PostgreSQL透明数据加密

yzsDBA
关注

PostgreSQL透明数据加密

Cybertec为PG提供了一个透明数据加密(TDE)的补丁。是目前唯一支持透明加密数据(集群)级的实现,独立于操作系统或文件系统加密。

透明数据加密如何工作

补丁背后的思想是:以加密格式(静态加密)安全存储组成PG集群的所有文件到磁盘上,从磁盘读取时解密数据块。数据在内存中未加密。只需要数据库初始化时加密,启动时服务器可以访问初始化数据库使用的密钥。通过一个指定的配置参数提供加密密钥,该参数指定一个自定义密钥设置命令来实现特殊的安全要求。

任何有兴趣使用次功能的人都应该考虑以下特征:

1)从应用程序的角度来看,加密是透明的。

2)使用单一密钥对整个集群进行加密

细节

由于数据存储在磁盘上,我们的方法自然基于“磁盘加密理论”。对于每种类型的文件,在适当操作模式下使用AES密码。AES密码本身以最有效的方式加密/解密单个块(加密块)。数据在磁盘上是安全的。

幸运的是,英特尔和AMD为AES加密提供了卓越的硬件支持。这确保了PG TDE对性能影响最小。我们可以看到,系统在现代服务器上每秒加密和解码千兆字节的数据。给定一个典型的工作负载,TDE对性能的影响基本上是无关紧要的。

加密整个数据库生态系统

安全不是一个孤立的问题。要真正保护系统,必须考虑许多层,并且必须确保覆盖所有组件。因此,PG TDE是您基础架构的理想解决方案。

PG TDE不仅提供静态数据加密,还确保整个生态系统的加密,包括:

通过SSL传输加密(客户端/服务器)、加密复制、完全安全的副本

PG TDE完美的整合到了SELinux中,为您整个基础架构提供了坚实的基础。此外,标准PG的所有功能都可以用。

image.png


       原文标题 : PostgreSQL透明数据加密

声明: 本文由入驻OFweek维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存