Enkripsi dan dekripsi tabel serta indeks menggunakan Transparent Data Encryption - ApsaraDB RDS

Untuk memenuhi persyaratan keamanan dan kepatuhan terhadap enkripsi data statis (data-at-rest), gunakan Transparent Data Encryption (TDE) guna mengenkripsi dan mendekripsi file data secara real time. TDE melakukan enkripsi data statis pada lapisan database sehingga mencegah penyerang membaca informasi sensitif langsung dari penyimpanan dengan melewati database. Hal ini secara signifikan meningkatkan keamanan data sensitif dalam database Anda.

Informasi latar belakang

Pendahuluan: TDE melakukan enkripsi data statis pada lapisan database, mencegah penyerang potensial membaca informasi sensitif langsung dari penyimpanan dengan melewati database. Setelah Anda mengaktifkan TDE, data dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca ke memori. Aplikasi dan pengguna yang telah diautentikasi oleh database dapat terus mengakses data aplikasi secara transparan (tanpa mengubah kode atau konfigurasi aplikasi). Pengguna sistem operasi yang mencoba membaca data sensitif dari file ruang tabel (tablespace) serta pengguna yang tidak dikenal yang mencoba mengakses data disk atau backup tidak dapat melihat data dalam bentuk teks biasa (plaintext).

Kunci: Key Management Service (KMS) menghasilkan dan mengelola kunci yang digunakan untuk enkripsi TDE. RDS tidak menyediakan kunci atau Sertifikat yang diperlukan untuk enkripsi. Gunakan kunci yang dihasilkan secara otomatis oleh Alibaba Cloud atau otorisasi RDS untuk menggunakan kunci kustom Anda sendiri.

Algoritma enkripsi: Setelah Anda mengaktifkan TDE, algoritma enkripsi yang didukung bervariasi tergantung versi database, seperti yang ditunjukkan pada tabel berikut.

Versi database	Algoritma enkripsi yang didukung	Ubah Algoritma Enkripsi
MySQL 5.6	`AES_128_ECB`	Modifikasi tidak didukung.
MySQL 5.7, 8.0	`AES_256_CBC` (Default) `SM4_CTR`	Ubah algoritma menggunakan parameter `innodb_encrypt_algorithm`.

Penting

Memodifikasi parameter innodb_encrypt_algorithm berisiko tinggi. Parameter ini memengaruhi algoritma enkripsi dan dekripsi untuk semua data terenkripsi dalam instans, termasuk tabel dan log yang terenkripsi. Jika parameter ini berbeda dari algoritma enkripsi aktual yang digunakan untuk data tersebut, proses penguraian (parsing) akan gagal. Parameter innodb_encrypt_algorithm tidak terlihat di Konsol. Untuk memodifikasinya, ajukan Tiket.

Penerapan

Untuk menggunakan TDE, instans Anda harus memenuhi kondisi berikut:
- Versi database: MySQL 8.0, 5.7, atau 5.6 dengan versi mesin minor 20191015 atau lebih baru.
- Edisi: Edisi Ketersediaan Tinggi atau Edisi Kluster.

Key Management Service (KMS) telah diaktifkan. Jika Anda belum mengaktifkan KMS, Anda akan dipandu untuk mengaktifkannya selama penyiapan TDE.
Anda telah menggunakan Akun Alibaba Cloud untuk memberikan izin akses RDS ke Key Management Service (KMS).

Catatan penggunaan

Setelah TDE diaktifkan, fitur tersebut tidak dapat dinonaktifkan, kunci tidak dapat diubah, dan Penggunaan CPU akan meningkat secara signifikan.
Alih bencana instans: Mengaktifkan TDE akan merestart instans, yang menyebabkan alih bencana. Instans biasanya tidak tersedia selama sekitar 15 detik. Lakukan operasi ini pada jam sepi dan pastikan aplikasi Anda memiliki mekanisme koneksi ulang otomatis.
Tidak perlu perubahan kode: Mengaktifkan TDE tidak menambah ukuran file data. Aplikasi Anda dapat menggunakan TDE tanpa memodifikasi kode atau konfigurasi.
Batasan pemulihan data: Setelah TDE diaktifkan, pemulihan cross-region tidak didukung. Untuk memulihkan data secara lokal, terlebih dahulu dekripsi data tersebut.
Batasan perubahan konfigurasi: Setelah TDE diaktifkan, Anda tidak dapat mengubah edisi dari Edisi Ketersediaan Tinggi ke Edisi Kluster.
Batasan kunci kustom: Saat menggunakan kunci kustom yang sudah ada, perhatikan hal-hal berikut:
- Kunci kustom harus berupa kunci simetris. Kunci asimetris tidak didukung.
- Jika instans KMS menjadi tidak tersedia (kedaluwarsa atau dihapus), kunci dinonaktifkan, jadwal penghapusan kunci ditetapkan, atau bahan kunci dihapus, maka kunci tersebut menjadi tidak dapat digunakan. Hal ini menyebabkan data pada instans RDS Anda tidak dapat dipulihkan.
- Jika Anda mencabut otorisasi lalu merestart instans RDS, instans tersebut menjadi tidak tersedia.

Peningkatan versi mesin minor: Untuk memastikan stabilitas instans, tingkatkan versi mesin minor instans utama dan semua instansi hanya baca ke versi terbaru.

Aktifkan Transparent Data Encryption TDE

Anda dapat mengaktifkan TDE menggunakan kunci yang dihasilkan secara otomatis oleh Alibaba Cloud atau kunci kustom yang Anda otorisasi agar digunakan oleh RDS. Gunakan Akun Alibaba Cloud atau akun dengan izin AliyunSTSAssumeRoleAccess untuk mengaktifkan TDE.

Buka halaman Instances. Di bilah navigasi atas, pilih Wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID instansnya.
Di panel navigasi sebelah kiri, klik Data Security dan pilih tab TDE.
Di bagian TDE Settings > TDE Status
Pilih tipe kunci:
- Use Automatically Generated Key: Opsi ini menggunakan kunci layanan dari KMS.
- Use Existing Custom Key: Pilih kunci kustom yang sudah ada (hanya kunci simetris yang didukung).
  Catatan
  Jika tidak ada kunci yang tersedia, klik Go to Create untuk membuat kunci dan mengimpor bahan kunci milik Anda sendiri di Konsol Key Management Service. Saat membuat kunci, atur Key Type ke Symmetric Key.
Klik OK untuk mengaktifkan TDE.

Enkripsi dan dekripsi data dengan TDE

Data Terenkripsi

Catatan

Setelah Anda mengaktifkan TDE, tabel yang sudah ada tidak dienkripsi secara otomatis. Jalankan perintah berikut secara manual untuk mengenkripsi setiap tabel.

MySQL 5.6

ALTER TABLE <tablename> engine=innodb,block_format=encrypted;

MySQL 5.7 atau 8.0
```
ALTER TABLE <tablename> encryption='Y';
```

Dekripsi data

Anda dapat mendekripsi data dengan login ke database dan menjalankan perintah berikut.

MySQL 5.6

ALTER TABLE <tablename> engine=innodb,block_format=default;

MySQL 5.7 atau 8.0
```
ALTER TABLE <tablename> encryption='N';
```

FAQ

Q1: Apakah saya masih bisa menggunakan alat database umum seperti Navicat setelah mengaktifkan TDE?
A: Ya. Anda dapat menggunakan alat-alat tersebut secara normal.
Q2: Dapatkah saya memigrasikan data ke instans RDS lain setelah mengaktifkan TDE?
A: Ya. Anda dapat memigrasikan data secara normal.
Q3: Mengapa data saya tetap muncul dalam bentuk teks biasa setelah dienkripsi?
A: Saat Anda melakukan kueri data, data tersebut didekripsi dan dimuat ke memori, sehingga muncul dalam bentuk teks biasa. TDE mencegah kebocoran data akibat kebocoran backup karena file backup dienkripsi dan tidak dapat dipulihkan secara lokal. Untuk memulihkan data secara lokal, Anda harus mendekripsi data tersebut terlebih dahulu.

Referensi

Untuk informasi lebih lanjut dan perbandingan teknologi enkripsi database, lihat Perbandingan berbagai teknologi enkripsi database.
Untuk mengenkripsi koneksi ke instans Anda, aktifkan enkripsi SSL. Untuk informasi lebih lanjut, lihat Gunakan sertifikat cloud untuk mengaktifkan enkripsi SSL dengan cepat.
Untuk operasi terkait kunci, lihat Key Management Service.
Laporan uji TDE untuk ApsaraDB RDS untuk MySQL
Konfigurasikan TDE untuk ApsaraDB RDS untuk SQL Server
Konfigurasikan TDE untuk ApsaraDB RDS untuk PostgreSQL

API Terkait

API	Deskripsi
ModifyDBInstanceTDE - Ubah status TDE instans ApsaraDB RDS	Untuk mengaktifkan TDE pada instans RDS, atur parameter TDEStatus ke Enabled. Konfigurasikan parameter lain sesuai kebutuhan.