ApsaraDB RDS for PostgreSQLは、透過的データ暗号化 (TDE) 機能をサポートしています。 TDEを使用してデータファイルをリアルタイムで暗号化および復号化し、ユーザーのデータプライバシーを保護できます。 このトピックでは、TDEの用語、暗号化の原理、および復号化の原理について説明します。
説明
TDEは、データファイルに対してリアルタイムI/O暗号化および復号化を実行するために使用されます。 TDEは、データベース層で保存データ暗号化を実行します。 これにより、攻撃者がデータベースをバイパスしてストレージから機密情報を読み取ることができなくなります。 TDEは、テーブルスペース、ディスク上のデータ、およびバックアップデータの機密情報を暗号化します。 また、TDEは、データベース認証に合格したアプリケーションとユーザーの情報とデータを平文に自動的に復号化します。 テーブルスペースの機密情報を読み取りたいオペレーティングシステムユーザー、およびバックアップデータとオンディスクデータを読み取りたい不正ユーザーの場合、TDEはデータのプレーンテキストへのアクセスを禁止します。
透過的: データはディスクに書き込まれると自動的に暗号化され、ディスクから読み取られると復号化されます。 暗号化および復号化プロセスは、ユーザには知覚できない。
データ暗号化: key Management service (KMS) によって提供されるサービスキー、またはKMSにアップロードするカスタムキーは、データファイルの暗号化に使用されます。
説明TDEに使用されるキーは、KMSによって作成および管理されます。 ApsaraDB RDSは、暗号化に必要なキーまたは証明書を提供しません。
ApsaraDB RDS for PostgreSQLは、Aliyun_AES_256およびAliyun_SM4タイプのキーをサポートしています。
メリット
TDE機能には次の利点があります。
テーブルレベルの暗号化とインデックスレベルの暗号化: テーブルとインデックスに対してTDEを有効にできます。
一度に複数のオブジェクトを暗号化および復号化: TDEを使用して、テーブル内のすべてのインデックスを一度に暗号化および復号化できます。 TDEを使用して、データベース内のすべてのテーブルを暗号化および復号化することもできます。
低パフォーマンス損失: TDEが有効になっている場合、パフォーマンスはわずかに影響を受けます。 通常のビジネスシナリオでは、暗号化されたテーブルのパフォーマンス損失は約4% です。
原則
用語
キー暗号化キー (KEK): KMSのサービスキーを使用するか、カスタマーマスターキー (CMK) を使用してデータ暗号化キー (DEK) を暗号化できます。
DEK: DEKは、データを暗号化および復号化するためにデータベースによって生成される。
処理中
すべての暗号化および復号化操作はメモリ内で実行されます。 メモリ内のデータは平文であり、ディスク内のデータは暗号文である。 これにより、ディスクが盗まれた場合のデータ漏洩を防ぎます。 データベースの使用モードは変更されず、互換性の問題が回避されます。
データベースが起動すると、KEKがKMSから取得され、DEKが復号化されます。 復号化されたDEKは、メモリに格納され、データの書き込みまたは読み出し時にデータを暗号化または復号化するために使用される。
