Grootboekoverzicht

2025-08-15

van toepassing op: SQL Server 2022 (16.x) Azure SQL Database Azure SQL Managed Instance

Het tot stand brengen van vertrouwen rond de integriteit van gegevens die zijn opgeslagen in databasesystemen is een langstaand probleem geweest voor alle organisaties die financiële, medische of andere gevoelige gegevens beheren. De grootboekfunctie biedt mogelijkheden om manipulatie te detecteren in uw database. U kunt cryptografisch attesteren aan andere partijen, zoals auditors of andere zakelijke partijen, waarmee uw gegevens niet zijn geknoeid.

Grootboek helpt gegevens te beschermen tegen aanvallers of gebruikers met hoge bevoegdheden, waaronder databasebeheerders (DBA's), systeembeheerders en cloudbeheerders. Net als bij een traditioneel grootboek behoudt de functie historische gegevens. Als een rij in de database wordt bijgewerkt, wordt de vorige waarde behouden en beveiligd in een geschiedenistabel. Grootboek biedt een overzicht van alle wijzigingen die in de loop van de tijd in de database zijn aangebracht.

Grootboek en de historische gegevens worden transparant beheerd en bieden beveiliging zonder wijzigingen in toepassingen. De functie onderhoudt historische gegevens in een relationele vorm ter ondersteuning van SQL-query's voor controle, forensische gegevens en andere doeleinden. Het biedt garanties voor cryptografische gegevensintegriteit terwijl de kracht, flexibiliteit en prestaties van de SQL-database behouden blijven.

Diagram van de tabelarchitectuur van het grootboek.

Use cases for ledger

Laten we eens enkele voordelen voor het gebruik van grootboek overslaan.

Controles stroomlijnen

De waarde van elk productiesysteem is gebaseerd op de mogelijkheid om de gegevens te vertrouwen die het systeem verbruikt en produceert. Als een kwaadwillende gebruiker heeft geknoeid met de gegevens in uw database, kan dit een ramp opleveren in de bedrijfsprocessen die afhankelijk zijn van die gegevens.

Het onderhouden van vertrouwen in uw gegevens vereist een combinatie van het inschakelen van de juiste beveiligingscontroles om mogelijke aanvallen, back-up- en herstelprocedures en grondige procedures voor herstel na noodgevallen te verminderen. Audits door externe partijen zorgen ervoor dat deze praktijken worden uitgevoerd.

Controleprocessen zijn zeer tijdrovende activiteiten. Controle vereist on-site inspectie van geïmplementeerde procedures, zoals het controleren van auditlogboeken, het inspecteren van verificatie en het inspecteren van toegangsbeheer. Hoewel deze handmatige processen potentiële hiaten in de beveiliging kunnen blootstellen, kunnen ze geen attestable bewijzen dat de gegevens niet schadelijk zijn gewijzigd.

Grootboek biedt het cryptografische bewijs van gegevensintegriteit aan auditors. Dit bewijs kan helpen bij het stroomlijnen van het controleproces. Het biedt ook niet-naleving met betrekking tot de integriteit van de gegevens van het systeem.

Bedrijfsprocessen van meerdere partijen

In sommige systemen, zoals supply chain-beheersystemen, moeten meerdere organisaties de status van een bedrijfsproces met elkaar delen. Deze systemen hebben moeite met de uitdaging om gegevens te delen en te vertrouwen. Veel organisaties maken gebruik van traditionele blockchains, zoals Ethereum of Hyperledger Fabric, om hun bedrijfsprocessen van meerdere partijen digitaal te transformeren.

Blockchain is een uitstekende oplossing voor netwerken van meerdere partijen waarbij vertrouwen laag is tussen partijen die deelnemen aan het netwerk. Veel van deze netwerken zijn fundamenteel gecentraliseerde oplossingen waarbij vertrouwen belangrijk is, maar een volledig gedecentraliseerde infrastructuur is een zwaargewicht oplossing.

Grootboek biedt een oplossing voor deze netwerken. Deelnemers kunnen de integriteit van de centraal geplaatste gegevens verifiëren, zonder de complexiteit en de gevolgen voor prestaties die netwerkconsensus in een blockchainnetwerk introduceert.

Succes van klant

Vertrouwde off-chain-opslag voor blockchain

Wanneer een blockchainnetwerk nodig is voor een bedrijfsproces van meerdere partijen, is de mogelijkheid om query's uit te voeren op de gegevens in de blockchain zonder dat dit ten koste gaat van de prestaties.

Typische patronen voor het oplossen van dit probleem zijn het repliceren van gegevens uit de blockchain naar een archief buiten de keten, zoals een database. Maar nadat de gegevens vanuit de blockchain naar de database zijn gerepliceerd, garandeert de gegevensintegriteit dat een blockchainaanbieding verloren gaat. Grootboek biedt gegevensintegriteit voor off-chain-opslag van blockchainnetwerken, wat zorgt voor een volledige gegevensvertrouwen via het hele systeem.

Hoe het werkt

Rijen die zijn gewijzigd door een transactie in een grootboektabel, worden cryptografisch SHA-256 gehasht met behulp van een Merkle-structuurgegevensstructuur die een hoofd-hash maakt die alle rijen in de transactie vertegenwoordigt. De transacties die door de database worden verwerkt, worden vervolgens ook met SHA-256 gehasht via een Merkle-boomstructuur. Het resultaat is een roothash die een blok vormt. Het blok wordt vervolgens SHA-256 gehasht via de hoofd-hash van het blok, samen met de hoofd-hash van het vorige blok als invoer voor de hash-functie. Die hashing vormt een blockchain.

De hoofdhashes in het database-grootboek, ook wel Database-digests genoemd, bevatten de cryptografisch gehashte transacties en vertegenwoordigen de status van de database. Ze kunnen periodiek worden gegenereerd en opgeslagen buiten de database in manipulatiebestendige opslag, zoals Azure Blob Storage geconfigureerd met onveranderbaarheidsbeleid, Azure Confidential Ledger of on-premises Write Once Read Many -opslagapparaten (WORM). Databasesamenvatingen worden later gebruikt om de integriteit van de database te controleren door de waarde van de hash in de digest te vergelijken met de berekende hashes in de database.

Grootboekfunctionaliteit wordt geïntroduceerd in tabellen in twee vormen:

Tabellen met grootboek die kunnen worden bijgewerkt en verwijderd, zodat u rijen in uw tabellen kunt bijwerken en verwijderen.
Grootboektabellen met alleen toevoegbewerkingen, die alleen invoegingen aan uw tabellen toestaan.

Zowel bij te werken grootboektabellen als alleen-toevoegbare grootboektabellen bieden manipulatiebestendigheid en digitale forensische capaciteiten.

Bijwerkbare grootboektabellen

Updatable grootboektabellen zijn ideaal voor toepassingspatronen die verwachten dat er updates en verwijderingen worden uitgevoerd voor tabellen in uw database, zoals het systeem van recordtoepassingen (SOR). Bestaande gegevenspatronen voor uw toepassing hoeven niet te worden gewijzigd om grootboekfunctionaliteit in te schakelen.

Bij bijgewerkte grootboektabellen wordt de geschiedenis van wijzigingen in rijen in uw database bijgehouden wanneer transacties die updates of verwijderingen uitvoeren. Een updatable grootboektabel is een tabel met systeemversies die een verwijzing naar een andere tabel met een gespiegeld schema bevat.

De andere tabel wordt de geschiedenistabel genoemd. Het systeem gebruikt deze tabel om automatisch de vorige versie van de rij op te slaan telkens wanneer een rij in de grootboektabel wordt bijgewerkt of verwijderd. De geschiedenistabel wordt automatisch gemaakt wanneer u een updatable grootboektabel maakt.

De waarden in de updatable grootboektabel en de bijbehorende geschiedenistabel bevatten een kroniek van de waarden van uw database in de loop van de tijd. Een door het systeem gegenereerde grootboekweergave voegt de updatable grootboektabel en de geschiedenistabel toe, zodat u eenvoudig een query kunt uitvoeren op deze kroniek van uw database.

Zie Tabellen met een updatable grootboek maken en gebruiken voor meer informatie over grootboektabellen die kunnen worden bijgewerkt.

Alleen-toevoegbare grootboektabellen

Grootboektabellen met alleen toevoeggegevens zijn ideaal voor toepassingspatronen die alleen-invoegen zijn, zoals SIEM-toepassingen (Security Information and Event Management). Grootboektabellen met alleen toevoegbewerkingen blokkeren updates en verwijderingen op API-niveau. Deze blokkering biedt meer manipulatiebeveiliging tegen bevoegde gebruikers, zoals systeembeheerders en DBA's.

Omdat alleen invoegingen zijn toegestaan in het systeem, hebben alleen-toevoegen grootboektabellen geen bijbehorende geschiedenistabel omdat er geen geschiedenis is om vast te leggen. Net als bij tabellen met een grootboek dat kan worden bijgewerkt, biedt een grootboekweergave inzicht in de transactie die rijen heeft ingevoegd in de tabel alleen toevoegen en de gebruiker die de invoeging heeft uitgevoerd.

Zie Tabellen voor alleen toevoeg-grootboek maken en gebruiken voor meer informatie over grootboektabellen met alleen toevoeggegevens.

Grootboekdatabase

Grootboekdatabases bieden een eenvoudige oplossing voor toepassingen waarvoor de integriteit van alle gegevens gedurende de gehele levensduur van de database moet worden beveiligd. Een grootboekdatabase kan alleen grootboektabellen bevatten. Het maken van gewone tabellen (die geen grootboektabellen zijn) wordt niet ondersteund. Elke tabel wordt standaard gemaakt als een grootboektabel updatable met standaardinstellingen, waardoor dergelijke tabellen heel eenvoudig kunnen worden gemaakt. U configureert een database als grootboekdatabase bij het maken. Zodra een grootboekdatabase is gemaakt, kan deze niet worden geconverteerd naar een gewone database. Zie Een grootboekdatabase configurerenvoor meer informatie.

Database-overzichten

De hash van het meest recente blok in het databasegrootboek wordt de databasesamenvattinggenoemd. Het vertegenwoordigt de status van alle grootboektabellen in de database op het moment dat het blok is gegenereerd.

Wanneer een blok wordt gevormd, wordt de bijbehorende databasesamenvatt gepubliceerd en buiten de database opgeslagen in opslag met manipulatiebeveiliging. Omdat databasesamenvatingen de status van de database vertegenwoordigen op het moment dat ze zijn gegenereerd, is het beschermen van de digests tegen manipulatie essentieel. Een aanvaller die toegang heeft om de samenvattingen te wijzigen, kan het volgende doen:

Knoeien met de gegevens in de database.
Genereer de hashes die de database vertegenwoordigen met deze wijzigingen.
Wijzig de samenvattingen om de bijgewerkte hash van de transacties in het blok weer te geven.

Grootboek biedt de mogelijkheid om de databasesamenvatten automatisch te genereren en op te slaan in onveranderbare opslag of Azure Confidential Ledger, om manipulatie te voorkomen. Gebruikers kunnen ook handmatig databasesamenvatten genereren en opslaan op de locatie van hun keuze. Databasesamenvatten worden gebruikt om later te controleren of de gegevens die zijn opgeslagen in grootboektabellen, niet zijn gemanipuleerd.

Grootboekverificatie

De grootboekfunctie staat het wijzigen van de inhoud van grootboeksysteemweergaven, alleen toevoegtabellen en geschiedenistabellen niet toe. Een aanvaller of systeembeheerder die de controle over de machine heeft, kan echter alle systeemcontroles omzeilen en rechtstreeks knoeien met de gegevens. Een aanvaller of systeembeheerder kan bijvoorbeeld de databasebestanden in de opslag bewerken. Grootboek kan dergelijke aanvallen niet voorkomen, maar garandeert dat manipulatie wordt gedetecteerd wanneer de grootboekgegevens worden geverifieerd.

Het verificatieproces van grootboek neemt als invoer een of meer eerder gegenereerde databasesamenvatten en hercomputeert de hashes die zijn opgeslagen in het database-grootboek op basis van de huidige status van de grootboektabellen. Als de berekende hashes niet overeenkomen met de invoersamenvatten, mislukt de verificatie, wat aangeeft dat er met de gegevens is geknoeid. Grootboek rapporteert vervolgens alle inconsistenties die zijn gedetecteerd.

Feedback

Is deze pagina nuttig?