MySQL 5.7 引入了 keyring_file 插件,实现整表加密。虽然本地存放的解密key可能导致安全性问题,但企业版提供更安全的加密方案如 keyring_okv 和 keyring_aws。本文概述了四种加密模块,强调了 keyring_okv 和 keyring_aws 的优势,并提供了 keyring_file 的部署步骤。
说明
MySql社区版从5.7.11开始支持基于表的数据加密方案,模块名为keyring_file,支持加密整张表。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密整张表的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。
总体看这种方案不太安全,原因是数据库文件是加密的,但只要能有mysql服务的账户,那么访问数据都是解密后的,加密不攻自破。而且解密key也是本地存放的,入侵者完全可以一并带走。这种方案只能保证入侵者只拖走了数据库文件后无法读取内容。
企业版MySQL额外的三种模块
如果是企业版的mysql,那么还有另外三种加密方案。
1.keyring_encrypted_file
和我之前说的社区版差不多的,只是多了一个key。这个key用于加密解密数据库用的key。安全性方面都差不多。
2.keyring_okv
相比本地存放key,本模块使用KMIP存取key,相对更加安全。
3.keyring_aws
整合aws的密匙管理服务来管理加解密的key。进一步提高key的管理安全性。
四个加密模块支持的加密类型
模块名
可用加密算法
密钥长度限制
keyring_encrypted_file
AES
DSA
RSA无限制
无限制
无限制
keyring_file
AES
DSA
RSA
无限
最低0.47元/天 解锁文章
扫一扫
1185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
