Так, резервні копії шифруються під час переміщення по мережі, оскільки дані TDE шифруються на диску, а операція резервного копіювання ніколи не розшифровує їх .
Резервні міфи Пола Рандаля :
Міф 30-09) створює резервні копії зчитування даних через буферний пул
Ні . Підсистема резервного копіювання відкриває власні канали до файлів баз даних, щоб уникнути продуктивності, коли потрібно прочитати все в пам'яті SQL Server і повернутись на пристрій резервного копіювання (а також ефективно промити пул буфера в процесі). Якщо ви попросите перевірити сторінку-контрольну суму, вона використовує свою невелику частину пам'яті.
Якщо сторінки завантажувались у буферний пул ("звичайний" простір пам'яті, який SQL використовує для кешування таблиць баз даних та даних індексу), їх потрібно було б розшифрувати. Але резервного копіювання цього не робити, вони просто скидають необроблені зашифровані "розширення" (суміжні фрагменти на 8 сторінок) до місця призначення резервного копіювання.
Мені вдалося отримати підтвердження від Пола Рандала, що його вищезазначений коментар все ще актуальний для TDE :
Це працює точно так само. Буферний пул робить шифрування, після чого додає контрольну суму сторінки перед тим, як записати сторінку на диск. Резервні копії ніколи не читаються через буферний пул. Так, так, резервна копія бази даних TDE досі має шифрування. Контрольні суми сторінок перевірені, але за допомогою резервного коду, а не коду пулу буфера.
Іншими словами, якщо ви включили CHECKSUM у базі даних, вони додаються (під час звичайних операцій запису SQL) після того, як відбувається шифрування. Це означає, що процес резервного копіювання може прочитати необроблену (зашифровану) міру, перевірити контрольну суму та записати резервну копію, і все це не розшифровуючи дані.
Це майже напевно причина тому, що (до SQL 2016) включення резервного копіювання на базу даних з TDE нічого не робило, оскільки зашифровані дані не дуже стисливі :
Це пов’язано з тим, що при знятті резервних копій зашифрованої бази даних TDE сторінки бази даних не розшифровуються під час резервного копіювання. Вони створюються в резервному режимі в тому ж зашифрованому стані, в якому вони перебувають, і стискаються . За своєю природою зашифровані дані є дуже унікальними, тому стиснення даних не приносить великої користі від зашифрованих даних.
Для операції відновлення застосовується той самий принцип. Зашифрована резервна копія залишається зашифрованою по всій мережі та записується на диск відновлення сервера у їхньому ще зашифрованому стані. Вони розшифровуються лише тоді, коли база даних завантажується в пам'ять після відновлення.