在SQL Server 2016中，始终加密和透明数据加密之间有什么区别？

在撰写本文时，我仍在等待SQL Server 2016的正式发布，以便我们可以探索其“始终加密”功能的有用性。

我只想知道始终加密与SQL Server 2016中当前可用的透明数据加密之间的具体区别是什么，以便我们可以为将来的项目做出正确的决定。

与始终加密相比，透明数据加密的缺点：

• 仅保护静态数据-备份和数据文件“安全”，但移动或内存中的数据易受攻击
• 仅整个数据库
• 所有数据以相同方式加密

• 备份压缩可能需要更长的时间，并且会适得其反

  • 好吧，实际上，SQL Server 2016中进行了一些改进，以克服我们通常试图压缩加密数据的知识-它比以前的版本要好得多，但可能比仅加密少数列（未经测试）还差。
• tempdb还继承了加密-即使禁用了TDE也会保留
• 需要企业版
• 数据始终可供sysadmin访问

始终加密部分或全部解决了所有这些问题：

• 静态，动态和内存中的数据受到保护-对证书，密钥以及确切的人可以解密数据的更多控制
• 可以只是一列
• 加密类型是一种选择：
  • 可以使用确定性加密来支持索引和点查找（例如SSN）
  • 可以使用随机加密来提供更高的保护（例如信用卡号）
• 由于它不在数据库范围内，因此备份压缩不一定受到影响-当然，加密的列越多，运气就越差
• tempdb不参与
• 从SQL Server 2016 Service Pack 1开始，``始终加密''现在适用于所有版本
• 可以保护数据免受sysadmin（但不能保护sysadmin和Windows安全性/证书/密钥管理员，换句话说，您可以将责任分开，只要这两个组没有共谋）

但是，存在一个限制，那就是并非所有驱动程序和应用程序都可以直接处理加密数据，因此在某些情况下，这将需要更新/更改驱动程序和/或修改代码。

简而言之，TDE是静态（在磁盘上）加密的数据，AE是另外在线上加密的数据。