La crittografia è trasparente perché le query SQL, DDL e le operazioni DML funzionano normalmente senza richiedere modifiche all'applicazione. I dati vengono criptati automaticamente prima di essere scritti su disco e decriptati quando vengono letti in memoria.
Gerarchia delle chiavi
AlloyDB Omni implementa una gerarchia di chiavi a due livelli che mantiene una rigorosa separazione dei compiti tra il database e l'infrastruttura di sicurezza gestita dall'utente.
- Chiavi di crittografia dei dati (DEK): generate e di proprietà di AlloyDB Omni. Queste chiavi criptano i file di dati effettivi, i log WAL, e i file temporanei. AlloyDB Omni archivia le DEK su disco, ma le cripta con la KEK.
-
Chiave di crittografia della chiave (KEK): il token principale che gestisci in un KMS (Key Management Service) esterno.
AlloyDB Omni utilizza la KEK per criptare le DEK.
AlloyDB Omni accede a questa chiave solo all'avvio per decriptare
le DEK. La KEK non viene mai archiviata in modo permanente sul disco del database.
Come funziona TDE con AlloyDB Omni
Quando TDE è abilitato, AlloyDB Omni protegge i dati utilizzando un modello di crittografia a livelli che si integra con un KMS esterno.
- Inizializzazione e recupero delle chiavi: durante la fase di avvio o inizializzazione del cluster, il motore AlloyDB Omni stabilisce una connessione sicura al KMS. Esegue l'autenticazione utilizzando un token JWT (JSON Web Token) e recupera la KEK.
- Decrittografia delle DEK: AlloyDB Omni utilizza la KEK per decriptare le DEK, che vengono archiviate nello spazio di archiviazione locale in uno stato criptato. Quindi, queste DEK vengono caricate in memoria.
- Operazioni sui dati trasparenti:
- Scrittura su disco: quando il database scrive blocchi di dati, record WAL o file temporanei sul disco fisico, cripta automaticamente i dati utilizzando gli algoritmi AES-256 prima di scriverli sul disco fisico.
- Lettura da disco: quando il database deve leggere i dati in memoria, decripta automaticamente i blocchi utilizzando le DEK memorizzate in memoria.
- Limiti di sicurezza: la KEK non viene mai archiviata sul disco del database locale, garantendo che, anche se i supporti di archiviazione fisici vengono compromessi, i dati rimangano illeggibili senza accesso autorizzato al vault esterno.
Ambito e specifiche della crittografia
AlloyDB Omni utilizza algoritmi AES-256 standard di settore per proteggere i dati.
- File di dati (tabelle e indici): AES-256-XTS.
- Log WAL (Write-Ahead Log): AES-256-CTR.
- File temporanei: AES-256-XTS o AES-256-CTR a seconda del tipo di dati temporanei.
- Wrapping di chiavi: AES-256-KWP.
Backup e alta affidabilità
Quando TDE è abilitato, i backup creati utilizzando pgBackRest ereditano la configurazione di crittografia del cluster di origine. In questo modo, i dati di backup rimangono protetti con lo stesso livello di sicurezza del database primario.
KMS e autenticazione supportati
AlloyDB Omni supporta HashiCorp Vault come provider KMS esterno. AlloyDB Omni supporta solo il motore di secret KV-V2 e l'unico metodo di autenticazione supportato è JWT.
Nota: AlloyDB Omni supporta KMS basato su file. Tuttavia, ti consigliamo di utilizzarlo solo a scopo di test e non nei carichi di lavoro di produzione.Compatibilità degli strumenti PostgreSQL
I cluster con TDE abilitato supportano tutti gli strumenti PostgreSQL integrati, ad eccezione diinitdb, in modo trasparente tramite le variabili di ambiente.
Se utilizzi initdb, assicurati di passare l'URL della KEK.
Per ulteriori informazioni, consulta
Creare un cluster con TDE abilitato.
Limitazioni
- Non puoi abilitare TDE sui cluster esistenti.
- Una volta abilitato, non puoi disabilitare TDE.
- Gli upgrade della versione principale non sono supportati per i cluster con TDE abilitato.
- Non puoi ripristinare i backup criptati su server non criptati o i backup non criptati su server criptati.
- La rotazione delle DEK non è supportata.
- La rotazione delle KEK è supportata a condizione che il percorso dell'URL della KEK rimanga invariato.
- La rotazione delle KEK è supportata solo per HashiCorp Vault come provider KMS esterno.
- Non puoi
CREATE DATABASEutilizzando la strategiaFILE_COPY. - Nei cluster con TDE abilitato, i backup di Barman supportano solo la modalità
rsync. Il metodo di backuppostgresnon è supportato.