Transparent Data Encryption (TDE)

Aus devops.straight8.de
Version vom 5. Februar 2026, 16:08 Uhr von 89.247.173.51 (Diskussion) (Die Seite wurde neu angelegt: „== Transparent Data Encryption (TDE) == '''Transparent Data Encryption (TDE)''' ist eine Technologie, die von großen Datenbankherstellern (wie Microsoft SQL Server, Oracle und Azure SQL) eingesetzt wird, um ruhende Daten (Data-at-Rest) automatisch zu verschlüsseln. Der Name „transparent“ leitet sich daraus ab, dass die Anwendung, die auf die Datenbank zugreift, von der Verschlüsselung nichts bemerkt. === 1. Funktionsweise === TDE arbeitet auf d…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Transparent Data Encryption (TDE)[Bearbeiten]

Transparent Data Encryption (TDE) ist eine Technologie, die von großen Datenbankherstellern (wie Microsoft SQL Server, Oracle und Azure SQL) eingesetzt wird, um ruhende Daten (Data-at-Rest) automatisch zu verschlüsseln. Der Name „transparent“ leitet sich daraus ab, dass die Anwendung, die auf die Datenbank zugreift, von der Verschlüsselung nichts bemerkt.


1. Funktionsweise[Bearbeiten]

TDE arbeitet auf der Dateisystemebene. Die Verschlüsselung erfolgt in Echtzeit beim Schreiben der Daten auf die Festplatte und die Entschlüsselung beim Lesen in den Arbeitsspeicher.

  • Wenn die Datenbank-Engine eine Seite vom Datenträger liest, wird sie entschlüsselt.
  • Wenn eine Seite zurück auf den Datenträger geschrieben wird, wird sie verschlüsselt.

Da dieser Prozess innerhalb der Datenbank-Engine abläuft, bleiben Indizes, Sortierungen und Suchfunktionen voll funktionsfähig.

2. Die Schlüsselhierarchie[Bearbeiten]

TDE nutzt in der Regel eine mehrstufige Hierarchie, um die Sicherheit zu erhöhen:

  1. Data Encryption Key (DEK): Ein symmetrischer Schlüssel, der die eigentlichen Daten in der Datenbankdatei verschlüsselt.
  2. Key Encryption Key (KEK) / Master Key: Der DEK wird wiederum mit einem Master-Key verschlüsselt. Dieser Master-Key wird oft in einem externen Key Management Service (KMS) oder einem Hardware Security Module (HSM) gespeichert.


3. Vorteile von TDE[Bearbeiten]

  • Keine Code-Änderungen: Da die Verschlüsselung auf Datenbankebene stattfindet, muss die Anwendung nicht angepasst werden.
  • Umfassender Schutz: Nicht nur die Datenbankdateien (.mdf, .dbf), sondern auch Log-Dateien und Backups werden automatisch mit verschlüsselt.
  • Geringer Verwaltungsaufwand: TDE lässt sich in modernen Cloud-Umgebungen oft per Mausklick aktivieren.
  • Performance: Moderne CPUs verfügen über Befehlssatzerweiterungen (wie AES-NI), wodurch der Performance-Verlust oft im vernachlässigbaren Bereich (unter 3-5%) liegt.

4. Grenzen von TDE[Bearbeiten]

  • Schutz endet an der Datenbank: Sobald ein berechtigter Nutzer oder eine kompromittierte Anwendung Daten abfragt, liegen diese im RAM und auf dem Übertragungsweg im Klartext vor (sofern nicht zusätzlich TLS genutzt wird).
  • Kein Schutz vor DBAs: Ein Datenbankadministrator mit entsprechenden Berechtigungen kann die Daten im Klartext sehen, da die Datenbank sie für ihn automatisch entschlüsselt.

5. TDE vs. Application Level Encryption (ALE)[Bearbeiten]

Merkmal Transparent Data Encryption (TDE) Application Level Encryption (ALE)
Transparenz Vollständig transparent für die App App muss Ver-/Entschlüsselung steuern
Suche/Indizes Funktionieren uneingeschränkt Stark eingeschränkt
Schutzbereich Nur die physische Speicherschicht Ende-zu-Ende (App bis Speicher)
Komplexität Sehr gering Hoch

Zusammenfassend: TDE ist die ideale Basissicherung für Unternehmen, die Compliance-Anforderungen erfüllen müssen, ohne ihre bestehenden Anwendungen umbauen zu wollen. Es schützt effektiv gegen den Diebstahl von Backup-Medien oder Festplatten aus dem Rechenzentrum.

Abgerufen von „http://devops.straight8.de/index.php?title=Transparent_Data_Encryption_(TDE)&oldid=79