Cara mengonfigurasi Enkripsi Data Transparan (TDE) di PolarDB - PolarDB

Untuk memenuhi persyaratan keamanan dan kepatuhan, Anda dapat menggunakan fitur Enkripsi Data Transparan (TDE). TDE melakukan enkripsi dan dekripsi I/O secara real-time pada file data di lapisan penyimpanan. Data dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca dari disk ke memori. Proses ini transparan bagi aplikasi, sehingga memungkinkan Anda mengenkripsi data tanpa mengubah kode aplikasi.

Pendahuluan

Fitur TDE PolarDB didasarkan pada algoritma Advanced Encryption Standard (AES) dengan panjang kunci 256 bit, yang menjamin keamanan data yang kuat.

Manajemen kunci untuk TDE bergantung pada Key Management Service (KMS) Alibaba Cloud. Anda dapat memilih salah satu dari dua metode berikut untuk mengelola kunci:

Service key: Kunci ini dibuat dan dikelola secara otomatis oleh Alibaba Cloud. Metode ini praktis dan tidak memerlukan konfigurasi tambahan.
Custom key: Anda dapat membuat kunci sendiri di KMS dan memberikan izin kepada PolarDB untuk menggunakannya. Metode ini memberi Anda kontrol penuh atas kunci dan siklus hidupnya, seperti rotasi kunci, penonaktifan, dan penghapusan, untuk memenuhi persyaratan kepatuhan yang ketat.

Prasyarat

Kluster PolarDB for MySQL Anda harus memenuhi persyaratan berikut terkait versi mesin minor:

Seri produk	Mesin database	Versi mesin minor
Cluster Edition	MySQL 5.6	5.6.1.0.21 atau lebih baru.
	MySQL 5.7	5.7.1.0.3 atau lebih baru.
	MySQL 8.0.1, MySQL 8.0.2 Catatan TDE tidak dapat diaktifkan untuk kluster serverless yang menjalankan MySQL 8.0.2.	8.0.1.1.1 atau lebih baru.
Standard Edition	MySQL 5.7	5.7.1.0.3 atau lebih baru.
Standard Edition	MySQL 8.0.1, MySQL 8.0.2	8.0.1.1.1 atau lebih baru.

Jika Anda berencana menggunakan kunci kustom, Anda juga harus memenuhi kondisi berikut:
- Anda telah mengaktifkan Key Management Service (KMS) Alibaba Cloud.
- Anda telah memberikan otorisasi kepada PolarDB untuk mengakses KMS.
- Anda harus menggunakan akun Alibaba Cloud atau Pengguna Resource Access Management (RAM) yang memiliki izin AliyunSTSAssumeRoleAccess untuk melakukan operasi ini.

Deskripsi penagihan

Biaya penyimpanan: TDE tidak menambah ukuran file data dan tidak menimbulkan biaya penyimpanan tambahan.
Biaya kunci:
- Menggunakan service key: Tidak ada biaya yang dikenakan.
- Menggunakan custom key: Tidak ada biaya yang dikenakan untuk PolarDB, tetapi Anda akan dikenai biaya terkait kunci untuk Key Management Service (KMS).

Perhatian

Dampak pada kluster sumber:
- Fitur ini tidak dapat dinonaktifkan setelah diaktifkan. Sebelum mengaktifkan fitur ini, evaluasi secara cermat kebutuhan bisnis Anda dan dampak potensialnya.
- Mengaktifkan TDE menyebabkan kluster melakukan restart, yang mengganggu layanan Anda. Kami menyarankan agar Anda melakukan operasi ini di luar jam sibuk.
- Dalam skenario intensif I/O (IO-bound), mengaktifkan TDE mungkin sedikit memengaruhi kinerja database.
Custom key: Saat menggunakan kunci kustom, ketersediaan kunci secara langsung memengaruhi ketersediaan kluster.
- Operasi seperti menonaktifkan kunci, menjadwalkan penghapusan kunci, atau menghapus bahan kunci di KMS akan membuat kunci tidak tersedia.
- Jika Anda mencabut otorisasi akses PolarDB ke KMS, kluster menjadi tidak tersedia setelah direstart.
Global database network (GDN): TDE dapat diaktifkan untuk kluster dalam global database network (GDN).
- Setelah TDE diaktifkan pada kluster utama, fitur tersebut secara otomatis dan sinkron diaktifkan pada semua kluster sekunder. Semua kluster dalam GDN menggunakan kunci yang sama, yang berada di wilayah yang sama dengan kluster utama. Wilayah kunci tidak dapat diubah.
- Anda tidak dapat mengaktifkan TDE secara terpisah untuk kluster sekunder dalam GDN.

Panduan operasi

Langkah 1: Aktifkan enkripsi TDE untuk kluster

Penting

Mengaktifkan TDE menyebabkan kluster melakukan restart. Fitur ini tidak dapat dinonaktifkan setelah diaktifkan. Lanjutkan dengan hati-hati.

Masuk ke PolarDB console. Di panel navigasi sebelah kiri, klik Settings and Management > Security. Pada tab TDE Settings, aktifkan sakelar TDE Status.
Pada kotak dialog yang muncul, pilih jenis kunci:
- Pilih Service Key (Automatically Generated by Alibaba Cloud) dan klik OK. Tidak diperlukan konfigurasi tambahan.
- Pilih Use Existing Custom Key. Pilih kunci yang telah Anda buat di KMS dari daftar drop-down dan klik OK. Jika tidak ada kunci yang tersedia, buka konsol KMS untuk membuat kunci.
  Catatan
  Saat ini, TDE mendukung algoritma enkripsi Aliyun_AES_256 dan Aliyun_SM4. Saat membuat kunci KMS, pastikan untuk memilih algoritma enkripsi yang didukung.
Mengaktifkan TDE memerlukan waktu sekitar 10 menit. Selama periode ini, kluster akan melakukan restart.

Langkah 2: (Opsional) Aktifkan enkripsi secara otomatis untuk tabel baru

Jika Anda ingin semua tabel baru yang dibuat dalam kluster dienkripsi secara otomatis, Anda dapat mengaktifkan sakelar Advanced Settings saat mengaktifkan TDE.

Skenario: Fitur ini cocok untuk bisnis yang memiliki persyaratan keamanan data ketat dan ingin mengenkripsi semua data baru yang dihasilkan secara default.
Persyaratan versi:
- Kluster PolarDB for MySQL 8.0 dengan versi mesin minor 8.0.1.1.15 atau lebih baru.
- Kluster PolarDB for MySQL 5.7 dengan versi mesin minor 5.7.1.0.35 atau lebih baru.

Langkah 3: Enkripsi dan dekripsi tabel yang sudah ada

Setelah Anda mengaktifkan TDE untuk kluster, tabel yang sudah ada tidak dienkripsi secara otomatis. Anda harus mengenkripsi atau mendekripsi tabel yang sudah ada secara manual dengan menjalankan perintah ALTER TABLE.

Catatan

Jika Anda mengaktifkan Advanced Settings, tabel baru akan dienkripsi secara otomatis. Anda tidak perlu melakukan operasi ini pada tabel baru.
Tabel dikunci dan tidak dapat dibaca atau ditulis selama perintah ALTER TABLE dijalankan.

Versi database	Perintah untuk mengenkripsi tabel	Perintah untuk mendekripsi tabel
MySQL 5.6	`ALTER TABLE <table_name> BLOCK_FORMAT=ENCRYPTED;`	`ALTER TABLE <table_name> BLOCK_FORMAT=DEFAULT;`
MySQL 5.7, MySQL 8.0	`ALTER TABLE <table_name> ENCRYPTION = 'Y';`	`ALTER TABLE <table_name> ENCRYPTION = 'N';`

Langkah 4: Verifikasi apakah tabel dienkripsi

Anda dapat menjalankan perintah SHOW CREATE TABLE <table_name>; untuk memeriksa status enkripsi tabel.

Untuk PolarDB for MySQL 5.7 dan PolarDB for MySQL 8.0, tabel dienkripsi jika output berisi ENCRYPTION='Y'.
Untuk PolarDB for MySQL 5.6, tabel dienkripsi jika output berisi BLOCK_FORMAT=ENCRYPTED.

FAQ

Apa dampak mengaktifkan TDE terhadap bisnis saya?

Ada dua dampak utama:

Proses pengaktifan menyebabkan kluster melakukan restart, yang mengakibatkan gangguan layanan singkat.
Untuk bisnis intensif I/O, enkripsi dan dekripsi data mengonsumsi sejumlah kecil sumber daya CPU, yang mungkin sedikit memengaruhi kinerja.

Kami menyarankan agar Anda melakukan operasi ini di luar jam sibuk dan melakukan pengujian menyeluruh.

Mengapa TDE diperlukan? Masalah keamanan apa yang dapat diselesaikannya?

TDE terutama digunakan untuk melindungi data statis pada disk. Fitur ini mencegah pengguna yang tidak sah melewati database dan membaca informasi sensitif langsung dari file penyimpanan. Hal ini secara signifikan meningkatkan keamanan data. Mekanisme perlindungan data ini bekerja di lapisan penyimpanan dan transparan bagi aplikasi.

Bisakah saya mewajibkan Pengguna RAM untuk mengaktifkan fitur enkripsi TDE saat membuat kluster?

Ya, bisa. Anda dapat mengonfigurasi kebijakan RAM untuk mewajibkan Pengguna RAM mengaktifkan TDE saat mereka membuat kluster di konsol atau melalui panggilan API.

Topik terkait

API terkait

API	Deskripsi
DescribeDBClusterTDE	Menanyakan detail pengaturan TDE untuk kluster PolarDB.
DescribeUserEncryptionKeyList	Menanyakan daftar kunci kustom untuk kluster PolarDB.
CheckKMSAuthorized	Memeriksa apakah kunci KMS sudah ada.
ModifyDBClusterTDE	Mengaktifkan fitur TDE untuk kluster PolarDB.