Шифрование SQL Server - поворот ключей для соответствия PCI

Добрый день,

Не уверен, что этот вопрос лучше подходит для SO или SF...

Соответствие PCI требует ежегодной ротации ключей. Определение "ротации ключей", с которым я все время сталкиваюсь, расшифровывает ваши данные, а затем перекодирует с новым ключом. В самом деле? Каждый человек каждый год расшифровывает / шифрует все свои зашифрованные данные?

В настоящее время у меня есть 16 баз данных на 3 серверах с несколькими таблицами в каждой базе данных - и это будет только расти. Выполнение этого вручную открывает огромные возможности для ошибок, делая мои данные нечитаемыми. Да, я мог бы написать что-нибудь, чтобы сделать это... но действительно ли это то, что все делают? Можете ли вы порекомендовать доступный (субъективно, я знаю) сторонний инструмент?

Я видел несколько предложений об "изменении" ключей выше в иерархии. Мы используем часто рекомендуемую иерархию главного ключа базы данных, шифрующую сертификат, который шифрует симметричный ключ, который шифрует данные.

Во-первых, это не соответствует определению "вращение клавиш". Во-вторых, даже если я поменяю DMK или сертификат, это не помешает расшифровке данных с помощью того же симметричного ключа, который предположительно плохой парень украл / взломал.

Спасибо!

1 ответ

Вы не расшифровываете и не перешифруете всю базу данных, только симметричный ключ, который используется для защиты данных. Во время этой операции база данных зашифрована и занимает пару секунд.

Просто протестируйте его и напишите простой скрипт, который будет делать это ежегодно.

Не забывайте хранить старые ключи навсегда, это настоятельно рекомендуется. Они могут потребоваться, например, для восстановления старых резервных копий.

Другие вопросы по тегам