ApsaraDB RDS:データ暗号化

SSL

ApsaraDB RDSは、MySQL、SQL Server、およびPostgreSQL用のSecure Sockets Layer (SSL) をサポートしています。 ApsaraDB RDSは、RDSインスタンスごとにサーバーSSL証明書を提供します。 RDSインスタンスのサーバーSSL証明書を使用して、特定のIPアドレスと特定のポート番号を使用してアクセスするデータベースサービスがRDSインスタンスによって提供されているかどうかを判断できます。 これは、中間者攻撃に対する防御に役立ちます。 ApsaraDB RDSでは、RDSインスタンスのサーバーSSL証明書を有効化および更新して、各サーバーSSL証明書のセキュリティと有効性を確保することもできます。

SSLは、アプリケーションのサーバー認証を有効にした後にのみ、アプリケーションとRDSインスタンス間の接続を暗号化できます。 SSLは余分なCPUリソースを消費します。 その結果、RDSインスタンスのスループットが低下し、RDSインスタンスの応答が遅くなります。 影響の深刻度は、確立された接続の数とデータ送信の頻度によって異なります。

詳細については、「ApsaraDB RDSインスタンスのSSL暗号化の設定」をご参照ください。

TDE

ApsaraDB RDSは、MySQL、PostgreSQL、およびSQL Server向けの透過的データ暗号化 (TDE) を提供します。 TDE for MySQLおよびPostgreSQLは、Alibaba Cloudによって独自に開発されています。 TDE for SQL Serverは、SQL Server Enterprise Editionに基づいて開発されています。

RDSインスタンスでTDEを有効にした後、暗号化するデータベースまたはテーブルを指定できます。 指定されたデータベースまたはテーブルのデータは、ディスク、SSD、Peripheral Component Interconnect Express (PCIe) カードなどのデバイス、またはObject Storage service (OSS) などのサービスに書き込まれる前に暗号化されます。 これにより、指定されたデータベースまたはテーブルのすべてのデータファイルとバックアップファイルがRDSインスタンスに暗号文で保存されます。

TDEは、AES (Advanced Encryption Standard) アルゴリズムを使用する。 TDEのキーは、key Management Service (KMS) によって暗号化および保存されます。 RDSインスタンスは、インスタンスを開始または移行するときに1回だけキーを読み取ります。 KMSコンソールでキーを置き換えることができます。

詳細については、「RDS MySQLインスタンスのTDE設定」および「TDEテストレポート」をご参照ください。

クラウドディスクの暗号化

ApsaraDB RDSは、クラウドディスクを使用するRDSインスタンスに対してクラウドディスク暗号化機能を無料で提供します。 RDSインスタンスでこの機能を有効にすると、ブロックストレージに基づいてディスク上のすべてのデータが暗号化されます。 このように、データが漏洩してもデータを解読することはできません。 この機能はワークロードを中断しません。 アプリケーションを変更する必要なく、この機能を使用できます。

詳細については、「ApsaraDB RDS For MySQLインスタンスのディスク暗号化機能の設定」をご参照ください。

完全暗号化データベース

完全に暗号化されたデータベース機能は、データのセキュリティを確保するためにApsaraDB RDS for PostgreSQLによって提供されます。 ApsaraDB RDS for PostgreSQLインスタンスの完全暗号化データベース機能を有効にして使用すると、テーブル内の機密データ列を暗号化できます。 このようにして、機密データが送信され、計算され、暗号文に格納される。