서비스 마스터 키는 언제 백업해야합니까?


14

Transparent Data Encryption에 대한 문서와 백서를 읽고 있습니다. 일부 문서에는 서비스 마스터 키 백업에 대한 언급도 있습니다 (설명을 위해 데이터베이스 마스터 키에 대해 이야기하고 있지 않습니다). 서비스 마스터 키를 사용하지 않고 서버 A (백업)에서 서버 B (복원)로 TDE 암호화를 사용하여 데이터베이스를 백업 / 복원 할 수 있었기 때문에 이것이 왜 필요한지 정확히 이해하지 못했습니다.

어떤 시나리오에서 서비스 마스터 키를 복원해야합니까?


데이터베이스에서 암호화를 사용 하시겠습니까? 또한 TDE가 활성화 된 후 데이터베이스 백업을 생성 했습니까?
토마스 스트링거

그래, 내가 했어. 서버 B에서 인증서를 복원하려면 인증서와 키가 필요했습니다. (인증서와 키를 백업했습니다.) 그러나 BI에서 새 마스터 키 (서버 A에서 키를 복원하지 않음)를 작성하여 데이터베이스를 복원 할 수있었습니다.
gsharp

서버 B에서 TDE 인증서와 개인 키를 복원 한 경우 TDE 데이터베이스를 해독 할 수 있어야합니다. SMK 요구 사항을 읽은 문서를 가리킬 수 있습니까? 아마도 좀 더 미묘한 차이가있을 것입니다.
Remus Rusanu

@RemusRusanu에 동의합니다. 인증서는 암호화의 원동력입니다. 서비스 마스터 키에 관해서는 DR을 위해 그 백업을 백업하는 것이 일반적인 관리 모범 사례 일 뿐이라고 생각합니다.
토마스 스트링거

1
@gsharp : SMK를 백업하는 방법 을 설명 합니다 . TDE 암호화 DB를 전송할 때 SMK 백업이 필요한 이유 를 설명하는 설명서에 관심이있었습니다 .
Remus Rusanu

답변:


6

SQL 서비스 마스터 키에 대해 이야기하는 경우 실제로 복원해야하는 경우는 거의 없습니다.

SMK를 복원 해야하는 몇 가지 시나리오를 생각하고 있습니다 ...

  1. 어떻게 든 손상되었습니다.

  2. SQL Server를 재 구축하고 시스템 데이터베이스를 포함한 모든 데이터베이스를 백업에서 복원 할 계획입니다. 일반적으로이 경우에도 동일한 SQL 서비스 계정 및 비밀번호를 사용하는 경우 SMK를 복원하지 않아도됩니다.

TDE에서는 SMK를 복원 할 필요가 없습니다. 모두가 말했듯이 인증서와 개인 키만 있으면됩니다. 백업에서 인증서를 생성 할 때 대상 컴퓨터의 DMK에 의해 암호화되는 것과 동일한 데이터베이스 마스터 키를 가질 필요는 없습니다.


2

TDE 데이터베이스를 새 인스턴스로 이동할 때 올바른 인증서 (또는 비대칭 키)도 대상 master데이터베이스 에 있는지 확인해야 합니다. 이 작업을 수행하지 않으면 다음 오류가 표시됩니다.

메시지 33111, 수준 16, 상태 3, 줄 2 지문이 '0xA085414434DB4A36B29 ..................'인 서버 인증서를 찾을 수 없습니다.

TDE 사용 데이터베이스 백업과 함께 이동해야하는 것은 서비스 마스터 키가 아니지만 인증서입니다. 예를 들어, MyTDECertmaster 라는 인증서로 DEK (데이터베이스 암호화 키)를 작성했다고 가정하십시오 . 대상 인스턴스에 해당 인증서가 없으면 데이터베이스를 복원 할 수 없습니다.


그렇습니다. 제 질문은 왜 서비스 마스터 키를 백업해야하는지 (또는 어떤 목적으로) 필요한지에 대한 것입니다. 참조 technet.microsoft.com/en-us/library/aa337561
gsharp

-1

SMK를 백업 및 복원해야하는 경우는 복제 토폴로지를 업그레이드 할 때입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.