Günümüz veri dünyasında güvenliğin tek bir duvarla sağlanması mümkün değildir. “Derinlemesine Savunma” (Defense in Depth) stratejisi gereği, verinin fiziksel diskten ağ paketlerine kadar her aşamada korunması gerekir. SQL Server, veriyi statik, dinamik ve kullanım anında korumak için çok katmanlı şifreleme metotları sunar. Bu makalede, dosya bazlı korumadan ağ trafiği güvenliğine kadar uzanan beş temel şifreleme katmanını inceleyeceğiz.
1. Fiziksel Katman: Transparent Data Encryption (TDE)
Şifrelemenin ilk ve en temel katmanı, dosya bazında yapılan TDE (Şeffaf Veri Şifreleme) yapısıdır. Bu yöntemle veritabanına ait MDF, NDF ve LDF dosyaları ile bu dosyaların yedekleri (Backup) disk üzerinde şifrelenir.
- İç güvenliği sağlamak ve fiziksel hırsızlığa karşı önlem almaktır.
- TDE ile şifrelenmiş bir veritabanı yedeği, şifreleme sertifikası ve anahtarları (Master Key) olmadan başka bir SQL Server instance’a Restore edilemez. Bu sayede, yetkisiz kişilerin dosyaları kopyalayıp başka bir ortamda açmasının önüne geçilir.
Detaylı bilgi için sayfada bulunan TDE makaleleri okunabilir.
2. Yedekleme Güvenliği: Backup Encryption
İkinci katman, yedekleme dosyalarının doğrudan şifrelenmesidir. TDE genel bir dosya koruması sağlarken, Backup Encryption yedeğin oluşturulma anında şifrelenmesini sağlar.
- Yedekleme dosyalarının taşınması veya depolanması sırasında (örneğin bulut ortamına veya harici diske aktarılırken) yetkisiz erişimi engellemektir. Bu katman, veritabanı yöneticisinin belirlediği algoritmalarla yedeklerin güvenliğini garanti altına alır.
3. Nesne Seviyesinde Güvenlik: Kolon Şifreleme ve Maskeleme
Üçüncü aşama, veritabanı içindeki hassas verilere (TC Kimlik No, Kredi Kartı vb.) doğrudan müdahale edilen Kolon Seviyesinde Şifreleme metodudur.
- Veri kolon bazında şifrelenir ve sadece ilgili anahtara (Decryption Key) sahip olan kullanıcılar gerçek veriyi görebilir.
- “Unmask” yetkisi verilmeyen kullanıcılar, veriyi sadece yıldızlanmış veya gizlenmiş şekilde görür. Bu sayede veri tabanına erişimi olan her kullanıcının hassas verileri okuması engellenmiş olur.
Detaylı bilgi için sayfada bulunan Column Level Encryption makalesi okunabilir.
4. Bellek ve Kullanım Güvenliği: Always Encrypted
Dördüncü ve en gelişmiş seviyelerden biri Always Encrypted yapısıdır. Bu teknoloji, veriyi sadece diskte değil, sunucu belleği (Buffer) üzerinde de şifreli tutar.
- Veriler bellek üzerinden çalınmaya (Memory Dump) karşı korunur.
- En önemli özelliği, veritabanı yöneticisinin (DBA) bile verinin ham halini görememesidir. Şifre çözme işlemi SQL Server tarafında değil, uygulama tarafındaki sürücülerde gerçekleşir. Veri, SQL Server’a her zaman şifreli gelir ve şifreli döner.
5. İletişim Katmanı: Ağ Paketlerinin Şifrelenmesi (TLS/SSL)
Son katman, istemci ile sunucu arasında akan veri trafiğini koruyan Network Packet Encryption (Ağ Paketi Şifrelemesi) işlemidir.
- Dışarıdan gelebilecek saldırılarda, saldırganlar ağ paketlerini “sniffing” yöntemiyle yakalasa bile içeriğini okuyamazlar.
- Güncel TLS protokolleri kullanılarak sağlanan bu şifreleme, verinin bir noktadan diğerine giderken yolda değiştirilmesini veya izlenmesini engeller.
SQL Server’daki şifreleme metotları, veriyi sadece bir kilit altına almakla kalmaz; saldırı tipine göre özelleşmiş savunma hatları oluşturur. Dosya bazlı şifreleme fiziksel güvenliği, Always Encrypted bellek güvenliğini, TLS ise iletişim güvenliğini sağlar. Verinin değerine ve yasal uyumluluk (KVKK, GDPR gibi) gereksinimlerine göre bu beş katmanın entegre bir şekilde kullanılması, modern bir veritabanı mimarisinin vazgeçilmez bir parçasıdır.
Başka makalede görüşmek dileğiyle..
“Şüphesiz güçlükle beraber bir kolaylık vardır. Gerçekten, güçlükle beraber bir kolaylık vardır.” İnşirah Suresi; 5-6. Ayet
