このトピックでは、ApsaraDB RDSのデータ暗号化機能について説明します。

SSL

ApsaraDB RDSは、MySQL、SQL Server、およびPostgreSQL用のSecure Sockets Layer (SSL) をサポートしています。 ApsaraDB RDSは、RDSインスタンスごとにサーバーSSL証明書を提供します。 RDSインスタンスのサーバーSSL証明書を使用して、特定のIPアドレスと特定のポート番号を使用してアクセスするデータベースサービスがRDSインスタンスによって提供されているかどうかを判断できます。 これは、中間者攻撃に対する防御に役立ちます。 ApsaraDB RDSでは、RDSインスタンスのサーバーSSL証明書を有効化および更新して、各サーバーSSL証明書のセキュリティと有効性を確保することもできます。

SSLは、アプリケーションのサーバー認証を有効にした後にのみ、アプリケーションとRDSインスタンス間の接続を暗号化できます。 SSLは余分なCPUリソースを消費します。 その結果、RDSインスタンスのスループットが低下し、RDSインスタンスの応答が遅くなります。 影響の深刻度は、確立された接続の数とデータ送信の頻度によって異なります。

詳細については、「ApsaraDB RDSインスタンスのSSL暗号化の設定」をご参照ください。

TDE

ApsaraDB RDSは、MySQLおよびSQL Server向けの透過的データ暗号化 (TDE) を提供します。 TDE for MySQLはAlibaba Cloudによって独自に開発され、TDE for SQL ServerはSQL Server Enterprise Editionに基づいています。

RDSインスタンスでTDEを有効にした後、暗号化するデータベースまたはテーブルを指定できます。 指定されたデータベースまたはテーブルのデータは、ディスク、SSD、Peripheral Component Interconnect Express (PCIe) カードなどのデバイス、またはObject Storage service (OSS) などのサービスに書き込まれる前に暗号化されます。 これにより、指定されたデータベースまたはテーブルのすべてのデータファイルとバックアップファイルがRDSインスタンスに暗号文で保存されます。

TDEは、AES (Advanced Encryption Standard) アルゴリズムを使用する。 TDEのキーは、key Management Service (KMS) によって暗号化および保存されます。 RDSインスタンスは、インスタンスを開始または移行するときに1回だけキーを読み取ります。 KMSコンソールでキーを置き換えることができます。

詳細については、「ApsaraDB RDSインスタンスのTDE暗号化の設定」をご参照ください。

ディスク暗号化

ApsaraDB RDSは、標準SSDまたは拡張SSD (ESSD) を使用するRDSインスタンスに対して無料でディスク暗号化機能を提供します。 RDSインスタンスでこの機能を有効にすると、ブロックストレージに基づいてディスク上のすべてのデータが暗号化されます。 このようにして、データが漏洩しても解読することはできません。 この機能はワークロードを中断しません。 アプリケーションを変更する必要なく、この機能を使用できます。

詳細については、「ApsaraDB RDS for MySQLインスタンスのディスク暗号化機能の設定」をご参照ください。