Auf dieser Seite wird die AlloyDB Omni-Version 18.1.1 mit der Bereitstellungsoption RPM dokumentiert. Wählen Sie eine andere Bereitstellungsoption aus.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Transparente Datenverschlüsselung für AlloyDB Omni

Wählen Sie eine Dokumentationsversion aus:

Mit der transparenten Datenverschlüsselung (Transparent Data Encryption, TDE) können Sie alle ruhenden Daten in Ihren AlloyDB Omni-Clustern schützen, ohne Ihren Anwendungscode ändern zu müssen. Wenn Sie diese Funktion aktivieren, werden Tabellen, Indexe und Write-Ahead-Logs (WAL) automatisch verschlüsselt, bevor sie auf die Festplatte geschrieben werden. So können Sie Complianceanforderungen erfüllen und sensible Informationen schützen.

Die Verschlüsselung ist transparent, da SQL-Abfragen, DDL- und DML-Vorgänge normal funktionieren, ohne dass Anwendungsänderungen erforderlich sind. Daten werden automatisch verschlüsselt, bevor sie auf die Festplatte geschrieben werden, und entschlüsselt, wenn sie in den Arbeitsspeicher gelesen werden.

Schlüsselhierarchie

In AlloyDB Omni wird eine zweistufige Schlüsselhierarchie implementiert, die eine strikte Trennung der Zuständigkeiten zwischen der Datenbank und der vom Nutzer verwalteten Sicherheitsinfrastruktur gewährleistet.

Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs): werden von AlloyDB Omni generiert und sind Eigentum von AlloyDB Omni. Mit diesen Schlüsseln werden die eigentlichen Datendateien, WAL und temporären Dateien verschlüsselt. In AlloyDB Omni werden DEKs auf der Festplatte gespeichert, aber mit Ihrem KEK verschlüsselt.
Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK): Der Hauptschlüssel, den Sie in einem externen Key Management Service (KMS) verwalten. AlloyDB Omni verwendet Ihren KEK zum Verschlüsseln der DEKs. AlloyDB Omni greift nur beim Start auf diesen Schlüssel zu, um die DEKs zu entpacken. Ihr KEK wird nie dauerhaft auf der Datenbankfestplatte gespeichert.

So funktioniert TDE mit AlloyDB Omni

Wenn TDE aktiviert ist, schützt AlloyDB Omni Ihre Daten mit einem mehrschichtigen Verschlüsselungsmodell, das in ein externes KMS eingebunden ist.

Initialisierung und Schlüsselabruf: Während der Start- oder Initialisierungsphase des Clusters stellt die AlloyDB Omni-Engine eine sichere Verbindung zu Ihrem KMS her. Sie authentifiziert sich mit einem JSON Web Token (JWT) und ruft den KEK ab.
DEKs entpacken: AlloyDB Omni verwendet Ihren KEK, um die DEKs zu entpacken, die im lokalen Speicher in einem gepackten Zustand gespeichert sind. Anschließend werden diese DEKs in den Arbeitsspeicher geladen.
Transparente Datenvorgänge:
- Auf die Festplatte schreiben: Wenn die Datenbank Datenblöcke, WAL-Datensätze oder temporäre Dateien auf die physische Festplatte schreibt, werden die Daten automatisch mit AES-256-Algorithmen verschlüsselt, bevor sie auf die physische Festplatte geschrieben werden.
- Lesen von der Festplatte: Wenn die Datenbank Daten in den Arbeitsspeicher lesen muss, werden die Blöcke automatisch mit den DEKs entschlüsselt, die im Arbeitsspeicher gespeichert sind.
Sicherheitsgrenzen: Ihr KEK wird nie auf der lokalen Datenbankfestplatte gespeichert. Selbst wenn physische Speichermedien kompromittiert werden, bleiben die Daten ohne autorisierten Zugriff auf den externen Tresor unlesbar.

Verschlüsselungsbereich und ‑spezifikationen

AlloyDB Omni verwendet branchenübliche AES-256-Algorithmen, um Ihre Daten zu schützen.

Datendateien (Tabellen und Indexe): AES‑256‑XTS.
Write-Ahead-Logs (WAL): AES-256-CTR.
Temporäre Dateien:AES-256-XTS oder AES-256-CTR, je nach Art der temporären Daten.
Key-Wrapping:AES-256-KWP.

Sicherung und Hochverfügbarkeit

Wenn TDE aktiviert ist, übernehmen Sicherungen, die mit pgBackRest erstellt wurden, die Verschlüsselungskonfiguration des Quellclusters. So sind Ihre Sicherungsdaten mit demselben Sicherheitsniveau wie Ihre primäre Datenbank geschützt.

Unterstützte KMS und Authentifizierung

AlloyDB Omni unterstützt HashiCorp Vault als externen KMS-Anbieter. AlloyDB Omni unterstützt nur die KV-V2-Secrets-Engine und die einzige unterstützte Authentifizierungsmethode ist JWT.

Hinweis: AlloyDB Omni unterstützt dateibasierte KMS. Wir empfehlen jedoch, diese Funktion nur zu Testzwecken und nicht für Produktionsarbeitslasten zu verwenden.

Kompatibilität mit PostgreSQL-Tools

TDE-fähige Cluster unterstützen alle integrierten PostgreSQL-Tools, mit Ausnahme von initdb, transparent über Umgebungsvariablen. Wenn Sie initdb verwenden, müssen Sie die KEK-URL übergeben. Weitere Informationen finden Sie unter Cluster mit TDE erstellen.

Beschränkungen

Sie können TDE nicht für vorhandene Cluster aktivieren.
Nach der Aktivierung können Sie TDE nicht mehr deaktivieren.
Upgrades der Hauptversion werden für TDE-fähige Cluster nicht unterstützt.
Sie können verschlüsselte Sicherungen nicht auf unverschlüsselten Servern und unverschlüsselte Sicherungen nicht auf verschlüsselten Servern wiederherstellen.
Die DEK-Rotation wird nicht unterstützt.
Die KEK-Rotation wird unterstützt, solange der KEK-URL-Pfad gleich bleibt.
Die KEK-Rotation wird nur für HashiCorp Vault als externen KMS-Anbieter unterstützt.
Sie können CREATE DATABASE nicht mit der Strategie FILE_COPY verwenden.
Auf TDE-fähigen Clustern unterstützen Barman-Sicherungen nur den Modus rsync. Die Sicherungsmethode postgres wird nicht unterstützt.

Nächste Schritte

Cluster mit TDE erstellen