PostgreSQL透明數(shù)據(jù)加密

Cybertec為PG提供了一個透明數(shù)據(jù)加密（TDE）的補丁,。是目前唯一支持透明加密數(shù)據(jù)（集群）級的實現(xiàn),，獨立于操作系統(tǒng)或文件系統(tǒng)加密,。

透明數(shù)據(jù)加密如何工作

補丁背后的思想是：以加密格式（靜態(tài)加密）安全存儲組成PG集群的所有文件到磁盤上,，從磁盤讀取時解密數(shù)據(jù)塊。數(shù)據(jù)在內(nèi)存中未加密,。只需要數(shù)據(jù)庫初始化時加密,，啟動時服務(wù)器可以訪問初始化數(shù)據(jù)庫使用的密鑰。通過一個指定的配置參數(shù)提供加密密鑰,，該參數(shù)指定一個自定義密鑰設(shè)置命令來實現(xiàn)特殊的安全要求,。

任何有興趣使用次功能的人都應(yīng)該考慮以下特征：

1）從應(yīng)用程序的角度來看，加密是透明的,。

2）使用單一密鑰對整個集群進(jìn)行加密

細(xì)節(jié)

由于數(shù)據(jù)存儲在磁盤上,，我們的方法自然基于“磁盤加密理論”。對于每種類型的文件,，在適當(dāng)操作模式下使用AES密碼,。AES密碼本身以最有效的方式加密／解密單個塊（加密塊）。數(shù)據(jù)在磁盤上是安全的,。

幸運的是,，英特爾和AMD為AES加密提供了卓越的硬件支持。這確保了PG TDE對性能影響最小,。我們可以看到,，系統(tǒng)在現(xiàn)代服務(wù)器上每秒加密和解碼千兆字節(jié)的數(shù)據(jù)。給定一個典型的工作負(fù)載,，TDE對性能的影響基本上是無關(guān)緊要的,。

加密整個數(shù)據(jù)庫生態(tài)系統(tǒng)

安全不是一個孤立的問題。要真正保護(hù)系統(tǒng),，必須考慮許多層,，并且必須確保覆蓋所有組件,。因此,，PG TDE是您基礎(chǔ)架構(gòu)的理想解決方案。

PG TDE不僅提供靜態(tài)數(shù)據(jù)加密，還確保整個生態(tài)系統(tǒng)的加密,，包括：

通過SSL傳輸加密（客戶端／服務(wù)器）,、加密復(fù)制、完全安全的副本

PG TDE完美的整合到了SELinux中,，為您整個基礎(chǔ)架構(gòu)提供了堅實的基礎(chǔ),。此外，標(biāo)準(zhǔn)PG的所有功能都可以用,。