Alternativas ao SQL Server TDE

Devido ao alto custo do SQL Server Enterprise Edition, que inclui o recurso de criptografia de dados transparente, estou procurando um produto alternativo e encontrei apenas algumas opções:

• DbDefence
• NetLib Encryptionizer

Alguém poderia fornecer detalhes de sua experiência com qualquer um dos produtos acima (impacto no desempenho, facilidade de uso, etc.)?

Alguma outra alternativa ao SQL Server TDE?

Nota: No momento, estamos usando o SQL Server 2008 R2 Standard Edition.

Temos alguns servidores mistos, usando criptografia, dependendo da necessidade dos negócios. Para servidores muito críticos, decidimos atualizar para a edição Enterprise, pois ela não apenas fornece a TDE, mas também outros benefícios quando se trata de desempenho ou solução de problemas.

Sim, o TDE é bastante eficaz e muito bom, mas, como vem com um custo, decidimos para empresas de média e baixa prioridade usar uma ferramenta de terceiros como o NetLib.

Gostaria de destacar alguns de seus benefícios, conforme nosso uso:

• Fornece criptografia de dados transparente e criptografia de coluna para todas as versões do SQL Server de 2000 a 2014 e para todas as edições do SQL Server do Express à Enterprise. A TDE do SQL Server está disponível apenas na edição Enterprise do SQL Server 2008 e posterior.
• Fácil de configurar e manter. Demoramos apenas 5-6 minutos para fazê-lo, uma vez que estávamos cientes do que precisava ser feito.
• As chaves do banco de dados são armazenadas fora do SQL Server, incluindo locais alternativos, como rede, mídia removível, etc.
• A criptografia de dados transparente do Encryptionizer praticamente não afeta o desempenho do banco de dados (<1%) em um servidor de tamanho adequado. Alguns relatórios de benchmark mostram que o SQL Server TDE tem maior impacto no desempenho entre 5 e 10%.
• Suporte para FILESTREAMS (SQL Server 2008 e SQL Server 2014).
• Oferece suporte a backups compactados do SQL Server (COM COMPRESSÃO).
• É possível criptografar os bancos de dados do sistema, incluindo o masterbanco de dados e o tempdbbanco de dados.

Não ouvi muito sobre o DbDefence, mas sim, acredito que ele suporta replicação, envio de logs e espelhamento. Leia aqui para mais informações.

Acredito que você pode experimentar os produtos acima e decidir de acordo com as necessidades comerciais que melhor se adequam ao seu ambiente.

Recentemente, tive que pesquisar informações para criptografar os dados sem comprar o Enterprise Edition, o que é demais para o nosso orçamento. Aqui está o que eu encontrei:

Desde o SQL Server 2016 SP1, o recurso Always Encrypted está incluído nas edições expressas do SQL Server. Ele não fornece criptografia de banco de dados inteira, como TDE, DbDefence e NetLib Encryptionizer, você precisa definir as colunas que deseja criptografar. Mas tem a vantagem de ser feito automaticamente. Portanto, pode ser uma boa alternativa.

Outra possibilidade é criptografar diretamente os arquivos com EFS ou BitLocker. Esses dois recursos estão incluídos no Windows.

Para o EFS, você precisa definir os arquivos que deseja criptografar e apenas o usuário que criptografou os arquivos pode lê-los / copiá-los (portanto, você deve usar a conta que executará o serviço SQL Server). Mas isso pode trazer problemas de desempenho.

O BitLocker criptografa o banco de dados inteiro, mas requer um hardware específico: um módulo TPM no servidor.

Ainda tenho que testar o DbDefence and Encryptionizer, mas atualizarei minha resposta quando o fizer.

Como você apontou, existem duas alternativas principais ao TDE: Encryptionizer e DBDefence. Eles funcionam de maneira muito diferente: o Encryptionizer fica entre o SQL Server e o sistema operacional. DBDefence injeta código no processo SQL em execução usando o SDK Detours (agora extinto). Ambos suportam todas as versões e edições do SQL Server. (Isenção de responsabilidade: sou da NetLib Security ).