database, SQL ServerSQL Server must perform an encryption scan that reads each page from the data file(s) into the buffer pool, and then writes the encrypted pages back out to disk. Для предоставления пользователю большего контроля над сканированием шифрования в Предварительная версия SQL Server 2019SQL Server 2019 preview появился синтаксис приостановки и возобновления сканирования TDE. Он позволяет приостанавливать сканирование, когда система сильно загружена, или в критически важные периоды времени, а затем возобновлять сканирование.To provide the user with more control over the encryption scan, Предварительная версия SQL Server 2019SQL Server 2019 preview introduces TDE scan - suspend and resume syntax so that you can pause the scan while the workload on the system is heavy, or during business-critical hours, and then resume the scan later.

Чтобы приостановить сканирование шифрования TDE, используйте следующий синтаксис:Use the following syntax to pause the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION SUSPEND;

Чтобы возобновить сканирование шифрования TDE, используйте следующий синтаксис:Similarly, the following syntax resumes the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION RESUME;

Для определения текущего состояния сканирования шифрования в динамическое административное представление sys.dm_database_encryption_keys добавлен столбец encryption_scan_state.To show the current state of the encryption scan, encryption_scan_state has been added to the sys.dm_database_encryption_keys dynamic management view. Кроме того, появился столбец encryption_scan_modify_date, который содержит дату и время последнего изменения состояния сканирования шифрования.There is also a new column called encryption_scan_modify_date which will contain the date and time of the last encryption scan state change. Кроме того, обратите внимание на то, что если экземпляр SQL ServerSQL Server перезапускается, когда сканирование шифрования приостановлено, при запуске в журнал ошибок записывается сообщение о том, что имеется приостановленное сканирование.Also note that if the SQL ServerSQL Server instance is restarted while the encryption scan is in a suspended state, a message will be logged in the error log on startup indicating that there is an existing scan that has been paused.

Прозрачное шифрование и расширение буферного пулаTransparent Data Encryption and Buffer Pool Extension

Файлы, касающиеся расширения буферного пула, не шифруются, если база данных зашифрована с помощью прозрачного шифрования данных.Files related to buffer pool extension (BPE) are not encrypted when database is encrypted using TDE. Необходимо использовать средства шифрования на уровне файловой системы, такие как BitLocker или файловая система EFS для файлов с расширением BPE.You must use file system level encryption tools like BitLocker or EFS for BPE related files.

Прозрачное шифрование данных и In-Memory OLTPTransparent Data Encryption and In-Memory OLTP

Прозрачное шифрование данных можно включить в базе данных, которая содержит объекты OLTP в памяти.TDE can be enabled on a database that has In-Memory OLTP objects. В SQL Server 2016 (13.x)SQL Server 2016 (13.x) и База данных SQL AzureAzure SQL Database записи журнала выполняющейся в памяти OLTP шифруются, если включено TDE.In SQL Server 2016 (13.x)SQL Server 2016 (13.x) and База данных SQL AzureAzure SQL Database In-Memory OLTP log records and data are encrypted if TDE is enabled. В SQL Server 2014 (12.x)SQL Server 2014 (12.x) записи журнала выполняющейся в памяти OLTP шифруются, если включено TDE, однако файлы в файловой группе MEMORY_OPTIMIZED_DATA не шифруются.In SQL Server 2014 (12.x)SQL Server 2014 (12.x) In-Memory OLTP log records are encrypted if TDE is enabled, but files in the MEMORY_OPTIMIZED_DATA filegroup are not encrypted.

Перемещение базы данных, защищаемой прозрачным шифрованием, в другой экземпляр SQL ServerMove a TDE Protected Database to Another SQL Server
Включение прозрачного шифрования данных в SQL Server с помощью расширенного управления ключамиEnable TDE on SQL Server Using EKM
Расширенное управление ключами с помощью хранилища ключей Azure (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Прозрачное шифрование данных в Базе данных SQL AzureTransparent Data Encryption with Azure SQL Database
Начало работы с прозрачным шифрованием данных (TDE) в хранилище данных SQLGet started with Transparent Data Encryption (TDE) on SQL Data Warehouse
Шифрование SQL ServerSQL Server Encryption
Ключи шифрования базы данных и SQL Server (ядро СУБД)SQL Server and Database Encryption Keys (Database Engine)

См. также:See Also

Центр обеспечения безопасности для базы данных Azure SQL и SQL Server Database Engine Security Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM (SQL Server)FILESTREAM (SQL Server)