AlloyDB Omni 的透明数据加密

Select a documentation version: 18.1.1keyboard_arrow_down

• Current (18.1.1)
• 18.1.1

借助透明数据加密 (TDE)，您无需修改应用代码，即可保护 AlloyDB Omni 集群中的所有静态数据。启用此功能后，您可以确保表、索引和预写式日志 (WAL) 在写入磁盘之前自动加密。这有助于您满足合规性要求并保护敏感信息。

加密是透明的，因为 SQL 查询、DDL 和 DML 操作可以正常运行，而无需更改应用。数据在写入磁盘之前会自动加密，并在读入内存时解密。

密钥层次结构

AlloyDB Omni 实现了双层密钥层次结构，可在数据库和用户管理的安全基础架构之间严格实现职责分离。

• 数据加密密钥 (DEK)：由 AlloyDB Omni 生成和拥有。这些密钥用于加密实际数据文件、WAL、 和临时文件。AlloyDB Omni 会将 DEK 存储在磁盘上，但会使用 KEK 对其进行封装。
• 密钥加密密钥 (KEK)：您在外部密钥管理服务 (KMS) 中管理的主密钥。AlloyDB Omni 使用您的 KEK 来加密 DEK。 AlloyDB Omni 仅在启动时访问此密钥以解封 DEK。您的 KEK 永远不会永久存储在数据库磁盘上。

TDE 如何与 AlloyDB Omni 搭配使用

启用 TDE 后，AlloyDB Omni 会使用与外部 KMS 集成的分层加密模型来保护您的数据。

• 初始化和密钥检索：在集群的启动或初始化阶段，AlloyDB Omni 引擎会与您的 KMS 建立安全连接。它会使用 JSON Web 令牌 (JWT) 进行身份验证并检索 KEK。
• 解封 DEK：AlloyDB Omni 使用您的 KEK 来解封 DEK，这些 DEK 以封装状态存储在本地存储空间中。然后，这些 DEK 会加载到内存中。
• 透明数据操作：
  • 写入磁盘：当数据库将数据块、WAL 记录或临时文件写入物理磁盘时，它会在写入物理磁盘之前使用 AES-256 算法自动加密数据。
  • 从磁盘读取：当数据库需要将数据读入内存时，它会使用内存中保存的 DEK 自动解密这些块。
• 安全边界：您的 KEK 永远不会存储在本地数据库磁盘上，因此即使物理存储介质遭到入侵，在未经授权访问外部保险库的情况下，数据仍无法读取。

加密范围和规范

AlloyDB Omni 使用行业标准的 AES-256 算法来保护您的数据。

• 数据文件（表和索引）： AES-256-XTS。
• 预写式日志 (WAL)： AES-256-CTR。
• 临时文件： AES-256-XTS 或 AES-256-CTR，具体取决于临时数据的类型。
• 密钥封装： AES-256-KWP。

备份和高可用性

启用 TDE 后，使用 pgBackRest 创建的备份会继承源集群的加密配置。这可确保您的备份数据与主数据库保持相同的安全级别。

支持的 KMS 和身份验证

AlloyDB Omni 支持 HashiCorp Vault 作为外部 KMS 提供商。AlloyDB Omni 仅支持 KV-V2 Secret 引擎，并且唯一支持的身份验证方法是 JWT。

注意：AlloyDB Omni 支持基于文件的 KMS。不过，我们建议您仅将其用于测试目的，而不要用于生产工作负载。

PostgreSQL 工具兼容性

启用了 TDE 的集群通过环境变量透明地支持所有内置 PostgreSQL 工具（initdb 除外）。 如果您使用 initdb，请确保传递 KEK 网址。 如需了解详情，请参阅 创建启用了 TDE 的集群。

限制

• 您无法在现有集群上启用 TDE。
• 启用后，您无法停用 TDE。
• 启用了 TDE 的集群不支持主要版本升级。
• 您无法将加密的备份恢复到未加密的服务器，也无法将未加密的备份恢复到加密的服务器。
• 不支持 DEK 轮替。
• 只要 KEK 网址路径保持不变，就支持 KEK 轮替。
• 仅当 HashiCorp Vault 作为外部 KMS 提供商时，才支持 KEK 轮替。
• 您无法使用 FILE_COPY 策略 CREATE DATABASE。
• 在启用了 TDE 的集群上，Barman 备份仅支持 rsync 模式。不支持 postgres 备份方法。

后续步骤

• 创建启用了 TDE 的集群。