SQL Server 备份加密分步指南

什么时候需要执行 SQL Server 备份加密？

作为数据库管理员，保护我们的数据是我们最重要的任务之一。我们当然不希望有人在未经授权的情况下随意查看我们的数据库，只需将备份恢复到他们自己的硬件即可，尤其是当我们将敏感数据存储在其中时。

因此，为了不泄露数据，进行SQL Server 备份加密几乎是必须的。我强烈建议您在这些情况下执行 SQL Server 备份加密：

您的数据库中有敏感数据
您要将数据库备份存储在异地或云端
您希望将访问权限限制为只有获得授权的人才能访问

是否支持 SQL Server 版本备份加密？

在 SQL Server 2014 之前，通常使用透明数据加密 (TDE) 来加密静态数据，但它会显着降低查询性能并增加 CPU 消耗。

幸运的是，自SQL Server 2014以来，新的备份加密选项允许我们在创建备份时加密备份，只有在我们指定加密算法和加密器来保护加密密钥之后。

但是，备份加密在 SQL Server Express、SQL Server Web 和 SQL Server 2014 之前的版本上仍然不可用。因此，如果您使用的是 SQL Server Express、Web，或者您想在 SQL Server 2012、2008 中执行备份加密，等等，我建议你选择专业备份软件支持所有版本。

SQL Server 2014及以后版本如何加密备份

在开始之前，我们需要了解两件事。

1. 加密备份不能附加到现有备份集。因此我们需要备份到一个新的备份集。

2. 我们首先需要指定加密算法和加密器来保护加密密钥。以下是支持的加密算法和加密器。SQL Server备份加密一般我们选择AES 256和证书。

“支持的加密算法”：ES 128、AES 192、AES 256 和 Triple DES。
“加密器”：证书或非对称密钥。

SQL Server 备份加密的先决条件

加密SQL服务器备份创建时需要SMK、DMK和证书，先备份好。

首先让我向您解释一下它们是什么以及 SQL Server 备份加密的工作原理。

Service Master Key (SMK) : SMK是我们在安装SQL Server时自动生成并存储在系统主数据库中的，对于每个实例都是唯一的。它将用于加密数据库主密钥。
Database Master Key (DMK)：DMK对于每个实例的每个系统主数据库都是唯一的。DMK 用于保护证书或非对称密钥。
Certificate : Certificate 可以包含一个受数据库主密钥保护的私钥，或一个非对称密钥（最好不要选择它）。它用于加密数据库备份。

✦ Step 1. 检查DMK是否存在

启动SSMS并连接到您的实例。单击上方栏中的“新建查询”并输入以下语句。

选择 * 从 master.sys.symmetric_keys

单击“执行”。在结果中，您可以检查 DMK 的存在。如果没有，那么我们需要创建一个。

✦ 步骤 2. 创建 DMK

输入以下语句并单击“执行”。

-- 创建数据库主密钥
CREATE MASTER KEY ENCRYPTION BY PASSWORD=' password '

✦ 步骤 3. 创建证书

-- 创建备份证书
USE master
GO
CREATE CERTIFICATE Certificate
WITH SUBJECT = ' SQL Backup Certificate ';
GO

✦ 步骤 4. 备份 SMK

-- 备份服务主密钥
USE master
GO
BACKUP SERVICE MASTER KEY
TO FILE = ' filepath\SMKfilename.key '
ENCRYPTION BY PASSWORD = ' SMKpassword ';
GO

✦ 步骤 5. 备份 DMK

-- 备份数据库主密钥
BACKUP MASTER KEY
TO FILE = ' filepath \DMKfilename.key '
ENCRYPTION BY PASSWORD = ' DMKpassword ';
GO

✦ 步骤 6. 备份证书

-- 备份证书
BACKUP CERTIFICATE Certificate
TO FILE = ' filepath \CertificateFilename.cer '
WITH PRIVATE KEY(
FILE = ' filepath \CertificateKeyFilename.key ',
ENCRYPTION BY PASSWORD = ' CertificatePassword ');
GO

现在我们已经创建了 4 个用于 SQL Server 备份加密的文件。

加密 SQL 数据库备份的 3 种常用方法

本部分介绍如何对 SQL 数据库备份进行加密。基本上，当你创建了一个DMK和一个证书，备份它们之后，你只需要再做2件事，就是选择“备份加密” “选项”，和按照正常的备份过程备份到另一个媒体集。其余步骤都是一样的。

✦ 方式1：使用T-SQL的SQL Server备份加密

1. 启动 SSMS 并连接到您的实例。单击上方栏中的新建查询，输入以下语句。

-- 使用加密备份数据库
BACKUP DATABASE databasename
TO DISK = ' filepath\filename.bak '
WITH ENCRYPTION (ALGORITHM = AES_256 , SERVER CERTIFICATE = certificatename )

2. 然后单击“执行”创建加密备份。

✦ 方式 2：使用 SSMS GUI 的 SQL Server 备份加密

1. 启动SSMS并连接到您的实例。右键单击要备份的数据库名称，然后选择“任务”>“备份...”

2.在“常规”页面中选择“备份类型”和“目标”。

3. 然后转到“媒体选项”页面。选择“备份到新的媒体集，并擦除所有现有的备份集”。为新集合“命名并写一些”“描述”。

4. 转到“备份选项”页面，选中“加密备份”，选择“加密算法”和“证书或非对称密钥”。

5. 然后单击“确定”开始加密备份。

✦ 方式3：使用维护计划的SQL Server备份加密

1. 启动SSMS并连接到您的实例。展开“管理”菜单并右键单击“维护计划”，选择“新建维护计划…”

2. 点击“对象资源管理器”旁边的“工具箱”，双击“备份数据库任务”创建一个新的备份任务。

3. 双击右侧空白处的任务进行“编辑”。

4.在“常规”页面中选择“备份类型” 和单个或多个 “数据库”，然后选择“目标”。

5. 在选项页面勾选“备份加密”，并选择“算法”和“证书或非对称密钥”。

6. 然后单击“确定”保存更改。现在您可以保存计划并在SQL Server 代理作业中运行它。

一种轻松加密 SQL 备份的方法（支持所有版本）

SQL Server 备份加密虽然方便，但在SQL Server Express和2014之前的版本中不可用。因此，您可能需要支持所有版本的第三方软件来为您完成。我建议你申请傲梅企业备份网络版. 原因如下：

“轻松的过程”：傲梅企业备份网络版将 SQL Server 数据库备份的过程简化为 3 个主要步骤。凭借其直观的界面，您可以在创建时通过简单的点击和密码设置来加密所有版本的数据库备份。
远程备份 LAN 内的另一台计算机：它允许您从一台控制计算机集中控制 LAN 内的所有笔记本电脑、工作站和服务器。您可以远程备份单个或多个 SQL 数据库，这样您就不必为移动备份而冒数据泄露的风险。
“远程还原到另一台计算机”：您也可以直接将 SQL 备份还原到局域网内的另一台受控计算机。

为您提供180天免费试用：