Alternativas a SQL Server TDE

Debido al alto costo de SQL Server Enterprise Edition, que incluye la función de cifrado de datos transparente, estoy buscando un producto alternativo y solo he encontrado un par de opciones:

• DbDefence
• NetLib Encryptionizer

¿Podría alguien proporcionar detalles de su experiencia con cualquiera de los productos anteriores (impacto en el rendimiento, facilidad de uso, etc.)?

¿Alguna otra alternativa a SQL Server TDE?

Nota: Actualmente estamos utilizando SQL Server 2008 R2 Standard Edition.

Tenemos bastantes servidores mixtos, que usan encriptación, dependiendo de la necesidad del negocio. Para servidores muy críticos, decidimos actualizar a la edición Enterprise, ya que no solo proporciona TDE sino también otros beneficios cuando se trata de rendimiento o solución de problemas.

Sí, TDE es bastante efectivo y muy bueno, pero dado que tiene un costo, decidimos que las empresas de prioridad media y baja utilicen una herramienta de terceros como NetLib.

Me gustaría destacar algunos de sus beneficios, según nuestro uso:

• Proporciona cifrado de datos transparente y cifrado de columna para todas las versiones de SQL Server desde 2000 hasta 2014, y para todas las ediciones de SQL Server desde Express hasta Enterprise. El TDE de SQL Server está disponible solo en la edición Enterprise de SQL Server 2008 y posterior.
• Fácil de configurar y mantener. Nos tomó apenas 5-6 minutos hacerlo, una vez que nos dimos cuenta de lo que había que hacer.
• Las claves de la base de datos se almacenan fuera de SQL Server, incluidas ubicaciones alternativas como la red, los medios extraíbles, etc.
• El cifrado de datos transparente de Encryptionizer prácticamente no tiene impacto en el rendimiento de la base de datos (<1%) en un servidor de tamaño adecuado. Algunos informes de referencia muestran que el TDE de SQL Server tiene un mayor impacto en el rendimiento entre el 5-10%.
• Soporte para FILESTREAMS (SQL Server 2008 y SQL Server 2014).
• Admite copias de seguridad comprimidas de SQL Server (CON COMPRESIÓN).
• Posible cifrar bases de datos del sistema, incluidas la masterbase de datos y la tempdbbase de datos.

No he escuchado mucho sobre DbDefence, pero sí, creo que es compatible con la replicación, el envío de registros y la duplicación. Lee aquí para más información.

Creo que puede probar los productos anteriores y decidir, según las necesidades comerciales, cuál se adapta mejor a su entorno.

Recientemente tuve que buscar información para cifrar los datos sin comprar la Edición Enterprise, que es demasiado para nuestro presupuesto. Esto es lo que encontré:

Desde SQL Server 2016 SP1, la función Siempre cifrado se incluye en las ediciones express de SQL Server. No proporciona cifrado de base de datos completo como TDE, DbDefence y NetLib Encryptionizer, debe definir las columnas que desea cifrar. Pero tiene la ventaja de hacerse automáticamente. Por lo tanto, puede ser una buena alternativa.

Otra posibilidad es cifrar directamente los archivos con EFS o BitLocker. Estas dos características están incluidas en Windows.

Para EFS, debe definir los archivos que desea cifrar, y solo el usuario que cifró los archivos puede leerlos / copiarlos (por lo tanto, debe usar la cuenta que ejecutará el servicio SQL Server). Pero puede traer problemas de rendimiento.

BitLocker encripta toda la base de datos, pero requiere tener un hardware específico: un módulo TPM en el servidor.

Todavía tengo que probar DbDefence y Encryptionizer pero actualizaré mi respuesta cuando lo haga.

Como señaló, hay dos alternativas principales a TDE: Encryptionizer y DBDefence. Sin embargo, funcionan de manera muy diferente: Encryptionizer se encuentra entre SQL Server y el sistema operativo. DBDefence inyecta código en el proceso SQL en ejecución utilizando el SDK Detours (ahora desaparecido). Ambos admiten todas las versiones y ediciones de SQL Server. (Descargo de responsabilidad: soy de NetLib Security ).