Открыть сервис

Transparent Data Encryption

Transparent Data Encryption (TDE) — это технология шифрования данных, реализуемая на уровне подсистемы ввода-вывода (storage engine) системы управления базами данных (СУБД). Основное назначение TDE заключается в автоматическом прозрачном шифровании и дешифровании хранимых данных (как файлов базы данных, так и резервных копий) без внесения изменений в приложения, структуру таблиц, запросы или схемы данных. Ключевая особенность — шифрование происходит на уровне записи данных на диск (шифрование «на лету»), и данные остаются расшифрованными в оперативной памяти при работе СУБД, что отличает TDE от решений по защите на уровне приложений или столбцов.

Принцип работы

Технология TDE основана на двухуровневой ключевой архитектуре, которая обеспечивает защиту данных и контроль доступа к ключам. Механизм включает два основных элемента: главный ключ шифрования и ключ шифрования базы данных.

Двухуровневая ключевая архитектура

Процесс шифрования и дешифрования

При включении TDE для конкретной базы данных, СУБД запускает фоновую операцию чтения-записи для шифрования всех существующих страниц данных (экстентов) и файлов журнала транзакций. Новые данные, записываемые на диск (в момент контрольной точки или при нехватке буферной памяти), шифруются автоматически.

  1. Запись данных: при записи данных на диск, содержимое страницы данных сначала помещается в буферный пул (кэш). Перед физической записью на диск (операция write), СУБД вызывает DEK для шифрования содержимого страницы.
  2. Чтение данных: при чтении страницы с диска (операция read), СУБД загружает зашифрованную страницу в буферный пул. В момент помещения в кэш происходит расшифровка страницы. Таким образом, в оперативной памяти базы данных хранятся в открытом (незашифрованном) виде.

Этот процесс полностью прозрачен для пользователя и приложения — все операции выполняются до того, как данные уйдут на диск или попадут в процесс приложения.

Классификация и разновидности

Несмотря на единый принцип, TDE может различаться в зависимости от производителя СУБД и реализуемых механизмов управления ключами:

Характеристики и возможности

Основные технические характеристики TDE:

Применение и значение

TDE нашёл широкое применение в корпоративных системах, где требуется соблюдение нормативных требований по защите данных (комплаенс) и политикам информационной безопасности.

Примеры применения

Ограничения и критика

Несмотря на все преимущества, TDE не является универсальным средством защиты данных.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →