TDE 준비 : 복원을위한 키 / 인증서 백업


10

TDE암호화 를 더 잘 이해하기 위해 개발 환경에서 일하고 있습니다. 다른 서버에서 백업 및 복원과 함께 작동합니다. 몇 가지 질문이 있었지만 해당 개인 키로 인증서를 백업해야한다는 것을 알고 있습니다.

USE master; 
GO 
BACKUP CERTIFICATE Test
TO FILE = 'C:\Test.cer'
WITH PRIVATE KEY
(FILE = 'C:\Test.pvk',
ENCRYPTION BY PASSWORD = 'Example12#')

장애 발생시 새 서버로 이동 / 복원해야합니다. 다른 서버로 복원해야 할 경우 필요한 소스 서버에서 백업해야 할 다른 것이 있습니까?

개인 키 저장소에 대한 제안 사항이 있습니까? 현재 제 생각은 인증서, 개인 키 및 암호를 별도로 백업하고 오프 사이트로 복제 한 KeePass 데이터베이스에 백업하는 것입니다.

KeePass 개인 키를 어디에 백업해야하는지에 대한 의문이 남아 있습니까?

답변:


5

다른 서버에서 복원하려면 인증서, 개인 키 및 데이터베이스 백업 파일을 사용하여 수행 할 수 있어야합니다.

인증서가 SQL Server의 모든 데이터베이스에서 생성되면 인증서는 암호화 계층의 일부입니다 . 마스터 데이터베이스 자체의 인증서에는 보호가 필요없는 공개 키만 포함되어 있지만 마스터 데이터베이스에는 보호해야 할 별도의 수학 관련 개인 키도 포함되어 있습니다. 개인 키를 보호하는 방법은 인증서를 작성하기 전에 마스터 데이터베이스에서 작성한 데이터베이스 마스터 키를 사용하여 개인 키를 암호화하는 것입니다. 암호화 계층의 다음 계층은 DMK가 서비스 마스터 키로 암호화된다는 것입니다. 시스템에는 SMK가 하나만 있으며 마스터 데이터베이스에 있습니다.

암호화 된 백업을 다른 서버로 복원하기 위해 DMK 및 SMK가 필요하지 않더라도 복구를 훨씬 유연하게하기 위해이 두 키를 백업합니다.

백업 암호화 인증서를 마스터 데이터베이스에 복원 할 때 비밀 키는 파일에서 개인 키를 읽고 복원 명령에 제공 한 비밀번호를 사용하여 암호를 해독 한 다음 데이터베이스 마스터 키를 사용하여 암호화하여 저장합니다. 아시다시피 인증서의 개인 키를 사용하여 백업 파일에서 데이터베이스 암호화 키를 해독하고 데이터베이스를 성공적으로 복원 할 수 있습니다.

인증서 및 키 백업 파일을 저장하기위한 특정 권장 사항은 없지만 사용자와 조직에서 재해 복구를 수행하는 사람이 사용할 수 있어야합니다.


1

Denny Cherry의 책 Securing SQL Server에서 인증서 백업을위한 보안 모범 사례를 발견했습니다.

  • 두 개의 다른 CD에 인증서 백업 굽기
  • 각 CD를 밀봉하고 서명 된 봉투에 넣습니다.
  • 이 인증서가있는 시스템의 봉투를 표시하십시오.
  • 회사 관리자의 사무실 금고에 하나의 CD를 넣습니다.
  • 다른 안전한 장소에 두 번째 CD 오프 사이트 저장
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.