PostgreSQL透明數(shù)據(jù)加密

Cybertec為PG提供了一個(gè)透明數(shù)據(jù)加密（TDE）的補(bǔ)丁。是目前唯一支持透明加密數(shù)據(jù)（集群）級(jí)的實(shí)現(xiàn)，獨(dú)立于操作系統(tǒng)或文件系統(tǒng)加密。

透明數(shù)據(jù)加密如何工作

補(bǔ)丁背后的思想是：以加密格式（靜態(tài)加密）安全存儲(chǔ)組成PG集群的所有文件到磁盤上，從磁盤讀取時(shí)解密數(shù)據(jù)塊。數(shù)據(jù)在內(nèi)存中未加密。只需要數(shù)據(jù)庫(kù)初始化時(shí)加密，啟動(dòng)時(shí)服務(wù)器可以訪問初始化數(shù)據(jù)庫(kù)使用的密鑰。通過一個(gè)指定的配置參數(shù)提供加密密鑰，該參數(shù)指定一個(gè)自定義密鑰設(shè)置命令來實(shí)現(xiàn)特殊的安全要求。

任何有興趣使用次功能的人都應(yīng)該考慮以下特征：

1）從應(yīng)用程序的角度來看，加密是透明的。

2）使用單一密鑰對(duì)整個(gè)集群進(jìn)行加密

細(xì)節(jié)

由于數(shù)據(jù)存儲(chǔ)在磁盤上，我們的方法自然基于“磁盤加密理論”。對(duì)于每種類型的文件，在適當(dāng)操作模式下使用AES密碼。AES密碼本身以最有效的方式加密／解密單個(gè)塊（加密塊）。數(shù)據(jù)在磁盤上是安全的。

幸運(yùn)的是，英特爾和AMD為AES加密提供了卓越的硬件支持。這確保了PG TDE對(duì)性能影響最小。我們可以看到，系統(tǒng)在現(xiàn)代服務(wù)器上每秒加密和解碼千兆字節(jié)的數(shù)據(jù)。給定一個(gè)典型的工作負(fù)載，TDE對(duì)性能的影響基本上是無關(guān)緊要的。

加密整個(gè)數(shù)據(jù)庫(kù)生態(tài)系統(tǒng)

安全不是一個(gè)孤立的問題。要真正保護(hù)系統(tǒng)，必須考慮許多層，并且必須確保覆蓋所有組件。因此，PG TDE是您基礎(chǔ)架構(gòu)的理想解決方案。

PG TDE不僅提供靜態(tài)數(shù)據(jù)加密，還確保整個(gè)生態(tài)系統(tǒng)的加密，包括：

通過SSL傳輸加密（客戶端／服務(wù)器）、加密復(fù)制、完全安全的副本

PG TDE完美的整合到了SELinux中，為您整個(gè)基礎(chǔ)架構(gòu)提供了堅(jiān)實(shí)的基礎(chǔ)。此外，標(biāo)準(zhǔn)PG的所有功能都可以用。