কম্পিউটার

AlwaysOn Availability Group এর সাথে TDE কনফিগার করা হচ্ছে

"এই ব্লগটি AlwaysOn Availability Group এর সাথে স্বচ্ছ ডেটা এনক্রিপশন সেট আপ করার জন্য প্রয়োজনীয় বিশদ পদক্ষেপগুলি প্রদর্শন করে।"

পরিচয়

এসকিউএল সার্ভার গ্রাহকের সংবেদনশীল ডেটা রক্ষা করার জন্য ভৌত ফাইল এনক্রিপ্ট করার জন্য স্বচ্ছ ডেটা এনক্রিপশন (TDE) প্রদান করে। এটি এসকিউএল সার্ভার 2008 এর সাথে একটি এন্টারপ্রাইজ সংস্করণ বৈশিষ্ট্য হিসাবে চালু করা হয়েছিল।

TDE নিম্নলিখিত SQL সার্ভার সংস্করণগুলির সাথে উপলব্ধ:

• SQL সার্ভার 2008, 2008 R2, 2012, 2014, 2016, 2017 (মূল্যায়ন, বিকাশকারী, এন্টারপ্রাইজ)

  From SQL version 2019, TDE is available on most of the editions available. 

• SQL সার্ভার 2019 - স্ট্যান্ডার্ড, মূল্যায়ন, বিকাশকারী, এন্টারপ্রাইজ

আসুন নিচের মধ্যে AlwaysOn Availability Group-এর সাথে TDE কনফিগার করার উপায় অন্বেষণ করা যাক পরিস্থিতি।

  1. এজি গ্রুপে TDE এনক্রিপ্ট করা ডাটাবেস যোগ করা হচ্ছে।
  2. এজি গ্রুপে ইতিমধ্যে বিদ্যমান ডাটাবেসে TDE কনফিগার করুন।
  3. মেয়াদোত্তীর্ণ শংসাপত্র ঘোরানো

পরিস্থিতি:AG গ্রুপে TDE এনক্রিপ্ট করা ডাটাবেস যোগ করা হচ্ছে।

আমরা TDE সেট আপ করার জন্য একটি দুই-নোড এজি ব্যবহার করছি এবং নিম্নলিখিত প্রক্রিয়াটি বিস্তারিতভাবে ধাপগুলি ব্যাখ্যা করে। আপনার প্রতিটি সেকেন্ডারি প্রতিলিপিতে সেকেন্ডারি ধাপগুলি অনুসরণ করুন (যদি আপনার 1টির বেশি সেকেন্ডারি থাকে)

• প্রাথমিক প্রতিরূপ:node1

• সেকেন্ডারি রেপ্লিকা:node2

• এজি গ্রুপ:TDE_AG

টিপ: ডাটাবেস ত্রুটি-মুক্ত এবং TDE প্রয়োগ করার আগে ডাটাবেসের সর্বশেষ সম্পূর্ণ ব্যাকআপ নেওয়া নিশ্চিত করতে সবসময় DBCC CHECKDB চালানোর পরামর্শ দেওয়া হয়।

ধাপ 1:প্রাথমিক উদাহরণ - একটি মাস্টার কী তৈরি করুন

আপনি যদি প্রথমবার TDE এনক্রিপ্ট করছেন, তাহলে কোনো মাস্টার কী থাকা উচিত নয় এবং আপনি নিম্নলিখিত SQL ব্যবহার করতে পারেন যা কোনো ফলাফল সেট করবে না।

এখন শক্তিশালী পাসওয়ার্ড ব্যবহার করে মাস্টার ডাটাবেসে একটি মাস্টার কী তৈরি করুন।

মাস্টার কী যাচাই করুন:

একটি সেরা অনুশীলন হিসাবে একটি নিরাপদ স্থানে মাস্টার কী ব্যাক আপ করুন। ব্যাকআপের পাসওয়ার্ড মাস্টার কী পাসওয়ার্ড থেকে আলাদা হতে পারে।

ধাপ 2:প্রাথমিক উদাহরণ - একটি শংসাপত্র তৈরি করুন

ডাটাবেস এনক্রিপশন কীগুলি সুরক্ষিত করতে একটি শংসাপত্র তৈরি করুন৷ শংসাপত্রের ডিফল্ট মেয়াদ শেষ হওয়ার তারিখ হল 1 বছর৷টিপ৷ :মেয়াদ শেষ হওয়ার তারিখ 5 বছরের জন্য সেট করা একটি সর্বোত্তম অভ্যাস কারণ এটি এক বছরে মেয়াদ শেষ করা ভাল নয়৷

শংসাপত্র তৈরি করা হয়েছে তা নিশ্চিত করতে নীচের TSQL ব্যবহার করে যাচাই করুন৷

ধাপ 3:প্রাথমিক উদাহরণ - ডেটাবেস এনক্রিপশন কী (DEK) তৈরি করা

DEK তৈরি করুন যা প্রকৃত ডাটাবেস বিষয়বস্তু এনক্রিপ্ট করার জন্য একটি সিমেট্রিক কী এবং আপনি উপলব্ধ AES অ্যালগরিদম ব্যবহার করে তৈরি করতে পারেন৷

ধাপ 4:প্রাথমিক উদাহরণ - শংসাপত্রের ব্যাকআপ নিন

একটি ভাল অনুশীলন হিসাবে শংসাপত্র এবং ব্যক্তিগত কী ব্যাক আপ করুন। এটির সাহায্যে, আপনি ডাটাবেস ব্যাকআপ ফাইলগুলি পুনরুদ্ধার করতে পারেন বা অন্য SQL সার্ভার উদাহরণে ডাটাবেস ডেটা ফাইল সংযুক্ত করতে পারেন৷

ধাপ 5:সেকেন্ডারি ইনস্ট্যান্স - একটি মাস্টার কী তৈরি করুন

আপনার সমস্ত গৌণ প্রতিলিপিগুলিতে একটি ডাটাবেস মাস্টার কী তৈরি করা উচিত যদি এটি বিদ্যমান না থাকে, এটি প্রাথমিক উদাহরণে ধাপ 1 এর মতো। প্রথম ধাপে উভয় ক্ষেত্রেই মাস্টার কী তৈরি করা হয়েছে।

ধাপ 6:সেকেন্ডারি ইনস্ট্যান্স - সেকেন্ডারি সার্টিফিকেট তৈরি করুন

প্রাথমিক প্রতিলিপি থেকে সমস্ত মাধ্যমিক প্রতিলিপিতে শংসাপত্রটি অনুলিপি করুন এবং প্রাথমিক প্রতিরূপ শংসাপত্র ব্যবহার করে মাধ্যমিক প্রতিলিপিতে একটি শংসাপত্র তৈরি করুন৷

প্রাথমিক প্রতিলিপিতে ব্যাকআপ এনক্রিপ্ট করার জন্য আপনাকে ডিক্রিপশন পাসওয়ার্ড উল্লেখ করতে হবে যা আগে ব্যবহার করা হয়েছিল৷

ধাপ 7:প্রাথমিক উদাহরণ - TDE এনক্রিপশন সক্ষম করা

প্রয়োজনীয় ডাটাবেসে TDE সক্রিয় করার জন্য একটি চূড়ান্ত পদক্ষেপ হিসাবে নিম্নলিখিত কমান্ডটি জিজ্ঞাসা করুন।

এখন, আসুন এনক্রিপশন প্রক্রিয়ার অগ্রগতি নিরীক্ষণ করি এবং নিশ্চিত করি যে রাজ্যটি 3 যা এনক্রিপশন সম্পূর্ণ হয়েছে তা বর্ণনা করে৷

নিম্নলিখিত ক্যোয়ারী ডাটাবেসগুলিতে TDE সক্রিয় থাকা ডাটাবেসগুলির তালিকা করে৷

উপরের ফলাফলটি দেখায় যে TDE_DB ডাটাবেসে TDE সক্ষম করা হয়েছে, এবং এনক্রিপশন অবস্থা 3 এর মানে হল যে ডাটাবেসটি সম্পূর্ণরূপে এনক্রিপ্ট করা হয়েছে। ডিফল্টরূপে, যখন আমরা যেকোন ব্যবহারকারী ডাটাবেসে TDE ব্যবহার করে এনক্রিপ্ট করি তখন tempdb স্বয়ংক্রিয়ভাবে এনক্রিপ্ট হয়ে যাবে।

ধাপ 8:উপলভ্যতা গ্রুপে ডেটাবেস যোগ করা

AG গ্রুপে এনক্রিপ্ট করা ডাটাবেস যোগ করা যাক।

দ্রষ্টব্য :একটি উপলব্ধতা গ্রুপে TDE এনক্রিপ্ট করা ডাটাবেস যোগ করা SSMS-এ GUI বিকল্পগুলিকে সমর্থন করে না৷

AG গ্রুপে ডাটাবেস যোগ করতে আপনাকে TSQL ব্যবহার করতে হবে। প্রাথমিক প্রতিলিপিতে, ডাটাবেস TDE_Test ডাটাবেসের জন্য একটি সম্পূর্ণ ব্যাকআপ, লেনদেন লগ ব্যাকআপ নিন এবং এটি অনুলিপি করুন। তারপর আপনাকে NORECOVERY দিয়ে এটি পুনরুদ্ধার করতে হবে মাধ্যমিকে।

ব্যাকআপ এবং পুনরুদ্ধার সম্পূর্ণ হলে, উপলভ্যতা গ্রুপে ডাটাবেস যোগ করতে নিম্নলিখিত কমান্ডগুলি চালান৷

ধাপ 9:AG স্বাস্থ্য যাচাইকরণ

এখন ড্যাশবোর্ডের মাধ্যমে AG হেলথ চেক স্ট্যাটাস যাচাই করুন এবং একটি ম্যানুয়াল ফেইলওভার টেস্ট করে তা নিশ্চিত করুন যে আমাদের ডাটাবেস, এতে TDE চালু আছে ঠিকঠাক কাজ করছে।

পরিকল্পনা:AG গ্রুপে ইতিমধ্যে বিদ্যমান ডাটাবেসে TDE কনফিগার করুন৷

যখন ডাটাবেসটি ইতিমধ্যেই AG গ্রুপে যোগ করা হয়েছে তখন TDE সক্ষম করতে পদক্ষেপগুলি অনুসরণ করুন (যা আমি আমাদের প্রথম দৃশ্যে আলোচনা করেছি)৷

ধাপ 1:প্রাথমিক উদাহরণ - একটি মাস্টার কী তৈরি করুন

ধাপ 2:প্রাথমিক উদাহরণ - একটি শংসাপত্র তৈরি করুন

ধাপ 3:প্রাথমিক উদাহরণ - ডেটাবেস এনক্রিপশন কী তৈরি করা (DEK)

ধাপ 4:প্রাথমিক উদাহরণ - সার্টিফিকেট ব্যাকআপ করুন

ধাপ 5:সেকেন্ডারি ইনস্ট্যান্স - একটি মাস্টার কী তৈরি করুন

ধাপ 6:সেকেন্ডারি ইনস্ট্যান্স - সেকেন্ডারি সার্টিফিকেট তৈরি করুন

ধাপ 7:প্রাথমিক উদাহরণ - TDE এনক্রিপশন সক্ষম করা

ধাপ 9:এজি হেলথ ভ্যালিডেশন

যেহেতু আমি ইতিমধ্যেই আমাদের পূর্ববর্তী পরিস্থিতিতে উভয় প্রতিলিপিতে মাস্টার কী এবং শংসাপত্র তৈরি করেছি, আমরা 1,2,4,5,6,7 ধাপগুলি এড়িয়ে যেতে পারি। আপনাকে শুধু DEK তৈরি করতে হবে এবং ধাপ 3 এবং 7 থেকে TDE সক্ষম করতে হবে।

• প্রাথমিক প্রতিরূপ:node1

• সেকেন্ডারি রেপ্লিকা:node2

• AG গ্রুপ:TDE_AG

• AG ডাটাবেস :Test_tde

• TDE সার্টিফিকেট :TDE_AG2021

ধাপ 3 এবং 7 – প্রাথমিক উদাহরণে

এনক্রিপশন প্রক্রিয়ার অগ্রগতি নিরীক্ষণ করুন এবং নিশ্চিত করুন যে রাজ্যটি 3 যা এনক্রিপশন সম্পূর্ণ হয়েছে তা বর্ণনা করে৷

নিম্নলিখিত ক্যোয়ারী সহ TDE সক্ষম ডাটাবেস চেক করুন।

AG স্বাস্থ্য পরীক্ষা যাচাই করুন এবং সবকিছু ঠিকঠাক কাজ করছে তা নিশ্চিত করতে একটি ব্যর্থতা পরীক্ষা করুন।

পরিস্থিতি:মেয়াদোত্তীর্ণ শংসাপত্র ঘোরানো

আপনি যখন লক্ষ্য করেন যে TDE শংসাপত্রের মেয়াদ শীঘ্রই শেষ হয়ে যাচ্ছে, তখন আপনাকে সার্টিফিকেটটিকে সর্বোত্তম অনুশীলন হিসাবে ঘোরাতে হবে যদিও মেয়াদোত্তীর্ণ শংসাপত্রটি ডেটাবেসের নিয়মিত ক্রিয়াকলাপে কোনো সমস্যা সৃষ্টি করবে না।

আপনি আমাদের TDE শংসাপত্রগুলির মেয়াদ শেষ হওয়ার তারিখ পরীক্ষা করতে পারেন এবং SQL TDE শংসাপত্রগুলি ঘোরানোর জন্য বর্ণিত পদক্ষেপগুলি অনুসরণ করতে পারেন

পদক্ষেপ 1:প্রাথমিক উদাহরণ - একটি নতুন শংসাপত্র তৈরি করুন

ধাপ 2:প্রাথমিক উদাহরণ - সার্টিফিকেট ব্যাকআপ করুন

ধাপ 3:সেকেন্ডারি ইনস্ট্যান্স - সেকেন্ডারি সার্টিফিকেট তৈরি করুন

পদক্ষেপ 4:প্রাথমিক উদাহরণ - SQL TDE শংসাপত্রটি ঘোরান

Test_tde ডাটাবেসের মেয়াদ শেষ হওয়ার তারিখ যাচাই করুন:

ধাপ 5:AG স্বাস্থ্য যাচাইকরণ:

কোনো পুরানো ব্যাকআপ পুনরুদ্ধার করতে কিছু সময়ের জন্য মেয়াদোত্তীর্ণ TDE শংসাপত্রগুলি সংরক্ষণ করুন৷ নতুন শংসাপত্রটি শুধুমাত্র তখনই ব্যবহার করা হবে যখন আপনি ডাটাবেসগুলি পুনরুদ্ধার করবেন যেগুলি কী রোটেশনের পর থেকে ব্যাক আপ করা হয়েছিল৷

উপসংহার

এসকিউএল সার্ভার গ্রাহকের গোপনীয় তথ্য রক্ষা করার জন্য ভৌত ফাইল এনক্রিপ্ট করার জন্য স্বচ্ছ ডেটা এনক্রিপশন (TDE) প্রদান করে। এই ব্লগে, আমি AlwaysOn প্রাপ্যতা গ্রুপ ডাটাবেসের জন্য TDE কনফিগার করার জন্য বিভিন্ন পরিস্থিতি বর্ণনা করেছি।

কোনো মন্তব্য করতে বা প্রশ্ন জিজ্ঞাসা করতে প্রতিক্রিয়া ট্যাব ব্যবহার করুন। আপনি আমাদের সাথে একটি কথোপকথনও শুরু করতে পারেন৷


  1. রিয়েল-টাইম ADDM-এর সাথে ওরাকল ডাটাবেস এবং সেশনগুলিকে সমস্যা সমাধান করা হয়েছে

  2. Oracle EBS এর সাথে স্বচ্ছ ডেটা এনক্রিপশন

  3. RMAN এর সাথে একটি স্ট্যান্ডবাই ডাটাবেস এগিয়ে দিন

  4. এক্সেলে ফর্ম সহ একটি ডেটাবেস কীভাবে তৈরি করবেন