透明数据加密（TDE）是SQL Server 2008中的一个新特征，被设计用来对数据库文件、数据库备份以及临时数据库进行加密。通过透明数据加密，当你从数据库中读取数据时，数据将被实时加密，且不会阻止任何合法用户进入数据库访问并读取表格数据。

　　透明数据加密 – 为什么要使用它？

　　PCI DSS（支付卡产业数据安全标准）要求每一个数据和备份都必需是安全的，而透明数据加密一开始就是用来帮助正在使用SQL Server 2008的公司来满足符合此标准（PCI DSS）中的各项条款的要求。

　　记住，TED本身不能满足你所有的安全要求。它只是SQL Server 2008帮助DBA遵从法规时提供的一整套特征中的一部分。DBA仍需确保敏感数据已通过加密算法被加密，且网络管理员与系统管理员必须确保Windows服务器、网络、网页以及应用服务器之间的链接都是安全的。开发人员仍需确保从客户端到Web服务端的通信是安全的或者已经被加密了的。

　　使用TED之前需要考虑的

　　在SQL Server中使用透明数据加密之前，你应该考虑几个因素。

　　例如，任何正在使用SQL Server TDE的公司可能会发现有细微的性能衰减，因为数据在向磁盘写入的过程中被加密，在从磁盘中读取出来的过程中被解密。这就增加了CPU的消耗。但是此时数据文件，事务日志文件以及备份文件的大小与没有使用TDE的数据库中的文件大小是一样的。

　　加密后的数据库，其备份的压缩比远比没有加密的数据库的备份要小。这就导致备份时需要更多的存储设备，且在传递那些加密备份文件时需要花费更多的费用。

　　虽然在SQL Server中，一开始也可以通过密码实现安全的备份，但这被认为是一个不太可靠的选择。现在大多数磁带备份方案在向磁带设备写入数据时都包含备用的加密算法。虽然磁带加密技术这项技术在过去发展很慢，但在最近几年还是有很多发展。尽管如此，这些发展阻止不了黑客访问你的SQL Server,也阻止不了他们试图分离你的数据库文件、将它们拷贝到另一个SQL Server中，附加它们并读取数据库内容。因此，数据库文件加密技术对于大多数常规使用是必需的。

　　以下是在实现透明数据加密之前要考虑的一些其它的重要因素：

　　使用TDE要有数据库密钥（DEK）以及任何所需的证书。在存储备份时需要用到此证书。

　　如果你正在使用TDE,即时文件初始化会被禁用。即时文件初始化是Windows Server 2003的一个特征，SQL Server 2005可以在数据增涨非常快的时候利用此特征，使得文件系统中的潜在空间不需要被清空。

　　如果你正在记录一个透明数据加密的数据库的日志或为其做镜像,二级或镜像服务器需要启动TDE。

　　文件流数据将不会被加密。文件流是SQL Server 2008的一个特性，varbinary列可以存储在文件系统中并异步流向客户端。

　　数据库中的只读文件组必需被设为可写，才能激活TDE来为数据库内容加密。它们之后又可以设为只读。

　　为透明数据加密激活数据库可能会花费一些时间，且一些数据库操作在转换过程中不会被激活。参考微软的关于理解TDE的网页,来获取更多关于这些局限的信息。

　　复制是TDE的盲区,复制后的数据不会被加密。换言之，复制网络通信经常会是纯文本，也可能会是复制后的快照文件。DBA需要考虑到这一点。

　　在生成索引的过程中,全文索引将会从varbinary列与image列即时抽取文本数据至文件系统。这些数据是无格式文本，并且没有被加密。微软建议不要将全文索引数据存存储在varbinary/image列中。