TDE چیست؟ آشنایی با مفهوم Tranparent Data Encryption و نحوه اجرای آن در SQL Server

TDE (Tranparent Data Encryption) به‌عنوان یک عنصر محوری در ساختار امنیتی SQL Server عمل می‌کند و روشی یکپارچه و منسجم برای اطمینان از رمزگذاری داده در حالت Rest ارائه می‌دهد. با توجه به اینکه امنیت دیجیتال همچنان یک دغدغه اساسی برای کسب و کارها محسوب می‌شود، محافظت از اطلاعات حساس ذخیره‌شده در سیستم‌های پایگاه داده حائز اهمیت فراوانی است. به همین دلیل، وجود روش‌هایی برای رمزگذاری اطلاعات ضروری محسوب می‌شود، در این مقاله به بررسی TDE می‌پردازیم. برای آشنایی با جزئیات این مباحث و همچنین درک بهتر روش‌های Encryption ، پیشنهاد می‌کنیم مقاله آموزش رمزگذاری در SQL Server را نیز مطالعه کنید.

 TDE چیست؟

TDE یا Tranparent Data Encryption، رمزگذاری و رمزگشایی ورودی / خروجی (I/O) را به‌صورت بلادرنگ برای فایل‌های داده و گزارش در SQL Server انجام می‌دهد. این قابلیت تضمین می‌کند که داده‌ها قبل از نوشته‌شدن روی حافظه، رمزگذاری شده و هنگام خواندن مجدد به SQL Server رمزگشایی شوند. روش TDE از دسترسی غیرمجاز کاربرانی جلوگیری می‌کند که ممکن است مجوز دسترسی به فایل‌های فیزیکی را داشته باشند.

ویژگی های مهم TDE در SQL Server 2022

Feature های کلیدی TDE در SQL Server عبارتند از:

• خودکارسازی رمزنگاری: TDE به‌طور خودکار داده‌ها را پیش از نوشتن روی دیسک، رمزنگاری می‌کند و هنگام خواندن مجدد به SQL Server، آن‌ها را بدون نیاز به تغییر در اپلیکیشن‌ها رمزگشایی می‌کند.
• پشتیبانی از الگوریتم‌های رمزنگاری جدید: SQL Server از الگوریتم‌های رمزنگاری پیشرفته مانند AES-256 پشتیبانی می‌کند. به این ترتیب، امنیت در برابر حملات رمزنگاری احتمالی افزایش می‌یابد.
• بهینه‌سازی عملکرد: با بهبود در استفاده از CPU و کارایی I/O ، تأثیر TDE بر عملکرد سرور در آخرین نسخه‌ها به حداقل مقدار رسیده است.
• یکپارچه‌سازی با Azure Key Vault: برای سازمان‌هایی که از محیط‌های ترکیبی استفاده می‌کنند، یکپارچه‌سازی SQL Server با Azure Key Vault به منظور مدیریت و ذخیره‌سازی کلیدهای رمزنگاری انجام می‌شود و بدین ترتیب، مدیریت کلید را به شیوه ایمن و به شکل قابل توجهی تسهیل می‌بخشد.

مفاهیم ضروری در امنیت SQL Server

در این بخش، به بررسی چند مفهوم کلیدی از امنیت SQL Server اشاره می‌شود:

Encryption چیست؟

رمزنگاری فرآیندی است که در آن متن ساده (متن عادی) یا هر نوع دیتای دیگری در قالب کدگذاری شده یا متن‌رمز (Ciphertext) تبدیل می‌شود؛ به طوری که این کدگذاری به‌راحتی توسط افراد غیرمجاز قابل درک نیست. این تبدیل با استفاده از یک الگوریتم و یک کلید انجام می‌شود. هدف از رمزنگاری، اطمینان از محرمانه‌بودن داده‌ها با حفظ حریم خصوصی آن‌ها در هنگام ذخیره‌سازی یا انتقال است. 

Decryption چیست؟

رمزگشایی، فرآیندی است که داده‌های رمزگذاری‌شده (متن‌رمز) را به شکل اصلی خود، یعنی متن ساده، برمی‌گرداند و آن را قابل‌فهم می‌کند. به زبان ساده، در علم کامپیوتر Decryption به معنی رمزگشایی داده‌ها با استفاده از کلیدی است که عملیات Encryption با آن انجام شده است.

Key چیست؟

کلید در رمزنگاری، یک اطلاعات یا پارامتری است که خروجی عملکردی یک الگوریتم رمزنگاری را تعیین می‌کند. برای الگوریتم‌های رمزگذاری و رمزگشایی، کلید بسیار مهم است؛ زیرا تبدیل دقیق متن ساده به متن‌رمز یا برعکس را مشخص می‌کند. امنیت داده‌های رمزگذاری شده عمدتاً به دو عامل، یعنی قدرت الگوریتم رمزنگاری و محرمانه بودن کلید بستگی دارد. اگر کلید شناخته شده یا قابل پیش‌بینی باشد، رمزنگاری شکسته می‌شود و داده‌ها توسط دیگران قابل خواندن خواهند بود. می‌توان کلیدها را در رمز‌گذاری به‌صورت زیر دسته‌بندی کرد:

• کلیدهای متقارن (Symmetric Keys): این کلیدها در الگوریتم‌های رمزنگاری متقارن استفاده می‌شوند. در این روش، از یک کلید یکسان برای رمزنگاری و رمزگشایی داده‌ها استفاده می‌شود.
• کلیدهای نامتقارن (Asymmetric Keys): این کلیدها در الگوریتم‌های رمزنگاری نامتقارن به کار می‌روند. در این روش، دو کلید مجزا، یعنی کلید عمومی (Public Key) و کلید خصوصی (Private Key) مورد استفاده قرار می‌گیرند.

آشنایی با فایل های فیزیکی بانک های اطلاعاتی در SQL Server

SQL Server از فایل‌های فیزیکی پایگاه داده برای ذخیره و مدیریت کارآمد داده‌ها استفاده می‌کند. این فایل‌ها روی دیسک ذخیره می‌شوند و نقش مهمی در عملکرد و مدیریت پایگاه‌های داده ایفا می‌کنند. در SQL Server 2022 ، به‌طور معمول دو نوع اصلی فایل وجود دارد:

فایل های داده

• فایل داده اصلی (MDF): هر پایگاه داده SQL Server دارای یک فایل داده اصلی است که همه اشیای داده ، شامل انواع جدول، View و پروسیجر ذخیره‌شده را در خود دارا است. این فایل حاوی اطلاعات Startup برای پایگاه داده و اشاره‌گر به سایر فایل‌های موجود در دیتابیس است. توجه کنید که پسوند فایل داده اصلی mdf. خواهد بود.
• فایل‌های داده ثانویه (NDF): این فایل‌ها اختیاری هستند و برای انتشار داده‌ها در چندین دیسک با قرار دادن آن‌ها در گروه‌های فایل (filegroups) مختلف استفاده می‌شوند. این عمل به متعادل سازی ورودی / خروجی (I/O)، بهبود عملکرد و مدیریت کارآمدتر پایگاه‌های داده بزرگ کمک می‌کند. این فایل ها دارای پسوند ndf. هستند.

فایل های گزارش (Log Files)

منظور از Log File ها همان فایل گزارش تراکنش (LDF) است. پایگاه‌های داده SQL Server از فایل‌های گزارش برای ذخیره‌سازی اطلاعات مربوط به تمام تراکنش‌ها و تغییرات دیتابیسی انجام‌شده توسط هر تراکنش، استفاده می‌شود. این فایل‌ها به منظور حفظ یکپارچگی پایگاه داده و پشتیبانی از بازیابی پایگاه داده ضروری هستند و پسوند آن‌ها ldf. است.

محافظت از فایل های دیتابیس

برای اطمینان از یکپارچگی و امنیت داده‌ها، سازمان‌ها از استراتژی‌های مختلفی برای محافظت از فایل‌های پایگاه داده استفاده می‌کنند. در اینجا روش‌های به‌روزشده متناسب با قابلیت‌های SQL Server آورده شده‌اند:

۱- پیاده سازی پیکربندی های RAID

استفاده از RAID، یک استراتژی مهم برای محافظت از فایل‌های پایگاه داده است. این روش نه‌تنها به افزونگی داده برای جلوگیری ازدست‌رفتن اطلاعات درصورت خرابی سخت‌افزار کمک می‌کند، بلکه عملکرد دسترسی به داده را نیز بهبود می‌بخشد. موارد زیر در این زمینه حائز اهمیت هستند:

• تحمل خطای بهبودیافته: پیکربندی‌های RAID، مانند RAID 5 یا RAID 10، با ارائه Redundancy، از داده‌ها دربرابر ازدست‌رفتن یک یا چند خرابی دیسک جلوگیری می‌کنند.
• عملکرد ارتقاء یافته: RAID با توزیع داده‌ها در چندین دیسک، می‌تواند سرعت دسترسی به داده و عملیات نوشتن را نیز افزایش دهد.

۲- محدودسازی دسترسی شبکه ای و فیزیکی

امنیت دسترسی فیزیکی و شبکه‌ای به فایل‌های پایگاه داده به‌منظور جلوگیری از دسترسی غیرمجاز، ضروری محسوب می‌شود. از این رو، لازم است به موارد زیر توجه شود:

• مجوزهای سیستم فایل: برای محدودکردن دسترسی به فایل‌های پایگاه داده، مجوزهای دقیق سیستم فایل را تنظیم کنید. SQL Server 2022 با Active Directory ویندوز ادغام می‌شود؛ بنابراین، امکان کنترل دقیق و پیشرفته بر افرادی که می‌توانند براساس اعتبار کاربری خود به این فایل‌ها دسترسی داشته باشند را فراهم می‌کند.
• رمزنگاری داده در حالت Rest: به خاطر داشته باشید که SQL Server 2022 از TDE و Always Encrypted پشتیبانی می‌کند. این مکانیزم‌ها برای رمزگذاری مستقیم داده‌ها در داخل پایگاه داده ارائه شده‌اند.

۳- امنیت Backup

برای جلوگیری از نشت داده ازطریق بکاپ گیری SQL Server 2022 موارد زیر را تضمین می‌کند:

• پشتیبان‌های رمزگذاری‌شده
• پشتیبان مدیریت‌شده به Azure

۴- مقابله با تهدیدات داخلی و نقض های خارجی

• بررسی و نظارت: برای ردیابی و تجزیه‌وتحلیل فعالیت‌های اطراف داده‌های حساس، یک سیستم جامع به‌منظور بررسی و نظارت پیاده‌سازی کنید.
• حفاظت پیشرفته در برابر تهدیدات: از قابلیت‌های Advanced Threat Protection در SQL Server 2022 برای شناسایی و پاسخ به تهدیدات بالقوه از هردو عامل داخلی و خارجی استفاده کنید.

روش‌های Encrypt کردن اطلاعات در SQL Server

در SQL Server برای Encrypt کردن اطلاعات چهار روش زیر وجود دارد:

• استفاده از Passphrase (عبارت عبور): در این روش عملیات Encryption و Decryption با استفاده از یک رمز عبور دریافتی از کاربر انجام می‌شود.
• استفاده از Symmetric Key (کلید متقارن): در این روش از یک کلید برای انجام عملیات Encryption و Decryption استفاده می‌شود. برای ایجاد این نوع کلیدها در SQL Server از الگوریتم‌هایی مانند DES ، Triple ، DESX و… استفاده می‌شود.
• استفاده از Asymmetric Key (کلید نامتقارن): در این روش از یک Private Key (کلید خصوصی) برای انجام عملیات Encryption و یک Public Key (کلید خصوصی) برای انجام عملیات Decryption استفاده می‌شود. برای ایجاد این نوع کلیدها در SQL Server از الگوریتم‌هایی مانند RSA_512، ،RSA_1024 و… استفاده می‌شود.
• استفاده از Certificate (گواهینامه‌ها): در SQL Server یک Public Key Certificate (گواهینامه کلید عمومی) به‌عنوان Certificate شناخته می‌شود. Certificate شامل یک Public Key (کلید عمومی) است که آن را به یک کاربر، دستگاه یا سرویس نسبت می‌دهد و با استفاده از یک Private Key (کلید خصوصی) مرتبط به‌صورت انحصاری قابل شناسایی است.

سلسله مراتب Encryption در SQL Server

SQL Server از یک ساختار سلسله‌مراتبی برای انجام عملیات Encryption و مدیریت Key استفاده می‌کند. به‌طورکلی، این ساختار در سه سطح زیر است:

1. در سطح سیستم عامل (Windows Level)
2. در سطح SQL Server (SQL Server Level)
3. در سطح بانک اطلاعاتی (Database Level)

در پایین‌ترین سطح از این ساختار Data قرار دارد که هدف نهایی ما برای انجام عملیات Encryption محسوب می‌شود. Data توسط Key های دیگر Encrypt می‌شود. همچنین Encrypt شدن این Key توسط سایر Key های دیگر نیز وجود دارد. درنهایت، کلیه این کلیدها توسط Database Master Key یا DMK کد می‌شوند. DMK نیز توسط Service Master Key یا SMK نگهداری می‌شود و در بالاترین سطح ویندوز از SMK توسط Data Protection API یا DPAPI محافظت به عمل می‌آورد.

مزایای TDE چیست؟

عمده‌ترین مزایای TDE به شرح زیر است:

• امنیت داده در حالت Rest
• سهولت پیاده‌سازی
• رمزنگاری فایل پشتیبان
• تأثیر حداقلی روی کارایی
• مدیریت کلید به‌صورت یکپارچه

TDE چگونه کار می کند؟

TDE با استفاده از یک کلید Encrypt شده (Database Encryption Key/DEK) که در Boot Record بانک اطلاعاتی وجود دارد کار می‌کند. کلید TDE با کمک یک Certicificate که در پایگاه داده Master قرار دارد، Encrypt شده است. همچنین کلید موجود در پایگاه داده Master توسط Service Master Key رمزگذاری شده است. در صورتی که یکی از فایل‌ها یا نسخه‌های پشتیبان مربوط به بانک اطلاعاتی به سرقت بروند، محتوای آن بدون داشتن Cerificate موجود در پایگاه داده Master ارزشی ندارد.

زمانی که SQL Server بخواهد اطلاعات را از دیسک به Buffer Pool (بخشی از حافظه RAM متعلق به SQL Server) منتقل نماید، عملیات Decryption با استفاده از DEK انجام می‌شود و در صورتیکه SQL Server خواهان انتقال اطلاعات موجود در Buffer Pool به دیسک باشد، با استفاده از DEK عملیات Encryption را انجام می‌دهد. نکته مهم این است که SQL Server به‌طور خودکار این عملیات را انجام می‌دهد.

بنابراین، چنانچه به هر نحو، فایل‌ها یا نسخه پشتیبان مربوط به بانک اطلاعاتی شما به بیرون دَرز کند، حتماً به همان کلیدی که عملیات Encrypt و Decrypt با آن انجام شده، نیاز خواهید داشت.

راه اندازی TDE

برای راه‌اندازی TDE باید سلسله‌مراتب Encryption مربوط به آن را از بالا به پایین راه‌اندازی کنید.

۱- ایجاد Data Master Key

DMK یا Database Master Key به ازای هر بانک اطلاعاتی به‌طور جداگانه وجود دارد و اطمینان می‌دهد که از کلیه کلیدهای موجود در بانک اطلاعاتی (Symmetric Key, Asymmetric Key, Certificate) توسط آن محافظت خواهد شد. DMK با استفاده از الگوریتم Triple DES و Passwordی که کاربر تعیین می‌کند، محافظت می‌شود. با توجه به اینکه TDE نیاز به استفاده از DMK دارد، باید آن را حتماً در بانک اطلاعاتی Master راه‌اندازی کنید.

USE Master
GO
--Master Key ایجاد
CREATE MASTER KEY ENCRYPTION BY PASSWORD ='DMK_Password'
GO

۲- ایجاد Certificate

همان‌طور که پیش‌تر اشاره شد، Certificate موردنیاز TDE باید در بانک اطلاعاتی Master باشد.

USE master
GO
--TDECert با نام Certificate ایجاد
CREATE CERTIFICATE TDECert WITH SUBJECT ='MyCert'
GO

۳- ایجاد Database Encryption Key

DEK کلید مخصوص Encryption داده‌ها است. محل ایجاد DEK برروی بانک اطلاعاتی موردنظر شما است. DEK با استفاده از یک الگوریتم که توسط کاربر تعیین می‌شود، عملیات Encryption را انجام می‌دهد. الگوریتم انتخابی می‌تواند AES_192, AES_128, AES_256 و Triple_DES_3KEY باشد.

USE YourDB
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM=AES_256 --AES_192,AES_128,TRIPLE_DES_3KEY
ENCRYPTION BY SERVER CERTIFICATE TDECert
GO

۴- فعال سازی TDE برروی بانک اطلاعاتی

 زمانی که TDE را برروی بانک اطلاعاتی خود فعال کنید، SQL Server به‌طور خودکار، کلیه اطلاعات موجود در بانک اطلاعاتی شما را با استفاده از DEK رمزگذاری می‌کند. ممکن است مدت زمان Encryption با توجه به حجم بانک اطلاعاتی و قدرت سخت‌افزار شما کوتاه یا طولانی باشد. باید در نظر داشته باشید که طی انجام عملیات Encryption ، سرویس SQL را از دسترس خارج نکنید تا عملیات Encryption به‌طور کامل انجام شود. لازم به ذکر است در صورت انجام این کار، عملیات Encryption ادامه خواهد یافت.

USE YourDB
GO
--برای بانک اطلاعاتیTDE فعال سازی قابلیت
ALTER DATABASE YourDB SET ENCRYPTION ON
GO

حال اگر فایل‌های بانک اطلاعاتی (Backup, Data File, Log File) که با استفاده از TDE رمزگذاری شده است را برروی یک سرور دیگر مورد استفاده قرار دهید، با خطای زیر مواجه خواهید شد:

USE master
GO
--در این سرور وجود نداردCertificate, Database Master Key چون
--امکان استفاده فایل های بانک اطلاعاتی وجود ندارد
EXEC sp_attach_db 'YourDB','C:\TDE_TEST\YourDB.dmf'
GO

مراحل جا به جایی بانک های اطلاعاتی حاوی TDE فعال

برای جابجایی بانک‌های اطلاعاتی که TDE برروی آن‌ها فعال است، باید مراحل زیر طی شوند:

تهیه نسخه پشتیبان از Service Master Key

با توجه به اینکه SMK به ازای یک Instance از SQL Server به‌وجود می‌آید، تهیه نسخه پشتیبان از آن ضروری است. در صورتی که در Instance جدید SMK مربوط به Instance قدیمی موجود نباشد، فایل‌های بانک اطلاعاتی (با فرض انجام مراحل دیگر تا انتها) در دسترس بوده، ولی به ازای هربار Restart سرویس SQL Server ، بانک اطلاعاتی از دسترس خارج خواهد شد. جهت تهیه نسخه پشتیبان از SMK ، از دستور زیر استفاده نمایید:

--در سرور مبدا SMK تهیه نسخه پشتیبان از
BACKUP SERVICE MASTER KEY TO FILE='C:\TDE_TEST\SMK.bak'
ENCRYPTION BY PASSWORD='SMK_Password'
GO

تهیه نسخه پشتیبان از Database Master Key

 برای استفاده از DMK در سرور مقصد، باید Backup آن در سرور مبدأ تهیه شود. جهت تهیه آن می‌توانید از دستور زیر استفاده نمایید:

--در سرور مبدا DMK تهیه نسخه پشتیبان از
BACKUP MASTER KEY TO FILE ='C:\TDE_TEST\DMK.bak'
ENCRYPTION BY PASSWORD ='DMK_Password_Backup'
GO

تهیه نسخه پشتیبان از Certificate

جهت تهیه نسخه پشتیبان از Certificate، در سرور مبدأ، از دستور زیر استفاده کنید:

USE YourDB
GO
--در سرور مبدا Certificate تهیه نسخه پشتیبان از
BACKUP CERTIFICATE TDECert TO FILE='C:\TDE_Test\CertBackup.bak'
WITH PRIVATE KEY
(
FILE='C:\TDE_Test\PrivateKey.bak',
ENCRYPTION BY PASSWORD='Cert_Password_Backup'
)
GO

حال چنانچه بخواهید فایل‌های (Backup ,Data File, Log File) بانک اطلاعاتی را در سرور مقصد مورد استفاده قرار دهید، به‌راحتی می‌توانید با انجام مراحل زیر، آن‌ها را در سرور مقصد مورد استفاده قرار دهید.

• بازیابی نسخه پشتیبان مربوط به Service Master Key: جهت بازیابی SMK از دستور زیر استفاده نمایید:

--در سرور مقصد SMK بازیابی نسخه پشتیبان
RESTORE SERVICE MASTER KEY FROM FILE='C:\TDE_Test\SMK.bak'
DECRYPTION BY PASSWORD='SMK_Password'
GO

• بازیابی نسخه پشتیبان مربوط به Database Master Key: جهت بازیابی DMK از دستور زیر استفاده نمایید:

--در سرور مقصد DMK بازیابی نسخه پشتیبان
RESTORE MASTER KEY FROM FILE='C:\TDE_Test\DMK.bak'
DECRYPTION BY PASSWORD='DMK_Password_Backup'
ENCRYPTION BY PASSWORD='DMK_Password'
GO
--در سرور مقصد DMK باز کردن
OPEN MASTER KEY DECRYPTION BY PASSWORD='DMK_Password'

• بازیابی نسخه پشتیبان مربوط به Certificate: جهت بازیابی نسخه پشتیبان Certificate از دستور زیر استفاده نمایید:

--در سرور مقصد Certificate بازیابی نسخه پشتیبان
CREATE CERTIFICATE TDECert FROM FILE ='C:\TDE_Test\CertBackup.bak'
WITH PRIVATE KEY
(
FILE='C:\TDE_Test\PrivateKey.bak',
DECRYPTION BY PASSWORD='Cert_Password_Backup'
)
GO

• استفاده از فایل‌های مربوط به بانک اطلاعاتی: اگر هرکدام از نسخه‌های پشتیبان تهیه‌شده مربوط به SMK ،DMK و Certificate را در سرور مقصد بازیابی کنید، به‌راحتی می‌توانید فایل‌های مربوط به بانک اطلاعاتی را مورد استفاده قرار دهید.

EXEC sp_attach_db 'YourDB','C:\TDE_TEST\YourDB.dmf'

نکاتی مهم درباره استفاده از TDE

هنگام استفاده از TDE باید به نکات زیر توجه داشت:

1. با توجه به اینکه عملیات Encrypt و Decrypt کردن داده‌ها بیشترین استفاده از CPU را می‌کند، ممکن است این عملیات باعث افزایش کارکرد CPU شود و در برخی از موارد کارایی Database پایین آید.
2. هنگامی که بانک اطلاعاتی شما با استفاده از TDE رمزگذاری شده است، به‌طور خودکار کلیه Backup های مربوط به بانک اطلاعاتی، ازجمله Full Backup ,Differential Backup و Log Backup رمزگذاری خواهند شد.

جمع بندی: رمزگذاری به روش TDE

رمزنگاری TDE یک لایه امنیتی حیاتی برای محافظت از داده‌ها در حالت Rest ارائه می‌دهد و به انطباق با مقررات و همچنین حفاظت از اطلاعات حساس در برابر دسترسی غیرمجاز کمک می‌کند. بدین ترتیب، محرمانگی، یکپارچگی و در دسترس بودن داده‌ها حفظ خواهد شد.