Etiket Bulutu

Benchmark Convert_IMplicit Database High Availability Database Mirroring datawarehouse dimension table dmv Dynamic Data Masking Execution Execution Plans fact table Failover Cluster Node ekleme Failover Clustering FileStream generate script High Availability Implicit Instant File Initialization index Kinect Linux Live Query Statistics Log Shipping Mirroring object explorer object explorer details ODBC Driver pass performance performance tuning Plan Handle Planü Power View reporting services rol Row Level Security script sql serer 2016 sql server SQL Server 2008 SQL Server 2008 Log Shipping SQL Server 2012 SQL Server 2012 installation SQL Server 2012 Kurulumu SQL Server Backup SQL Server da Backup planı SQL Server da Maintenance Plans oluşturma SQL Server database mirroring SQL Server Disaster Recovery sql server dynamic management views SQL Server Failover Cluster SQL Server High Availability SQL Server Log Shipping SQL Server Maintenace Plans sql server performans SQLDIAG SQLDIAG Troubleshooting T24 Temenos truncate table t-sql unique index performance 1. Dünya savaşı istatistikleri 1456 451 ACID advanced analytics Advanced Data Analytics Affinity algı Alter index Alter table ALTER TABLE .. ALTER COLUMN Altın Oran Always On ALWAYSON AlwaysOnDemoTool amazon web services kinesis AMR analiz analysis service Ankara Antivirus apache kafka Arduino Article Assembly asymmetric audit Authentication Auto Growth Availability Group azure Azure Backup azure event hub partition azure event hubs azure event hubs servisi azure event hubs veri edinme Azure File Share Azure Fiyatlandırma Azure HDInsight Azure Hizmet Modelleri Azure ML Azure New Portal Azure Pricing Azure Queue azure sql database configuration azure sql database kullanımı azure sql database stream veriyi tutma azure sql database table partitioning Azure Storage azure stream analytics azure stream analytics dashboard azure stream analytics ölçeklendirilmesi azure stream analytics servisi Azure Table BA Backup backup encyrption backupset Bakım BASE bellek Best Practice BI Semantic Model Big Data Big User blocking blocking disable trigger blocking enable trigger Buffer Cache buffer pool Buffer Pool Extension bulk logged Buluta Veri Depolama Buluttaki Disk Business Analytics Conference business intelligence Büyük Veri Case Central Management Server certificate changed data capture Cloud Computing Cloud DR CLR Cluster clustered columnstore index Clustered Index Code Snippets Cold Purging collation column store column-level columnstore ColumnStore Indexes Compress ComputerNamePhysicalNetBIOS Concurrency Conditions Contained Database Contained Databases convert CONVERT_IMPLICIT Corruption Credentials cube DAC Dashboard Tasarımı data cleansing Data Compression Data Consistency Model data encryption data matching data mining Data Page data profiling data quality Data Services Data Warehouse Design Database database list Database Management Sistem database master key Database Mirroring Database Snapshot database trigger database-level Data-Ink Ratio datasets datasource DataZen date date dimension db_owner DBA DBCC dbcc dropcleanbuffers dbcc freeproccache DBMS dbo user DDL deadlock debugging DecryptByKey DecryptByPassPhrase deleted bitmap delta store Denali Denali SSAS deny database list deşifre detail index developer DIFFERENTIAL BACKUP DirectQuery Dirty Read Disaster Recovery Distribution Yapılandırma Distributor Distributor Agent dm_server_services DMF DMO DMV document db dosya bazlı şifreleme dqs dr Dynamic Management Function Dynamic Management Object Dynamic Management View ecrypt Effected Report Design Techniques Eğitim EncryptByKey EncryptByPassPhrase encryption endpoint Environment Variable error Error 5030 Error Log Estetik Raporlama Estimated Rows Eş Zamanlılkk Etkili Rapor Tasarlama Teknikleri Etkinlik ETL event Event Viewer except;intersect;sql execution Execution Plan export formats extended events Extended Stored Procedure Facets Failover Failover Cluster fast n execution plan FETCH NEXT FILELISTONLY FILLFACTOR File Table file-level FileStream Filter Pack Filtered Index First_Value Flat File fn_repl_hash_binary Focal Point foreignkey FORMAT Forwarded Record forwarded_record_count ftp task FULL BACKUP Full Recovery Full-Text Search functions Gartner Geocluster Gerçek Zamanlı Dashboard gestalt Golden Ratio görsel duyu group by Güvenlik ha Hadoop hafıza Hash HASHBYTES HEADERONLY headers footers Heap Hekaton hicri High Availability hijr Hiyerarşi Hybrid Cloud IaaS Index Index Scan In-Memory InMemory DW In-Memory DW InMemory OLTP In-Memory OLTP Internet of People Internet of Things IO IOT IoT nedir Isolation Level indeks index inmemory in-memory oltp internet of things isolation level istatistik istatistikler İş zekası İzolasyon Seviyesi Job json json support knowledge base kolon-satır bazlı kurulum küp Lag Lansman latch Lead linked server lock locking locking hints Log Backup Log Reader Agent Log Shipping login Lost-Update LQS Machine Learning Maintenance Management Studio matrix Max Text Replication Size mdx memory Memory Optimization Advisor Memory Optimized Table Memory Optimized Tables merge Merge Agent merge kullanımı Merge Publication Merge Replication merge type 1 slowly changing dimension merge type 1 slowly changing dimension örneği merge type 1 vs type 2 scd merge type 2 slowly changing dimension merge type 2 slowly changing dimension örneği merge type 3 slowly changing dimension merge type 4 slowly changing dimension message Microsoft Advanced Data Analytics Çözümleri microsoft azure Microsoft Bulut Microsoft Sanal Akademi Microsoft SQL Server Microsoft SQL Server 2014 Yenilikleri Microsoft SQL Server 2016 Mirror mirroring missing index Monitoring move Msdb multi_user multiversion concurrency control MVP MVP Roadshow MySnippet Named Pipes Natively Store Procedures Natively Stored Procedures Nesnelerin İnterneti Network Binding Order NoEngine Approaches nonclustered columnstore index Non-Repetable Read NoSQL NoSQL Approaches NoSQL Dünyası object explorer Odak Noktası ODBC Office 365 Offline OFFSET olap OLAP Backup OLE DB OLTP Online Index order attributes Otomatik Büyüme OVER PaaS PAD_INDEX page out page properties PAGE RESTORE PAGEIOLATCH paging parameters partition partitioning PASS PASS Summit PASS Summit 2014 Performance Performance Tuning performans performans tuning Phantom Read pivot Policies Policy Based Management Filtreleme Policy Management Power BI Power BI Dashboard Power BI Rest API power bi power view PowerBI PowerBI for Office 365 powerbi PowerMap PowerPivot PowerQuery powershell powershell ile sql yönetimi PowerView PowerView raporlarının web sayfalarına gömülmesi precon Primary Key primarykey Project Deployment Model Project Variable Protokol Proxy Proxy Account Publisher Purging on Independent Tables QL Server 2014 Yenilikleri Que Reader Agent Query Plan query store R Range Raporlama Raporlama Projeleri için Strateji Belirleme Raporlama Projelerine Hazırlık Read Committed Read Uncommitted RealTime Dashboard Rebuild RECONFIGURE RECONFIGURE WITH OVERRIDE Recovery model Relational Engine relationships Rename SSRS Database Repeatable Read Replication Replication Monitoring replikasyon report manager web site report parts reporting service reporting services reporting servis Resource Governor RESTORE Restore Database Restore Generate Restore Generate Script Restore transaction log rollback rs Rule of Thirds sa user SaaS sayfalama scd 3 demo scd karşılaştırma scd type 4 demo Scheduling Schema Comparison script Security segment elimination select into Self-Service BI Semantic Search Serializable Server Core SERVERPROPERTY Service services shared data sources shared datasets Shared Memory sharepoint Sharepoint 2010 ShowPlan Shrink simple recovery sing_user sliding window Slowly Changing Dimension snapshot Snapshot Agent Snapshot Publication Snapshot Replication Snippet snowflake sorting sp_configure sp_describe_first_result_set sp_server_diagnostics sp_spaceused sql SQL Agent Job SQL Azure sql bilgi yarışması SQL CLR SQL DIAG SQL DIAG Performans verisi toplama SQL endpoint SQL Login SQL Onculeri SQL Öncüleri sql script sql server SQL Server 2005 SQL Server 2008 SQL Server 2011 CTP3 SQL Server 2011 Denali SQL Server 2012 SQL Server 2012 CTP3 SQL Server 2012 RC SQL Server 2012 RC0 SQL Server 2012 ShowPlan Enhancements SQL Server 2012 T-SQL Enhancements SQL Server 2014 Sql Server 2014 Cardinality Estimator SQL Server 2014 Yenilikleri sql server 2016 SQL Server 2016 New Features SQL Server 2016 Yenilikleri sql server agent sql server assembly ekleme SQL Server Authentication sql server cast ve convert sql server clr integration sql server clr kullanımı sql server clr örnek sql server cluster SQL Server Code Name Denali SQL Server da Kullanıcı Yaratma SQL Server Database Project sql server dmv ve dmf sql server execution plan temizleme SQL Server Express Backup sql server fast n option örneği sql server fast n seçeneği SQL Server login sql server management stdio sql server merge into örnek sql server merge komutu sql server merge performnas sql server merge type 1 scd sql server merge type 2 scd sql server merge type 3 scd SQL Server Mobile Report Publisher SQL Server Network Interface SQL Server Onculeri SQL Server Öncüleri SQL Server Öncüleri Ankara SQL Server Performance sql server performans SQL Server Profiler SQL server recovery model SQL Server Reporting Services SQL Server Restore Generate Script SQL Server sa SQL Server Security SQL Server SQL DIAG sql server tarih dönüşüm işlemi sql server tarihsel veriler ile çalışma SQL Server User SQL Server yetki SQL Server yetkilendirme sql servera .net kodu ekleme SQL Serverda yetkilendirme nasıl SQL Serverda yetkilendirme nasıl yapılır sql to oracle linked server sql türkiye SQL User With Password sql yarışma SQLCMD sql'den oracle'a linked server SQLDIAG SQLDIAG Report SQLOS sqlsaturay SQLSaturday SQLSaturday #182 SQLSaturday #359 sqlsaturday #451 sqlserveronculeri ssas SSAS 2012 SSIS SSIS 2012 ssis SSMS SSMS Project SSMS Solution ssrs Stanby Database star schema STOPAT STOPBEFOREMARK STORAGE Storage Engine stored procedure stream analytics job subreports Subscriber Subscription subscriptions symmetric SYS sys.dm_db_index_physical_stats sys.dm_db_index_usage_stats sys.dm_db_missing_index_columns sys.dm_db_missing_index_details sys.dm_db_missing_index_group_stats sys.dm_db_missing_index_groups sys.server_principals sysadmin System Databases System View şifre şifreleme table table difference TableHasClustIndex TableHasIdentity TableHasPrimaryKey Tablet PC Tabular Mode Tabular Model TCP/IP TDE Tempdb time series Transaction Transactional Publication Transactional Replication Transparent Data Encryption trigger Troubleshooting TRY_CONVERT TRY_PARSE tsql t-sql T-SQL 2012 tsql mistakes Undocument union unionall Updatable ColumnStore İndex upgrade Veri ambarı veri edinme seçenekleri Veri Güvenliği Veri Hizmetleri Veri madenciliği Veri Mürekkep Oranı Veri Tabanı Yönetim Sistemleri Veri Tipi Veri Tutarlılık Modelleri Veri Yönetimi Evrimi verinin evrimi Veritabanı oluşturmak VERİTABANI YEDEKLEME STRATEJİLERİ veritabanı yedeklerinin şifrelenmesi Veritabanı Yöneticisi Veritabanı Yönetimi VeritPaq view any database Visual Studio VTYS web services Webcast Windows 7 Windows 8 Windows Authentication Windows Azure Windows Failover Clustering wmi WRITELOG xevents xp_sqlagent_enum_jobs YEDEKLEME STRATEJİLERİ Yedekli Çalışma Yetkilendirme Yiğit Aktan ysfkhvc yusuf kahveci Yüksek Erişilebilirlik Yüksek Süreklilik zip

Şifreleme(Encryption) Esasları – Bölüm 1

Ekleyen: Abdullah Kise Bilge Adam Bilişim Grubu Birim Müdürü - Veri Yönetimi Çözümleri Tarih:30.05.2013 Okunma Sayısı:8161


Firmalar müşterileri, personelleri, finansal geçmişleri ve stratejileri ile bilgilerini yetkisiz gözlerden korumak için birçok seviyede çeşitli adımlar atabilmektedirler. Veri tabanı yönetim sistemini göz önünde bulundurarak, örneğin müşterilerin kredi kartı numaralarının bulunduğu bir tabloyu ele alalım. Bu tablodaki güvenlik bakımından risk oluşturmayacak kolonları genel kullanıma açmak için kolayca, kredi kartı kolonunu içermeyecek bir view tanımlayabilir ve istenilen yetkilendirmeyi bu view üzerinden yapabiliriz. Ancak bu sandığımız kadar ciddi bir koruma sağlamayacaktır.

Sadece view’e SELECT yetkisi verdiğimiz bir Local Admin kullanıcısı rahatlıkla SQL Service’i durdurabilir ve sysadmin rolüne sahip olduğu başka bir servera bu veri tabanını taşıyabilir. Dolayısıyla yaptığımız yetkilendirmenin hiç bir anlamı kalmaz.

Datalar bizim için gerçekten çok önemliyse ve bu tarz taşıma işleminde bile kolayca okunamamasını istiyorsak o zaman daha cesur adımlar atmamız gerekir. Bu adımlar “Data Encryption” yani veri şifreleme kapsamındaki adımlardır.

Encryption çeşitli seviyelerde ve şekillerde yapılabilen maliyetli bir işlemdir. Bu maliyet bakım, performans ve geliştirme gibi konuları kapsamaktadır. İlerleyen yazılarımda yeri geldikçe yöntemler arasındaki karşılaştırmalara da yer vermeyi planlıyorum.

Bu konuyu bir kaç bölüme ayırmayı düşünüyorum. İlk bölümde şifreleme esaslarını kuş bakışı inceliyor olacağız. Sonra sırasıyla bir kolondaki verilerin şifrelenmesi(Column-Level), databasein tümden (Transparent Data Encryption) dosya seviyesinde şifrelenmesi ve bu yöntemlerin maliyetlerinin karşılaştırılması gibi konuları içeren bölümleri hazırlamayı hedefliyorum.

Encryption(şifreleme) ilk olarak SQL Server 2005 ve SQL Server 2008 ile birlikte yeni özelliklerle desteklenmeye başlandı. Peki, son durumda SQL Server 2012 Encryption konusunda nelerle karşılaşıyoruz bir bakalım.

Genel olarak veri güvenliği şu 3 seviyede sağlanabilir.

 

1-      Windows Level

Microsoft, Windows 2000 işletim sistemi ile birlikte veri şifrelemesi konusunda bir API yardımıyla destek vermeye başladı.  Data Protection API (DAPI) isimli bu kütüphane sayesinde geliştiriciler kullanıcı bilgilerinden türetilen bir anahtar(symmetric key) sayesinde verileri şifreleyebiliyor ve bunları aynı anahtarla çözebiliyor durumdalar. Crypt32.lib isimli bu kütüphaneye C:\Windows\System32 altında Crypt32.dll içerisinden erişebilirsiniz. Şifreleme için CryptProtectData fonksiyonu, çözmek için CryptUnprotectData fonksiyonunu kullanmanız yeterli. .NET developer olan arkadaşlar yine bu dll’i kapsülleyen ProtectedData class’ı altındaki ProtectedData.Protect ve ProtectedData.Unprotect metotlarını kullanarak kullanıcı bilgilerini temel alan bir şifreleme yapabilirler.

2-      Server Level

MSSQL Server servicei kurulurken Windows DPAPI tarafından Service Master Key oluşturulur. Bu key master veri tabanındaki Security düğümü altında bulunan Symmetric Key klasörünün içinde yer alır. Sys.symmetric_keys sistem viewi yardımıyla ne zaman oluşturulduğu ve kullanılan algoritma ile ilgili bilgileri şu şekilde görüntüleyebiliriz.

SELECT *
FROM sys.symmetric_keys
WHERE name = '##MS_ServiceMasterKey##';

Service Master Key tamamen kaldırılamaz. Ancak yeni bir key üretilmesini sağlayabilirsiniz.

ALTER SERVICE MASTER KEY REGENERATE

Bu keyin ileride kullanılmak üzere yedeği (Backup) alınabilir. 

--Backup Service Master Key
	BACKUP SERVICE MASTER KEY 
	TO FILE = 'c:\birYol\service_master_key' 
	ENCRYPTION BY PASSWORD = 'pass@word1';

Gerektiğinde bu yedekten dönülebilir(Restore).

--Restore Service Master Key
RESTORE SERVICE MASTER KEY 
FROM FILE = 'c:\birYol\service_master_key' 
     DECRYPTION BY PASSWORD = 'pass@word1';

“Service Master Key”, veri tabanı üzerinde üreteceğimiz “Database Master Key” i şifrelemektedir. Bu nedenle yedeğinin tutulması oldukça önemlidir. Aksi halde bir felaket durumundan sonra şifrelenen veri tabanlarına bir daha erişilemeyebilir.

 

3-      Database Level

Her database tek bir “Database Master Key” e sahiptir. Verileri şifrelemek için kullanacağımız Certificate ve Asymmetric Key’leri bu anahtar yardımıyla şifreleyip koruyabiliriz.

Eğer Certificate ve Asymmetric Key’leri oluştururken nasıl şifreleneceğini belirtmezsek otomatik olarak bunların korunması için “Database Master Key” kullanılır.

“Database Master Key”, “Service Master Key” tarafından korunan bir Symmetric Key’dir. Bu key AES_256 algoritması ve kullanıcı tarafından belirtilen bir password yardımı ile korunur.

DMK, Key elde edilmek istenen database üzerinde şu script ile oluşturulur.

 

CREATE MASTER KEY 
ENCRYPTION BY PASSWORD ='pass@word1'

 

Database Master Key’i görmek için. İlgili database üzerinde şu script kullanılabilir.

SELECT * 
FROM sys.symmetric_keys
WHERE name='##MS_DatabaseMasterKey##'

Güvenlik seviyelerine ve bu seviyelerde hangi keylerin kullanıldığına bir göz attık.  Şimdi de verileri şifrelemek için kullanacağımız yapılara ve şifrelemeyi tetikleyecek mekanizmalara bir göz atalım.

Şu 4 çeşit yapı sayesinde veriler şifrelenebilir:

 

1-      Password:

a.       Belirleyeceğimiz güvenli bir parola yardımıyla. Örneğin “pass@word1”

2-      Symmetric Key

a.       Veriler tek bir binary key yardımıyla şifrelenip çözülebilir.

3-      Asymmetric Key

a.       Bu yapıda private key ve public key bulunur.

b.      Public key şifreli metin ile paylaşılan bir anahtartır.

c.       Private key ise özeldir, paylaşılmaz.

d.      Her bir key ya sadece şifreler ya da sadece şifreli metni çözer.

4-      Certificate

a.       Şifreleme işlemi sertifika yardımıyla da yapılabilir.

b.      Sertifikalar kişilerin, cihazların ve hizmetlerin kimlik bilgilerini tutar.

c.       Dijital imza ve priavate key ile konuşacak public key bilgisini barındırır.

Veri şifreleme mekanizması şu 4 yolla(fonksiyonlar) çalıştırılabilir.

1-      T-SQL fonksiyonu

                               EncryptByPassPhrase    - DecryptByPassPhrase

2-      Asymmetric Keys

                               EncrypByAsymKey         - DecryptByAsymKey

3-      Symmetric Keys

                               EncrypByKey                     - DecryptByKey

4-      Certificates

                               EncrypByCert                    - DecryptByCert

 

Genel olarak Sql Server 2012 içerisinde 2 çeşit Encryption(şifreleme) yapılabilir.

1-      Column-Level (kolon veya satır seviyesinde)

a.       Veriler fonksiyonlar yardımıyla şifrelenip çözülebilir. Diskte ve memoryde şifreli halde durur. Database başka bir serverda normal yollarla açılıp kullanılamaz.

b.      Bu yöntem kullanılacaksa client tarafındaki scriptlerin değişeceği unutulmamalıdır. İlgili fonksiyonların sql ifadelerinde kullanılması gerekecektir.

c.       Güvenlik bakımından düşünürsek; bilgileri herkesin gözünden saklamış oluruz.

d.      Bu yöntemle sadece gerekli alanları şifreleyebiliriz . Böylece CPU’ya çok fazla yük binmemiş olur. Indexler hızla bozulsa da az sayıda alan üzerinde kullanıldığında sistem TDE ye göre daha performanslı çalışılır.

2-      File – Level (dosya veya database seviyesinde)

a.       Burada yapılacak şifreleme Transparent Data Encryption (TDE) olarak bilinmektedir.

b.      Veriler server dahilinde normal şekilde görünür. Yani sadece pagelere yazılırken şifreli yazılır. Bilgiler belleğe şifresi çözülerek çıkartılır. DB ye erişen herkes bilgileri temiz haliyle okuyabilir. Ancak database başka serverda direk açılıp kullanılamaz.

c.       Verinin boyutu şifrelendikten sonra artmaz. Ancak indexlerin bozulma hızı normale göre çok yüksektir. Database genelinde bilgiler sürekli şifrelenip çözüldüğü için CPU kullanımı %5-%10 oranında artar. CPU ve IO sıkıntısı çeken makinelerde kullanılmamalıdır. İlerde belirteceğim nedenlerden dolayı server genelinde de performans kaybına sebep olabilir.

Bu bölümde güvenlik seviyelerine, şifrelemede kullanılacak yapılara, şifreleme mekanizmasını tetikleyen fonksiyonlara ve SQL Server içerisinde kurulabilecek şifreleme yöntemlerine çoğunlukla teorik olarak değinmiş olduk.

Bir sonraki bölümde Column-Level (Kolon veya Satır Bazlı) şifrelemeye odaklanıp verileri yukarıda belirttiğimiz fonksiyonlar yardımıyla nasıl şifreleyeceğimizi ve bu şifreli verileri nasıl çözebileceğimizi örneklendirmiş olacağız.

Pratiğin daha ağır bastığı ilerleyen yazılarda görüşmek üzere,

Faydalı olması dileğiyle…


yorum yaz

Üye Girişi

Kullanıcı Adınız

Şifreniz

Şifremi Unuttum

Arkadaşına Tavsiye Et

Tavsiye edebilmek için siteye giriş yapmalısınız