AnalyticDB:パスワード暗号化とSSL暗号化のセキュリティ強化

パスワード暗号化

SCRAM-SHA-256暗号化方式は、MD5よりも高いセキュリティを提供するために追加されます。

デフォルトでは、MD5暗号化はAnalyticDB for PostgreSQLに使用されます。 SCRAM-SHA-256暗号化方法を有効にするには、データベースに接続して次のステートメントを実行します。

SET password_encryption to 'SCRAM-SHA-256'

SSL 暗号化

• pg_stat_sslビューは、SSL接続をクエリするために追加されます。 実行するステートメントは、次のとおりです。

  SELECT * FROM pg_stat_ssl;

  次の情報が返されます。

    pid   | ssl | version |           cipher            | bits | compression | client_dn | client_serial | issuer_dn
  --------+-----+---------+-----------------------------+------+-------------+-----------+---------------+-----------
   508802 | f   |         |                             |      |             |           |               |
   508808 | f   |         |                             |      |             |           |               |
   508815 | f   |         |                             |      |             |           |               |
   509930 | t   | TLSv1.2 | ECDHE-RSA-AES256-GCM-SHA384 |  256 | f           |           |               |
   508800 | f   |         |                             |      |             |           |               |
   508799 | f   |         |                             |      |             |           |               |
   508801 | f   |         |                             |      |             |           |               |
  (7 rows)

• ssl_extension_info() 関数がcontrib/sslinfoモジュールに追加されます。

  ssl_extension_info() 関数は、現在の接続で使用されているX509証明書に存在するSSL拡張機能の情報を表示するために使用されます。 例：

  1. sslinfoモジュールを有効にします。

     CREATE EXTENSION sslinfo;

  2. 現在の接続で使用されているX509証明書に存在するSSL拡張機能の情報を表示します。

     SELECT ssl_extension_info();

• リロード期間中にSSL設定を更新できます。

  SSL暗号化は、pg_ctl reloadの使用、SELECT pg_reload_conf() の実行、またはSIGHUPシグナルの送信により、サーバーを再起動せずに再構成できます。

  重要

  サーバーのSSLキーにパスワードが必要な場合、SSL再構成は失敗します。