Данные в состоянии покоя включают информацию, хранящуюся в постоянном хранилище на физическом носителе в любом цифровом формате. Носитель может содержать файлы на магнитном или оптическом носителе, архивные данные и резервные копии данных.
TDE и шифрование диска защищают от различных (хотя и схожих) рисков. С помощью шифрования диска или файла пользователь компьютера, имеющий доступ к файлам, может скопировать файлы базы данных (mdf, ndf, ldf) на другой компьютер, расшифровав их. А затем присоедините файлы к другому серверу SQL в качестве администратора и прочитайте все. Возможно, это делает мошеннический оператор резервного копирования.
При включенном TDE новый SQL Server не сможет читать файлы, которые будут зашифрованы ключом, который новый SQL Server не знает.
Как вы упомянули, TDE - это функция только SQL Server Enterprise Edition, поэтому шифрование диска Azure может быть вашим лучшим вариантом на виртуальной машине SQL Server, если вы не можете позволить себе оплатить лицензию Enterprise
Если вы можетерассмотрите возможность перемещения своей базы данных клиентов из IaaS в PaaS (модель DTU базы данных SQL Azure), тогда вы сможете использовать TDE в качестве части службы и вам не придется платить за лицензии SQL Server, что позволит сэкономить тысячи долларов на затратах на лицензирование и сэкономить нафункции безопасности и экономия на дисках хранения, используемых для резервного копирования (у вас есть бесплатные 35-дневные резервные копии, предоставленные PaaS).