- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在 SQL Server 2016 中为主题“始终加密”做一些演示。没什么疑问。以下是遵循的步骤:
在数据库服务器中(托管在 Microsoft Azure VM 中):
MyTable
中,创建了列加密 key (CEK) 和主加密 key (CMK)Select * from MyTable
,显示加密数据。(来自应用程序和数据库服务器)Column Encryption Setting=Enabled
。怀疑:
在数据库服务器(在 MS Azure VM 中)中,如果系统管理员登录(SQL 身份验证)使用附加参数列加密设置 = 已启用
连接到 SSMS,则会显示纯文本数据(期望加密数据) )。 我的理解是,应用程序用户之外的任何人都不应看到纯文本数据)。谁能解释一下吗?
最佳答案
在第 3 步中,您提到要从数据库服务器导出证书,为了确保最大的安全性,从不将证书存储在数据库服务器上。服务器不需要访问证书。
If a SysAdmin login (SQL Authentication) connects to SSMS with additional parameter Column Encryption Setting=Enabled, It is shows plain text data (expecting encrypted data). My understanding is, no one other then application users should see the plain text data). Can anyone please clarify?
如果系统管理员从具有证书的客户端计算机连接到 SSMS,并且系统管理员有权访问该证书,那么他们将看到纯文本数据。
粗略地说,Always Encrypted 提供了以下安全保证,明文数据仅对有权访问 ColumnMasterKey(证书)的实体可见
为了详细说明,请考虑以下场景。
考虑两台机器:
考虑两个用户
UserA(从技术上讲,这可以是一组用户,但为了简单起见,我将考虑单个用户的场景):谁是 MachineA 上的管理员,管理 SQL Server,并且是 SQL Server 上的系统管理员。但是,userA 对 MachineT 没有任何访问权限,并且 UserA 不应该能够解密存储在计算机上的 SQL Server 中的任何加密数据答(加密数据,在此答案的上下文中是使用 SQL Server 的始终加密功能加密的数据)。
UserT(从技术上讲,这可以是一组用户,但为了简单起见,我将考虑单个用户的场景):是受信任的用户,可以访问MachineT ,可以访问 MachineA 上的 SQL Server 中托管的数据库 db 中的所有数据。此外,由于userT是可信的,他/她应该能够解密加密的数据。
考虑在机器A上运行的SQL Server具有数据库db和表t。
我们的目标是保护属于表t的列,例如ssnCol,这样只有userT应该能够看到< em>ssnCol 明文形式。
上述目标可以通过以下步骤来实现。
加密列(配置始终加密)
部分中提到的步骤对表 t 中的 ssnCol 进行加密当userT按照上述方式加密ssnCol时,会生成两个 key
因此,为了解密ssnCol,需要CEK,但是,为了解密CEK,需要CMK。
由于 CMK 位于 machineT 的 Windows 证书存储中,因此只有 userT 可以访问 CMK、解密 CEK 和解密 ssnCol。
userA 是 machineA 上的管理员,也是 SQL Server 上的系统管理员,但是,由于他/她无权访问 CMK,userA 无法以明文形式访问 ssnCol。您可以通过使用 MachineA 中的 SSMS、以 userA 身份登录并查询 ssnCol
来验证这一点如果您还有其他问题,请在评论部分提出,我可以回答。
关于azure - SQL Server 2016 中始终加密的行为,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42157845/
SQL、PL-SQL 和 T-SQL 之间有什么区别? 谁能解释一下这三者之间的区别,并提供每一个的相关使用场景? 最佳答案 SQL 是一种对集合进行操作的查询语言。 它或多或少是标准化的,几乎所有关
这个问题已经有答案了: What is the difference between SQL, PL-SQL and T-SQL? (6 个回答) 已关闭 9 年前。 我对 SQL 的了解足以完成我的
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列,该列有一个默认约束为 GETDATE()。 使用 LINQ 时,我没有为 RegistrationDate 列提供任
我有一个可能属于以下类型的字符串 string expected result 15-th-rp 15 15/12-rp 12 15-12-th
很难说出这里问的是什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或言辞激烈,无法以目前的形式合理回答。如需帮助澄清此问题以便可以重新打开,visit the help center . 9年前关闭
我有一个存储过程(称为 sprocGetArticles),它从文章表中返回文章列表。这个存储过程没有任何参数。 用户可以对每篇文章发表评论,我将这些评论存储在由文章 ID 链接的评论表中。 有什么方
我目前正在做一个 *cough*Oracle*cough* 数据库主题。讲师介绍embedded SQL作为让其他语言(例如 C、C++)与(Oracle)数据库交互的方式。 我自己做了一些数据库工作
SQL Server 中 SQL 语句的最大长度是多少?这个长度是否取决于 SQL Server 的版本? 例如,在 DECLARE @SQLStatement NVARCHAR(MAX) = N'S
这个问题已经有答案了: Simple way to transpose columns and rows in SQL? (9 个回答) 已关闭 8 年前。 CallType
预先感谢您对此提供的任何帮助。 假设我有一个查询,可以比较跨年的数据,从某个任意年份开始,永无止境(进入 future ),每年同一时期直到最后一个完整的月份(其特点是一月数据永远不会显示至 2 月
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列,该列的默认约束为 GETDATE()。 使用 LINQ 时,我没有为 RegistrationDate 列提供任何数
下面是我试图用来检查存储过程是否不存在然后创建过程的 sql。它会抛出一个错误:Incorrect syntax near the keyword 'PROCEDURE' IF NOT EXISTS
我有一个同事声称动态 SQL 在许多情况下比静态 SQL 执行得更快,所以我经常看到 DSQL 到处都是。除了明显的缺点,比如在运行之前无法检测到错误并且更难阅读,这是否准确?当我问他为什么一直使用
来自 lobodava 的动态 SQL 查询是: declare @sql nvarchar(4000) = N';with cteColumnts (ORDINAL_POSITION, CO
使用 SQL Server 中的存储过程执行动态 SQL 命令的现实优点和缺点是什么 EXEC (@SQL) 对比 EXEC SP_EXECUTESQL @SQL ? 最佳答案 sp_executes
我有这个有效的 SQL 查询: select sum(dbos.Points) as Points, dboseasons.Year from dbo.StatLines dbos i
我正在调试一些构建成功运行的 SQL 命令的代码。 然而,在查询结束时,查询结果似乎被写入了一个文本文件。 完整的查询如下 echo SELECT DATE,DATETABLE,DATE,APPDAT
我有一些创建表的 .sql 文件(MS SQL 数据库): 表_1.sql: IF OBJECT_ID (N'my_schema.table1', N'U') IS NOT NULL DROP TAB
我写了下面的 SQL 存储过程,它一直给我错误@pid = SELECT MAX(... 整个过程是: Alter PROCEDURE insert_partyco @pname varchar(20
我在 SQL Server 2005 中有包含两列 Fruit 和 Color 的表,如下所示 Fruit Colour Apple Red Orange
我是一名优秀的程序员,十分优秀!