PostgreSQL透明數(shù)據(jù)加密

Cybertec為PG提供了一個透明數(shù)據(jù)加密（TDE）的補丁。是目前唯一支持透明加密數(shù)據(jù)（集群）級的實現(xiàn)，獨立于操作系統(tǒng)或文件系統(tǒng)加密。

透明數(shù)據(jù)加密如何工作

補丁背后的思想是：以加密格式（靜態(tài)加密）安全存儲組成PG集群的所有文件到磁盤上，從磁盤讀取時解密數(shù)據(jù)塊。數(shù)據(jù)在內存中未加密。只需要數(shù)據(jù)庫初始化時加密，啟動時服務器可以訪問初始化數(shù)據(jù)庫使用的密鑰。通過一個指定的配置參數(shù)提供加密密鑰，該參數(shù)指定一個自定義密鑰設置命令來實現(xiàn)特殊的安全要求。

任何有興趣使用次功能的人都應該考慮以下特征：

1）從應用程序的角度來看，加密是透明的。

2）使用單一密鑰對整個集群進行加密

細節(jié)

由于數(shù)據(jù)存儲在磁盤上，我們的方法自然基于“磁盤加密理論”。對于每種類型的文件，在適當操作模式下使用AES密碼。AES密碼本身以最有效的方式加密／解密單個塊（加密塊）。數(shù)據(jù)在磁盤上是安全的。

幸運的是，英特爾和AMD為AES加密提供了卓越的硬件支持。這確保了PG TDE對性能影響最小。我們可以看到，系統(tǒng)在現(xiàn)代服務器上每秒加密和解碼千兆字節(jié)的數(shù)據(jù)。給定一個典型的工作負載，TDE對性能的影響基本上是無關緊要的。

加密整個數(shù)據(jù)庫生態(tài)系統(tǒng)

安全不是一個孤立的問題。要真正保護系統(tǒng)，必須考慮許多層，并且必須確保覆蓋所有組件。因此，PG TDE是您基礎架構的理想解決方案。

PG TDE不僅提供靜態(tài)數(shù)據(jù)加密，還確保整個生態(tài)系統(tǒng)的加密，包括：

通過SSL傳輸加密（客戶端／服務器）、加密復制、完全安全的副本

PG TDE完美的整合到了SELinux中，為您整個基礎架構提供了堅實的基礎。此外，標準PG的所有功能都可以用。