ApsaraDB RDS：資料加密

SSL

RDS提供MySQL和SQL Server的安全套接層協議（Secure Sockets Layer，簡稱SSL）。您可以使用RDS提供的伺服器端的根憑證來驗證目標地址和連接埠的資料庫服務是不是RDS提供的，從而可有效避免中間人攻擊。除此之外，RDS還提供了伺服器端SSL認證的啟用和更新能力，以便使用者按需更替SSL認證以保障安全性和有效性。

需要注意的是，雖然RDS提供了應用到資料庫之間的串連加密功能，但是SSL需要應用開啟伺服器端驗證才能正常運轉。另外SSL也會帶來額外的CPU開銷，RDS執行個體的輸送量和回應時間都會受到一定程度的影響，具體影響與您的串連次數和資料轉送頻度有關。

具體操作請參見設定SSL。

TDE

RDS提供MySQL和SQL Server的透明資料加密（Transparent Data Encryption，簡稱TDE）功能。MySQL版的TDE由阿里雲自研，SQL Server版的TDE是基於SQL Server企業版的功能改造而來。

當RDS執行個體開啟TDE功能後，您可以指定參與加密的資料庫或者表。這些資料庫或者表中的資料在寫入到任何裝置（磁碟、SSD、PCIe卡）或者服務（Table StoreOSS、Archive StorageOAS）前都會進行加密，因此執行個體對應的資料檔案和備份都是以密文形式存在的。

TDE加密採用國際流行的AES演算法，密鑰長度為128位元。密鑰由KMS服務加密儲存，RDS只在啟動執行個體和遷移執行個體時動態讀取一次密鑰。您可以自行通過KMS控制台對密鑰進行更換。

具體操作請參見設定透明資料加密。