PostgreSQL透明数据加密
Cybertec为PG提供了一个透明数据加密(TDE)的补丁。是目前唯一支持透明加密数据(集群)级的实现,独立于操作系统或文件系统加密。
透明数据加密如何工作
补丁背后的思想是:以加密格式(静态加密)安全存储组成PG集群的所有文件到磁盘上,从磁盘读取时解密数据块。数据在内存中未加密。只需要数据库初始化时加密,启动时服务器可以访问初始化数据库使用的密钥。通过一个指定的配置参数提供加密密钥,该参数指定一个自定义密钥设置命令来实现特殊的安全要求。
任何有兴趣使用次功能的人都应该考虑以下特征:
1)从应用程序的角度来看,加密是透明的。
2)使用单一密钥对整个集群进行加密
细节
由于数据存储在磁盘上,我们的方法自然基于“磁盘加密理论”。对于每种类型的文件,在适当操作模式下使用AES密码。AES密码本身以最有效的方式加密/解密单个块(加密块)。数据在磁盘上是安全的。
幸运的是,英特尔和AMD为AES加密提供了卓越的硬件支持。这确保了PG TDE对性能影响最小。我们可以看到,系统在现代服务器上每秒加密和解码千兆字节的数据。给定一个典型的工作负载,TDE对性能的影响基本上是无关紧要的。
加密整个数据库生态系统
安全不是一个孤立的问题。要真正保护系统,必须考虑许多层,并且必须确保覆盖所有组件。因此,PG TDE是您基础架构的理想解决方案。
PG TDE不仅提供静态数据加密,还确保整个生态系统的加密,包括:
通过SSL传输加密(客户端/服务器)、加密复制、完全安全的副本
PG TDE完美的整合到了SELinux中,为您整个基础架构提供了坚实的基础。此外,标准PG的所有功能都可以用。
原文标题 : PostgreSQL透明数据加密