nShield Database Security Option Pack
MicrosoftのExtensible Key Management(EKM)APIを使用して、Microsoft SQL Serverとの連携を可能にします。
データベースを守る
nShield Database Security Option Packを使用することで、nShieldハードウェア・セキュリティ・モジュール(HSM)をMicrosoft SQL Serverとシームレスに統合できます。データベース内のデータを暗号化するとデータが保護されますが、その復号鍵も保護する必要があります。データとは別に、HSMを使用して暗号鍵を安全で信頼できるプラットフォームに保存することで、暗号鍵を保護することができます。
Database Security Option Packのメリット
ハードウェアによる鍵の保護
データベースの暗号鍵のコピーや改ざんを防ぐために、安全で改ざんされにくい環境に保管
ユーザと役割の実施
Microsoft SQL Server内の暗号化されたデータへのアクセスをより強力に制御
より強固な鍵制御
管理者のスマートカードによる認証を介してデータベースの暗号鍵へのアクセスを制限可能
柔軟な暗号化サポート
透過的データ暗号化(TDE)とセルレベルの暗号化の両方をサポート
技術仕様
SQLEKMプロバイダーは、次のEnterprise Editionをサポートすることを確認済みです。
- Microsoft SQL Server 2019
- Microsoft SQL Server 2017
これらは、次のプラットフォームでサポートされています。
- Windows Server 2019 R2標準(64ビット構成)
- Windows Server 2016(64 ビット構成)
サポートされているSecurity WorldソフトウェアとnShield HSM
SQL Server用のDatabase Security Option Packは、V12.40.2以降のSecurity World Software、および現在のすべてのPCIeとネットワーク接続HSMと完全に互換性があります。
サポートされている種類のデータベース暗号化
セキュリティの観点から、Microsoft SQL Serverは、データベースを保護するための暗号鍵の使用をサポートしています。 これらの暗号鍵は、2 つのレベルの暗号化を実行するために使用できます。
- 透過的データ暗号化(TDE)は、既存のクエリやアプリケーションへの変更を必要としない方法で、データベース全体を暗号化するために使用されます。TDE で暗号化されたデータベースは、SQL Serverがこれをディスクストレージからメモリにロードするときに自動的に復号化されます。つまり、クライアントは、復号化操作を実行しなくても、サーバ環境内でデータベースにクエリを実行できます。 データベースは、ディスクストレージに保存されるときに再び暗号化されます。TDEを使用する際、メモリ内のデータは暗号化によって保護されません。TDEに使用できる暗号鍵は、データベースごとに一度で1つだけです。
- セルレベル暗号化(CLE)を使用するには、暗号化するデータとそれを暗号化するための鍵を指定する必要があります。CLEは1つ以上の鍵を使用して、個々のセルまたは列を暗号化します。これにより、データベース内の最も機密性の高いデータにきめ細かいアクセスポリシーを適用できます。 指定されたデータのみが暗号化され、他のデータは暗号化されません。この暗号化モードにより、データベースサーバおよびクライアントアプリケーション内のデータの露出を最小限に抑えることができます。TDEを使用して暗号化されているデータベース テーブルにもCLEを適用することができます。CLEを使用する場合、データは必要な場合にのみメモリ内で復号化されることに注意してください。個別のデータは、同じデータテーブル内の異なる暗号鍵を使用して暗号化できます。
サポートされている展開構成:
- スタンドアロンサービス
- nShield SoloまたはnShield Connectのいずれかを使用したデータベースフェイルオーバークラスター