你应该知道的数仓安全——透明加密

你应该知道的数仓安全——透明加密

数据泄露防护

数据作为信息系统中的核心资产，其机密性、完整性和可用性必须得到保证，以避免数据被非法泄漏或非法篡改。当前数据泄露事件层出不穷，给个人和企业造成重大损失。

防止数据泄露可以有两种技术路径。一是权限管理，采用最小化授权原则对使用数据的用户和应用程序授权。另一种是数据加密，包括使用SQL函数加密和透明加密。权限管理在你应该知道的数仓安全——默认权限实现共享schema一文中有所介绍。本文讨论透明加密，后续博文再谈谈SQL函数加密。

透明加密的应用场景

透明加密能够保障用户数据安全。更换磁盘、磁盘流出或者运维非法直接读取磁盘文件会绕过认证、权限管理和审计，从而导致数据泄露的风险。客户对业务数据有很高机密性要求时建议使用透明加密。

透明加密的原理

透明加密功能是对存在硬盘上的用户数据加密存储，对用户及上层使用SQL的应用不感知。透明的含义是指对客户来说是无感知的，仅需要创建GaussDB(DWS)集群时配置透明加密。目前支持行存表和列存表文件的加密存储，支持集群级别的透明加密配置。

集群级别的透明加密意味着集群中的所有库，库中的所有表都是加密存储。集群级别的透明加密还意味着需要在创建集群时进行配置，集群创建之后不可修改，既不能将非加密集群修改为加密集群，也不能将加密集群修改为非加密集群。

透明加密核心是算法和密钥。我们采用AES-128算法，加密模式使用CTR。CTR流加密可以保证明文和密文长度相等，不会导致加密后数据存储空间膨胀。

使用华为公有云KMS服务管理，保证了用户的密钥安全。

加密密钥层次结构有三层。按层次结构顺序排列，这些密钥为主密钥（CMK）、集群密钥 (CEK)、数据库密钥 (DEK)。

主密钥保存在KMS中，用于给CEK加密。

CEK用于加密DEK，CEK明文保存在集群内存中，密文保存在服务管理面中。

DEK用于加密数据库中的数据，DEK明文保存在集群内存中，密文保存在服务管理面中。

出于安全考虑，用户可以执行密钥轮转操作。密钥轮转只轮转集群密钥，不论转数据库秘钥。

透明加密的后续演进

集群级透明加密的优点是所有数据包括用户表和系统表都加密，适用于所有加密需求。一枚硬币的两面性告诉我们，优点也可能是缺点。对所有数据库对象加密会对数据导入和查询带来性能上的开销。

为解决此问题，后续考虑支持细粒度透明加密。比如可以支持表级透明加密，用户在创建表时指定属性为加密表，该用户表的数据会加密存储。用户可以在包含敏感数据的表中开启加密属性，在查询和使用过程中不感知加解密过程。由于加密粒度较小，对性能的影响也较小。

总结

透明加密是保障用户核心数据安全的有效手段。从使用场景和原理介绍了GaussDB(DWS)数仓的透明加密特性，指出了后续透明加密特性的研究方向。

EI企业智能 Gauss AP 数据仓库服务 GaussDB(DWS) 数据加密服务 数据库

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。