SQL Server 2014新特性原生備份加密

sql server 2014 ctp2之後公布了一項針對備份的特性，那就是原生備份加密。考慮到之前網路上影響很壞的資料庫洩漏事件，本質上都是資料庫備份洩漏給第三方導致，sql server的原聲資料備份可以使得即使備份本身被盜，在沒有加密證書的情況下也無法使用，這有效的解決了上述資料洩漏問題。

在sql server 2014之前，如果希望實現對備份實現加密，會通過如下兩種方式之一實現：

首先來談一下使用透明資料加密，如果僅僅是為了對備份加密，使用tde有點過於大材小用，因為使用tde會導致資料庫本身和日誌被加密，對cpu帶來額外開銷，此外，使用tde加密過的資料庫如果使用備份壓縮，壓縮比率會非常低。如果使用sql server 2014的原生備份加密，則無需對整個資料庫進行加密，備份僅僅在被寫入磁碟之前被加密。原聲備份加密如果結合備份壓縮功能，那麼會先進行壓縮，再加密，從而得到非常高的壓縮比率。

其次使用第三方備份加密工具需要額外的費用，並且在執行過程中也會有比較繁瑣的操作成本，使用第三方備份當需要對備份到azure的備份進行加密時，將會非常繁瑣，而使用原生備份加密，可以直接對備份到azure的備份進行加密，從而對off-site備份提供了額外的安全性。

在sql server 2014 企業版、bi版、標準版中包括了該功能。使用備份加密需要有二個先決條件：

下面使用原聲資料加密對備份加密，首先建立證書：

建立完成後，直接使用證書進行備份加密：

database testbk to

disk ='c:\test_encrypted.bak'

with compression, encryption (algorithm = aes_256, server certificate = backupcertificate);

結果如圖1所示，在圖1中，注意到sql server給出了提示資訊要備份證書以及證書的私鑰，否則資料將無法使用。通常在最佳實踐中，當證書建立時就應該備份，資料安全永遠是第一位的。

圖1.提示備份證書私鑰

在圖1中，注意到備份指定的加密演算法是aes_256演算法。sql server 2014提供了4種對備份加密的演算法，分別是aes128、aes196、aes256和三重des演算法。

在sql server 2014的management studio中也對原聲備份加密提供了gui的支援，如圖2所示。

圖2.gui對原生備份加密的gui支援

前文提到，使用原生備份加密可以使得備份壓縮幾乎不受加密的影響，下面備份乙個2.5g左右的測試庫，指定壓縮備份，第乙個例子僅使用壓縮備份，第2-4例子使用壓縮備份+不同的壓縮演算法，測試語句如圖3所示。

圖3.測試語句

圖4看到，使用備份加密對資料庫備份大小幾乎毫無影響。

圖4.不同的加密演算法對備份壓縮幾乎毫無影響

圖5.加密演算法對備份的影響

由圖4和圖5的結論可以得出，無論使用了何種加密演算法，加密對壓縮比率幾乎毫無影響。

使用原生備份加密是一項極大的消耗cpu的操作，下面在圖3的基礎上進一步新增不壓縮備份的情況，備份的時間如圖6所示。

圖6.不同壓縮演算法下備份時間

由圖6測試可以看出，除了3des演算法需要消耗的時間較長之外，aes演算法在cpu不成為備份機瓶頸的情況下，對備份時間並無太大的影響。但加密對具體環境的影響會因環境而已，不同環境下的測試結果呈現可能會大相徑庭，如果擔心原生加密備份對效能產生影響，請先在具體環境進行測試。

sql server原聲備份加密對資料安全提供了非常好的解決方案。使用原生備份加密基本不會增加備份檔案大小，並且打破了使用透明資料加密後幾乎沒有壓縮率的窘境。使用原生備份加密無論在將資料備份到異地資料中心，還是將資料備份到雲端，都可以以非常低的成本對資料提供額外的安全保障。

SQL Server 2014新特性原生備份加密

SQL Server 2014新特性其他

SQL Server 2014新特性分割槽索引重建

sql server 2014記憶體表

SQL Server 2014新特性 原生備份加密

SQL Server 2014新特性 其他

SQL Server 2014新特性 分割槽索引重建

sql server 2014記憶體表

相關推薦

SQL Server 2014新特性原生備份加密

SQL Server 2014新特性其他

SQL Server 2014新特性分割槽索引重建