SQL Server TDE的替代方法

由于包含透明数据加密功能的SQL Server Enterprise Edition的成本很高，我在寻找替代产品，但只找到了两个选择：

• DbDefence
• NetLib加密器

谁能提供上述两种产品的使用经验的详细信息（性能影响，易用性等）？

还有其他替代SQL Server TDE的方法吗？

注意：我们当前正在使用SQL Server 2008 R2 Standard Edition。

我们有很多混合服务器，根据业务需要使用加密。对于非常关键的服务器，我们决定升级到企业版，因为它不仅提供TDE，而且在性能或故障排除方面还具有其他优势。

是的，TDE非常有效且非常出色，但是由于成本较高，因此我们决定让中低优先级企业使用诸如NetLib之类的第三方工具。

根据我们的用法，我想强调它的一些好处：

• 为2000年至2014年的所有版本的SQL Server，以及从Express到Enterprise的所有版本的SQL Server提供透明数据加密和列加密。SQL Server的TDE仅在SQL Server 2008及更高版本的企业版中可用。
• 易于设置和维护。一旦我们知道需要做些什么，我们几乎就不用花5到6分钟就可以做到。
• 数据库密钥存储在SQL Server外部，包括备用位置，例如网络，可移动媒体等。
• 在适当大小的服务器上，Encryptionizer的透明数据加密几乎不会影响数据库性能（<1％）。一些基准报告显示，SQL Server TDE对性能的影响在5-10％之间。
• 支持FILESTREAMS（SQL Server 2008和SQL Server 2014）。
• 支持SQL Server压缩备份（带有压缩）。
• 可以加密系统数据库，包括master数据库和tempdb数据库。

我对DbDefence的了解还很少，但是是的，我相信它支持复制，日志传送和镜像。在这里阅读更多信息。

我相信您可以试用上述产品，并根据最适合您环境的业务需求做出决定。

最近，我不得不搜索信息来加密数据，而没有购买企业版，这对于我们的预算来说实在是太多了。这是我发现的：

从SQL Server 2016 SP1开始，始终加密功能包含在SQL Server的快速版本中。它不提供TDE，DbDefence和NetLib Encryptionizer等完整的数据库加密，您必须定义要加密的列。但是它具有自动完成的优势。因此，它可能是一个不错的选择。

另一种可能性是使用EFS或BitLocker直接加密文件。Windows中包括这两个功能。

对于EFS，您必须定义要加密的文件，只有加密文件的用户才能读取/复制它们（因此，您必须使用将运行SQL Server服务的帐户。）。但这会带来性能问题。

BitLocker加密整个数据库，但需要具有特定的硬件：服务器中的TPM模块。

我尚未测试DbDefence和Encryptionizer，但在测试时会更新答案。

正如您所指出的，TDE有两种主要替代方案：Encryptionizer和DBDefence。但是它们的工作方式却大不相同：加密器位于SQL Server和操作系统之间。DBDefence使用（现在已不存在）Detours SDK将代码注入正在运行的SQL Process中。两者都支持SQL Server的所有版本。（免责声明：我来自NetLib Security）。