Если база данных полностью зашифрована, как может работать запрос?

Question

Мы используем SQL Server, который вскоре будет обновлен до последней версии SQL Server, которую я считаю SQL Server 2017. Я хотел бы иметь возможность перенести некоторые из наших баз данных в облако, по крайней мере, для разработки.Наша компания установила множество протоколов безопасности, и некоторым (важным) сотрудникам компании неудобно, когда информация PII или корпоративная информация находятся в облаке.Не то чтобы я их винил.Я читал, что базы данных SQL Server могут быть зашифрованы, и читал некоторые документы.Это может быть решением для меня, поскольку я могу поместить некоторые из наших данных в облако.

Я не могу понять, как можно написать запрос к зашифрованной базе данных, хотя бы эта база данных не былавременно расшифрован.Будут ли поля, указанные в запросах или представлениях, преобразованы в зашифрованные значения для выполнения запроса?Или есть какой-то другой способ, которым это обрабатывается.Я видел некоторые статистические данные о накладных расходах TDS, и хотя это не красиво, это может быть выполнимо.Может ли кто-нибудь объяснить не совсем непрофессионалу, как обрабатывается это шифрование?

Answer 1

Я не могу понять, как можно написать запрос к зашифрованной базе данных

Существует разница, если вы шифруете базу данных или данные.

Часто сама база данных может зашифровать базу данных (например, MSSQL), или инфраструктура хостинга может зашифровать хранилище данных.В этом случае - сами данные хранятся в зашифрованном виде, но шифрование прозрачно для аутентифицированных клиентов (аутентифицированный клиент будет запрашивать данные, как и раньше, ничего не меняется).Ключ управляется инфраструктурой или базой данных.

Другой вариант - сохранение данных, уже зашифрованных клиентом, например, шифрование только PII клиентским приложением.

Сохранение всех данных, уже зашифрованных, приведет клибо данные недоступны для поиска, либо вам потребуется использовать детерминистическое (семантически незащищенное) шифрование.Это то, что предложил предыдущий ответ.Для этого есть даже хороший инструмент CryptDB , который действует как прокси-сервер шифрования при запросах к базе данных.

Answer 2

Когда вы выполняете поиск по зашифрованным данным, вам придется зашифровать свой поисковый запрос по тому же алгоритму, по которому были зашифрованы данные.Это исключает возможность поиска типа LIKE и возможности отображения данных в виде простого текста.