Активация TDE для баз данных контента SharePoint

Активация TDE на существующей базе данных контента SharePoint несложна и сводит-ся к выполнению следующих высокоуровневых шагов:

1. Создание DMK.

2. Создание сертификата TDE.

3. Создание копии сертификата TDE.

4. Создание DEK.

5. Шифрование базы данных.

6. Наблюдение за выполнением.

Создание главного ключа базы данных (DMK)

Первым этапом в активации TDE является создание DMK. Ни один из описанных ниже шагов невозможно выполнить из графической консоли SQL — их надо выполнять с помощью TSQL-сценариев. Лучше создать эти сценарии заранее, а затем выполнить их поочередно, как показано на рис. 17.10.

TSQL-сценарий для создания DMK приведен ниже. Замените в нем пароль на установленный в вашей организации и храните его в надежном месте.

USE master;

GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = * CrypticTDEpw4CompanyABC';

GO

После создания DMK его можно использовать для создания сертификата TDE.

Создание сертификата TDE

Снова воспользуемся командами TSQL. Сертификат TDE можно сгенерировать из DMK на сервере.

Защита конфиденциальных данных в.'«Hanf o!fil

Глава 17

«S*>»• at' ■■сг—" > v* IwKmifiim»1чи1|У|11«Д

1>I(4 nnMilcUf.J

. 1 "

^«MMtkhduent

ego

Puc 17.10. Создание DMK

В приведенном ниже сценарии замените имя и тему сертификата на нужные в вашей организации:

USE master;

GO

CREATE CERTIFICATE CompanyABCtdeCert WITH SUBJECT = 'CompanyABC TDE Certificate'; GO

Копирование сертификата TDE

После создания сертификата нужно сразу же создать его копию и сохранить в надежном месте, отдельно от резервных копий баз данных SQL для SharePoint. Если эта копия ключа потеряется, копии баз будут бесполезны. Для копирования сертификата используйте такой TSQL-сценарий:

USE master;

GO

BACKUP CERTIFICATE CompanyABCtdeCert TO FILE = 'C:\Backup\CompanyABCtdeCERT.

cer'

WITH PRIVATE KEY (

FILE = 'C:\Backup\CompanyABCtdeCert.pvk',

ENCRYPTION BY PASSWORD = 'CrypticTDEpw4CompanyABC!');

GO

ВНИМАНИЕ!

Очень важно выполнить копирование и затем сохранить этот ключ в надежном отказоустойчивом месте. При его утере весь контент SharePoint в зашифрованных базах данных будет навсегда утерян.

Обратите внимание, что в сценарии указано и копирование приватного ключа (CompanyABCtdeCert.pvk). Этот приватный ключ необходимо хранить вместе с копией

f I mi m щи— и и ii и н¹.чм, ШИН1Д и инимщция льни» муры sriareromt

414 |------------------------—. L ' Часть III

сертификата и восстанавливать с сертификатом TDE, если понадобится восстановить базы данных, зашифрованные с помощью TDE, на другом сервере. Обратите также внимание что здесь сертификат зашифрован с помощью пароля, введенного вручную: он может понадобиться для восстановления приватного ключа и сертификата, так что обязательно запишите его и храните в надежном месте.

Создание DEK

После этого сертификат TDE можно использовать для создания DEK, который будет применяться для шифрования отдельной базы данных контента SharePoint. Используйте синтаксис наподобие приведенного ниже, только замените SharePointContentDB именем вашей базы контента SharePoint. Для каждой шифруемой базы данных контента необходимо создать уникальный ключ DEK.

USE SharePointContentDB;

GO

CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES256

ENCRYPTION BY SERVER CERTIFICATE CompanyABCtdeCert

GO

Шифрование базы данных

И, наконец, используйте DEK для шифрования конкретной базы данных контента SharePoint. Замените имя БД в приведенном ниже сценарии на имя вашей БД. Повторите предыдущий и этот шаги для всех остальных баз данных контента SharePoint.

USE SharePointContentDB GO

ALTER DATABASE SharePointContentDB SET ENCRYPTION ON

GO

Наблюдение за выполнением

TDE сразу же приступит к шифрованию базы данных контента. Это возможно и на ходу, т.е. для используемой базы данных. В зависимости от размера базы процесс может занять значительное время. Наблюдать за процессом шифрования можно с помощью другого сценария (см. ниже), который выводит все базы данных с состоянием шифрования, равным 3. Состояние шифрования 1 означает отсутствие шифрования, значение 2 указывает, что процесс шифрования начался, а 3 — что шифрование завершено. Выполняйте этот сценарий, пока состояние шифрования базы данных не станет равным 3, как показано на рис. 17.11.

USE SharePointContentDB GO

SELECT *

FROM sys.dm_database_encryption_keys WHERE encryption_state =3;

GO

Повторите этот процесс для всех остальных баз данных.

~гукцита! кон<т<цДВТ?|Пальыых данных в м larf-t'ol

Глава 17

415