全部产品
Search

搜索本产品

    ApsaraDB RDS:Gunakan fitur TDE

    文档中心

    ApsaraDB RDS:Gunakan fitur TDE

    更新时间:Jun 25, 2025

    ApsaraDB RDS for PostgreSQL mendukung fitur enkripsi data transparan (TDE). Anda dapat menggunakan TDE untuk mengenkripsi dan mendekripsi file data secara real-time guna melindungi privasi data pengguna. Topik ini menjelaskan istilah, prinsip enkripsi, dan prinsip dekripsi dari TDE.

    Deskripsi fitur

    TDE digunakan untuk melakukan enkripsi dan dekripsi I/O real-time pada file data. TDE mengenkripsi data-diam di lapisan basis data, mencegah penyerang melewati basis data untuk membaca informasi sensitif dari penyimpanan. TDE memungkinkan aplikasi dan pengguna terotentikasi mengakses data teks tanpa perlu memodifikasi kode aplikasi atau konfigurasi untuk dekripsi. Namun, TDE mencegah pengguna sistem operasi (OS) yang mencoba membaca informasi sensitif dalam file tablespace serta pengguna tidak sah yang mencoba membaca data cadangan dan data pada disk dari mengakses data teks.

    • Transparan: Data secara otomatis dienkripsi ketika ditulis ke disk dan didekripsi ketika dibaca dari disk. Proses enkripsi dan dekripsi tidak terlihat oleh pengguna.

    • Enkripsi Data: Kunci layanan yang disediakan oleh Key Management Service (KMS) atau kunci kustom yang Anda unggah ke KMS digunakan untuk mengenkripsi file data.

      Catatan

      • Kunci yang digunakan untuk TDE dibuat dan dikelola oleh KMS. ApsaraDB RDS tidak menyediakan kunci atau sertifikat yang diperlukan untuk enkripsi.

      • ApsaraDB RDS for PostgreSQL mendukung kunci tipe Aliyun_AES_256 dan Aliyun_SM4.

    Manfaat

    Fitur TDE memberikan manfaat berikut:

    • Enkripsi tingkat tabel dan indeks: Anda dapat menggunakan TDE untuk mengenkripsi dan mendekripsi tabel dan indeks.

    • Enkripsi dan dekripsi beberapa objek sekaligus: Anda dapat menggunakan TDE untuk mengenkripsi dan mendekripsi semua indeks dalam tabel sekaligus. Anda juga dapat menggunakan TDE untuk mengenkripsi dan mendekripsi semua tabel dalam basis data.

    • Kehilangan performa rendah: Jika TDE diaktifkan, performa sedikit terpengaruh. Dalam skenario bisnis normal, kehilangan performa tabel terenkripsi sekitar 4%.

    Prinsip

    Istilah

    • Kunci Enkripsi Kunci (KEK): Anda dapat menggunakan kunci layanan KMS atau menggunakan kunci master pelanggan (CMK) untuk mengenkripsi kunci enkripsi data (DEK).

    • DEK: DEK dihasilkan oleh basis data untuk mengenkripsi dan mendekripsi data.

    Proses

    Semua operasi enkripsi dan dekripsi dilakukan di memori. Data di memori adalah teks biasa, sedangkan data di disk adalah teks terenkripsi. Hal ini membantu mencegah kebocoran data jika disk dicuri. Anda tidak perlu mengubah mode penggunaan basis data.

    Ketika basis data dimulai, KEK diperoleh dari KMS untuk mendekripsi DEK. DEK yang didekripsi disimpan di memori dan digunakan untuk mengenkripsi atau mendekripsi data saat data ditulis atau dibaca.