使用 EKM 設備的 TDE

我們使用外部 HSM 設備來創建和儲存密鑰並將其用於 TDE。我們的審計員正在詢問有關密鑰儲存位置的問題。所以顯然密鑰儲存在外部 HSM 設備中。

在此連結中，在第 5 步下，

USE master ;  
GO  
CREATE ASYMMETRIC KEY ekm_login_key   
FROM PROVIDER [EKM_Prov]  
WITH ALGORITHM = RSA_512,  
PROVIDER_KEY_NAME = 'SQL_Server_Key' ;  
GO  

• 這是否也會在主數據庫中創建密鑰的副本？
• 對於 TDE，SQL Server 必須多久聯繫一次 EKM 設備？從磁碟讀取數據文件時是否必須聯繫 ekm 設備 veytime？

這是否也會在主數據庫中創建密鑰的副本？

AFAIK，不。

對於 TDE，SQL Server 必須多久聯繫一次 EKM 設備？從磁碟讀取數據文件時是否必須聯繫 ekm 設備 veytime？

這取決於 HSM，它們提供的驅動程序需要您安裝並載入到 SQL Server 程序空間中，但通常它會被記憶體一段不確定的時間。

這是否也會在主數據庫中創建密鑰的副本？

不是根據文件。非對稱密鑰儲存在您的 EKM 設備中。sys.asymmetric_keys 中有一個“指針”記錄，它提供從 EKM 檢索密鑰的資訊，但這需要憑據和訪問權限。

對於 TDE，SQL Server 必須多久聯繫一次 EKM 設備？從磁碟讀取數據文件時是否必須聯繫 ekm 設備 veytime？

在您的 EKM 設備中創建的非對稱密鑰用於保護儲存在數據庫啟動頁面中的數據庫加密密鑰。當數據庫啟動時，使用非對稱密鑰或受保護的證書（在您的情況下為 EKM 的非對稱密鑰）對 DEK 進行解密。

DEK 用於加密/解密磁碟上的數據，因此在數據庫啟動時應該只聯繫一次 EKM 來解密 DEK。

解密後，SQL Server 可以在從磁碟讀取數據時使用 DEK 解密數據，而無需再次訪問 EKM。

有關詳細資訊，請參閱加密層次結構

引用自：https://dba.stackexchange.com/questions/218137