Transparent Data Encryption per AlloyDB Omni

Select a documentation version:

La crittografia trasparente dei dati (TDE) ti consente di proteggere tutti i dati inattivi nei cluster AlloyDB Omni senza modificare il codice dell'applicazione. Se abiliti questa funzionalità, le tabelle, gli indici e i log WAL (Write-Ahead Log) vengono criptati automaticamente prima di essere scritti su disco. In questo modo puoi soddisfare i requisiti di conformità e proteggere le informazioni sensibili.

La crittografia è trasparente perché le query SQL, DDL e le operazioni DML funzionano normalmente senza richiedere modifiche all'applicazione. I dati vengono criptati automaticamente prima di essere scritti su disco e decriptati quando vengono letti in memoria.

Gerarchia delle chiavi

AlloyDB Omni implementa una gerarchia di chiavi a due livelli che mantiene una rigorosa separazione dei compiti tra il database e l'infrastruttura di sicurezza gestita dall'utente.

  • Chiavi di crittografia dei dati (DEK): generate e di proprietà di AlloyDB Omni. Queste chiavi criptano i file di dati effettivi, i log WAL, e i file temporanei. AlloyDB Omni archivia le DEK su disco, ma le cripta con la KEK.
  • Chiave di crittografia della chiave (KEK): il token principale che gestisci in un KMS (Key Management Service) esterno. AlloyDB Omni utilizza la KEK per criptare le DEK. AlloyDB Omni accede a questa chiave solo all'avvio per decriptare le DEK. La KEK non viene mai archiviata in modo permanente sul disco del database.

Come funziona TDE con AlloyDB Omni

Quando TDE è abilitato, AlloyDB Omni protegge i dati utilizzando un modello di crittografia a livelli che si integra con un KMS esterno.

  • Inizializzazione e recupero delle chiavi: durante la fase di avvio o inizializzazione del cluster, il motore AlloyDB Omni stabilisce una connessione sicura al KMS. Esegue l'autenticazione utilizzando un token JWT (JSON Web Token) e recupera la KEK.
  • Decrittografia delle DEK: AlloyDB Omni utilizza la KEK per decriptare le DEK, che vengono archiviate nello spazio di archiviazione locale in uno stato criptato. Quindi, queste DEK vengono caricate in memoria.
  • Operazioni sui dati trasparenti:
    • Scrittura su disco: quando il database scrive blocchi di dati, record WAL o file temporanei sul disco fisico, cripta automaticamente i dati utilizzando gli algoritmi AES-256 prima di scriverli sul disco fisico.
    • Lettura da disco: quando il database deve leggere i dati in memoria, decripta automaticamente i blocchi utilizzando le DEK memorizzate in memoria.
  • Limiti di sicurezza: la KEK non viene mai archiviata sul disco del database locale, garantendo che, anche se i supporti di archiviazione fisici vengono compromessi, i dati rimangano illeggibili senza accesso autorizzato al vault esterno.

Ambito e specifiche della crittografia

AlloyDB Omni utilizza algoritmi AES-256 standard di settore per proteggere i dati.

  • File di dati (tabelle e indici): AES-256-XTS.
  • Log WAL (Write-Ahead Log): AES-256-CTR.
  • File temporanei: AES-256-XTS o AES-256-CTR a seconda del tipo di dati temporanei.
  • Wrapping di chiavi: AES-256-KWP.

Backup e alta affidabilità

Quando TDE è abilitato, i backup creati utilizzando pgBackRest ereditano la configurazione di crittografia del cluster di origine. In questo modo, i dati di backup rimangono protetti con lo stesso livello di sicurezza del database primario.

KMS e autenticazione supportati

AlloyDB Omni supporta HashiCorp Vault come provider KMS esterno. AlloyDB Omni supporta solo il motore di secret KV-V2 e l'unico metodo di autenticazione supportato è JWT.

Nota: AlloyDB Omni supporta KMS basato su file. Tuttavia, ti consigliamo di utilizzarlo solo a scopo di test e non nei carichi di lavoro di produzione.

Compatibilità degli strumenti PostgreSQL

I cluster con TDE abilitato supportano tutti gli strumenti PostgreSQL integrati, ad eccezione di initdb, in modo trasparente tramite le variabili di ambiente. Se utilizzi initdb, assicurati di passare l'URL della KEK. Per ulteriori informazioni, consulta Creare un cluster con TDE abilitato.

Limitazioni

  • Non puoi abilitare TDE sui cluster esistenti.
  • Una volta abilitato, non puoi disabilitare TDE.
  • Gli upgrade della versione principale non sono supportati per i cluster con TDE abilitato.
  • Non puoi ripristinare i backup criptati su server non criptati o i backup non criptati su server criptati.
  • La rotazione delle DEK non è supportata.
  • La rotazione delle KEK è supportata a condizione che il percorso dell'URL della KEK rimanga invariato.
  • La rotazione delle KEK è supportata solo per HashiCorp Vault come provider KMS esterno.
  • Non puoi CREATE DATABASE utilizzando la strategia FILE_COPY.
  • Nei cluster con TDE abilitato, i backup di Barman supportano solo la modalità rsync. Il metodo di backup postgres non è supportato.

Passaggi successivi