sql-server - 如何同时管理 Always Encrypted 技术和 TDE 并降低风险？

问题描述

在我们的电子刑法中，必须对客户敏感数据进行静态加密，并且所有在服务器和数据库上工作的管理员不得清楚地访问这些信息。

Microsoft 提供了三种加密敏感信息的方法。

1- TDE[透明数据加密]。

2-始终加密。

3- 始终加密的 Enclave。我们的平台不支持。

TDE 通过文档加密静态数据[文件 [mdf,ldf,bak] 已加密]。但是一旦您访问了该实例，您就可以以明文形式查看所有数据。

始终加密可以加密实例内部的数据，以防止授权用户以明文形式访问数据，除非它们具有不同的证书。它可以部署在 IIS 服务器或开发服务器中。特别是在天蓝色金库的橱窗商店中。

无论如何，通过将这两种方法混合在一起，使数据在静止时被加密，并且每个人都无法访问主证书。

在由多个团队管理的给定结构中：

1- 数据库管理员

2- 数据库备份

3-域管理员

4-本地管理员

同样在两个轮胎系统中，它使用不同的两台服务器，一台用于 IIS，另一台用于 MSSL 服务器。

通过应用上述混合，两台机器的管理员可以访问始终加密的拆分密码，然后访问信息。

我的问题：

它的可用性如何，以防止这些管理员访问信息？

标签： sql-serverencryptionarchitecturecertificatetde