このトピックでは、ApsaraDB for MongoDB のデータ暗号化機能について説明します。
SSL
ApsaraDB for MongoDB では、Secure Sockets Layer (SSL) を使用できます。 サーバールート証明書を使用して、アクセス先のデータベースが
ApsaraDB for MongoDB インスタンスであるかどうかを確認することにより、中間者攻撃を防ぐことができます。 ApsaraDB for MongoDB
では、サーバーの SSL 証明書を有効化して更新し、データのセキュリティと有効性を確保することもできます。 SSL の設定方法の詳細については、「SSL 暗号化の構成」をご参照ください。
重要 ApsaraDB for MongoDB ではアプリケーションとデータベースとの間の接続を暗号化できますが、SSL は、アプリケーションがサーバーを認証するまで正しく実行できません。
さらに、SSL は CPU リソースを余分に消費するため、ApsaraDB for MongoDB インスタンスのスループットと応答時間はある程度の影響を受けます。
具体的な影響は、ユーザー接続数とデータ転送頻度によって変わります。
TDE
ApsaraDB for MongoDB では、透過的データ暗号化 (TDE) を使用できます。 TDE は高度暗号化標準 (Advanced Encryption Standard: AES) アルゴリズムを採用しています。 TDE に使用されるキーは暗号化され、KMS で保存されます。 ApsaraDB for MongoDB は、インスタンスの起動時または移行時に 1 度だけ動的にキーを読み取ります。 Key Management Service コンソールにログインして、キーを交換することができます。
ApsaraDB for MongoDB インスタンスで TDE を有効化すると、指定したデータベースまたはコレクションのデータは暗号化後に HDD、SSD、PCIe カードなどのデバイス、または OSS などのサービスに書き込まれます。 そのため、インスタンスのデータファイルとバックアップの内容はすべて暗号化されます。 TDE の設定方法の詳細については、「TDE の設定」をご参照ください。