SQL Always Encrypted CMK证书存储最佳实践
技术问答
396 人阅读
|
0 人回复
|
2023-09-11
|
|
我正在将SQL Always Encrypted(SQL始终加密)发布到我们的数据库中,并对有关存储CMK证书的最佳实践方法有疑问。
6 H! K5 R9 a9 Y0 P5 B我们在Windows服务器2016框上托管了.Net
( i3 Y$ `# F( g& i) o/ SWeb应用,每个应用都分配了不同的AD服务帐户(SA)作为其应用程序池ID。我们在单独的服务器上有一个SQL
; l2 d" { {2 u; q% `Server实例。这种方法使我们能够隔离和限制每个应用程序对数据库的访问,并且运行良好。$ J* k r; b' U, N7 W
我不想将CMK证书导入本地计算机Windows证书存储区,因为这将意味着服务器上的所有用户(主要是服务器管理员)将有权访问证书,从而能够解密证书中的数据。数据库。
2 R1 M9 n/ Y. \2 c2 {我目前已以SA身份登录到服务器,并在本地用户下安装了证书。这是我能想到的最安全的选项,因为SA仅能够解密信息,这意味着只有应用程序可以解密数据,而其他用户则不能。但是,我遇到的问题是SA似乎需要一直登录到服务器,这不是一个可行的长期解决方案(如果重新启动服务器,则该帐户将被注销,并且我的应用程序将失败)
( a. Q$ |9 e( @" Y X6 ~有没有人找到关于安全存储CMK最佳位置的官方Microsoft指南?+ Q! r( v# J4 }/ Y# `
非常感谢, Q! S/ t* S0 U$ r/ j$ R+ ~ C2 {
1 \# z, ~% r4 t
解决方案: |
|
|
|
|
|
|
|
|
|
