RDS PostgreSQL支持透明数据加密(Transparent Data Encryption,简称TDE),对数据文件进行实时加密和解密,保护用户数据隐私,本文介绍透明数据加密的基本概念和加密原理。
什么是透明数据加密
透明数据加密指对数据文件执行实时I/O加密和解密。通过在数据库层执行静态数据加密,阻止可能的攻击者绕过数据库直接从存储中读取敏感信息。经过数据库身份验证的应用和用户可以继续透明地访问应用数据(不需要更改应用代码或配置),而尝试读取表空间文件中的敏感数据的OS用户以及尝试读取磁盘或备份信息的未知用户将不允许访问明文数据。
透明数据加密的优势
阿里云RDS PostgreSQL透明数据加密具有以下优势:
-
表级、索引级加密粒度:支持对表级别、索引级别进行TDE加密和解密。
-
批量对象加密解密:支持表中所有索引批量加密和解密,支持数据库内所有表批量加密和解密。
-
性能损耗低:开启TDE功能后,性能影响小,常规业务场景下加密的表性能损耗约4%。
TDE加密解密原理
名词解释
-
加密密钥(Key Encryption Key,简称KEK):可使用KMS服务密钥或用户自定义密钥(Customer Master Key,简称CMK),用于保护数据密钥。
-
数据密钥(Data Encryption Key,简称DEK):由数据库生成,用于加密或解密数据。
加密解密流程
所有加密解密操作均在内存中进行,内存中的数据是明文,磁盘中的数据是密文,这可以避免因磁盘被盗而产生的数据泄露问题,同时数据库的使用方式保持不变,没有适配成本。
数据库启动时会从KMS获取KEK,从而解密DEK,解密后的DEK存放在内存中,用于写入数据或读取数据时进行加密或解密。
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/154287.html