2014-08-27 40 views
1

我有一個要求,防止ops team中的DBA查看單元級別的加密數據。SQL Server單元級別加密:阻止DBA查看數據

是否有可能在SQL Server中這樣做:

a。將加密密鑰管理功能委託給一個人(安全PM)並撤銷對他的所有數據訪問。 b。從系統管理員刪除加密密鑰管理&訪問功能。

通過這樣做,除非兩個勾結他們不能看到數據。

+0

爲什麼哦,爲什麼你想阻止你的DBA查看數據?如果有一個人需要*信任,那麼您的DBA。 – 2014-08-27 22:39:18

+0

具有諷刺意味的是,這項要求本身來自行動管理:)試圖足以推回。現在我需要找出是否有可能。 – frosty 2014-08-27 22:53:45

+0

對此我會說:「如果DBA有訪問權限,他可以訪問系統,如果他沒有訪問權限,他不是DBA」。哦,我感到你的痛苦。 – 2014-08-27 23:10:13

回答

0

如果您使用的是2008R2或更高版本的企業版,那麼您需要的是一個可擴展密鑰管理系統。 EKM的確切功能就是您所描述的功能。 EKM的硬件安全模塊將包含密鑰和算法,並執行加密和解密功能。 SQL Server將只包含加密的數據。 EKM的管理可以委派給您的安全管理人員。 EKM對於應用程序應該是透明的。

SQL Server 2016也有一個名爲Always Encrypted的特性。這將加密密鑰放入客戶端驅動程序並將其與服務器分開。