你应该知道的数仓安全——透明加密

zhangkunhn 发表于 2021/03/26 10:52:44 2021/03/26
【摘要】 透明加密是保障用户核心数据安全的有效手段。从使用场景和原理介绍了GaussDB(DWS)数仓的透明加密特性,指出了后续透明加密特性的研究方向。

你应该知道的数仓安全——透明加密

数据泄露防护

数据作为信息系统中的核心资产,其机密性、完整性和可用性必须得到保证,以避免数据被非法泄漏或非法篡改。当前数据泄露事件层出不穷,给个人和企业造成重大损失。

防止数据泄露可以有两种技术路径。一是权限管理,采用最小化授权原则对使用数据的用户和应用程序授权。另一种是数据加密,包括使用SQL函数加密和透明加密。权限管理在你应该知道的数仓安全——默认权限实现共享schema一文中有所介绍。本文讨论透明加密,后续博文再谈谈SQL函数加密。

透明加密的应用场景

透明加密能够保障用户数据安全。更换磁盘、磁盘流出或者运维非法直接读取磁盘文件会绕过认证、权限管理和审计,从而导致数据泄露的风险。客户对业务数据有很高机密性要求时建议使用透明加密。

透明加密的原理

透明加密功能是对存在硬盘上的用户数据加密存储,对用户及上层使用SQL的应用不感知。透明的含义是指对客户来说是无感知的,仅需要创建GaussDB(DWS)集群时配置透明加密。目前支持行存表和列存表文件的加密存储,支持集群级别的透明加密配置。

集群级别的透明加密意味着集群中的所有库,库中的所有表都是加密存储。集群级别的透明加密还意味着需要在创建集群时进行配置,集群创建之后不可修改,既不能将非加密集群修改为加密集群,也不能将加密集群修改为非加密集群。

加密算法

透明加密核心是算法和密钥。我们采用AES-128算法,加密模式使用CTR。CTR流加密可以保证明文和密文长度相等,不会导致加密后数据存储空间膨胀。

密钥管理

使用华为公有云KMS服务管理,保证了用户的密钥安全。
加密密钥层次结构有三层。按层次结构顺序排列,这些密钥为主密钥(CMK)、集群密钥 (CEK)、数据库密钥 (DEK)。

  • 主密钥保存在KMS中,用于给CEK加密。
  • CEK用于加密DEK,CEK明文保存在集群内存中,密文保存在服务管理面中。
  • DEK用于加密数据库中的数据,DEK明文保存在集群内存中,密文保存在服务管理面中。

GaussDB(DWS)透明加密密钥管理

密钥轮转

出于安全考虑,用户可以执行密钥轮转操作。密钥轮转只轮转集群密钥,不论转数据库秘钥。

透明加密的后续演进

集群级透明加密的优点是所有数据包括用户表和系统表都加密,适用于所有加密需求。一枚硬币的两面性告诉我们,优点也可能是缺点。对所有数据库对象加密会对数据导入和查询带来性能上的开销。

为解决此问题,后续考虑支持细粒度透明加密。比如可以支持表级透明加密,用户在创建表时指定属性为加密表,该用户表的数据会加密存储。用户可以在包含敏感数据的表中开启加密属性,在查询和使用过程中不感知加解密过程。由于加密粒度较小,对性能的影响也较小。

总结

透明加密是保障用户核心数据安全的有效手段。从使用场景和原理介绍了GaussDB(DWS)数仓的透明加密特性,指出了后续透明加密特性的研究方向。

image.png

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。