南大通用GBase 8s数据库透明数据加密TDE配置指南

原文链接：https://www.gbase.cn/community/post/4149
更多精彩内容尽在南大通用GBase技术社区，南大通用致力于成为用户最信赖的数据库产品供应商。

在信息安全日益受到重视的今天，数据库的加密功能成为保护数据不可或缺的手段。在企业运营中，经常需要处理包含敏感信息的数据，如客户个人信息、财务记录等。南大通用GBase 8s数据库提供了强大的透明数据加密(TDE)功能，通过南大通用GBase 8s的TDE加密功能，对数据内容进行加密，确保数据在存储和备份过程中的安全性，从而有效防止数据泄露带来的风险。本文将详细介绍GBase 8s数据库TDE的配置流程，从环境准备到加解密设置，为您提供一份详尽的操作手册进行参考。

注：不考虑docker版本

1、环境准备及软件版本

前置条件：在Centos7.9操作系统上正确安装及配置GBase 8s V8.8 ，为后续步骤做好环境准备工作。安装版本可以在官网下载，并参考《GBase 8s V8.8 安装手册.pdf》进行安装。

下载地址：GBase 8s V8.8|下载中心|天津南大通用数据技术股份有限公司|GBASE-致力于成为用户最信赖的数据库产品供应商

2、创建用户数据库

指导如何创建数据库和表，以及如何插入示例数据，为后续的加解密操作做准备。

create database dbtest1 in datadbs1 with log;
create table tab1 (col1 char(10),col2 varchar(10),col3 nchar(10),col4 nvarchar(10));
insert into tab1 values('aaa','AAA','naaa','NAAA');
insert into tab1 values('AAA','aaa','NAAA','naaa');
select * from tab1;

3、加密配置：

详细说明加密配置的步骤，包括确认明文存储、备份数据库、拷贝和修改加密配置文件、停止和重新初始化数据库服务，以及使用dbimport恢复数据库。

注：如下操作使用gbasedbt用户执行

1、确认明文存储。

 grep 'aaa' /opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1

2、备份指定数据库，路径要存在。

dbexport dbtest1 -ss -o /home/gbasedbt/backup

3、使用std文件拷贝出两个加密配置文件。

   cd $GBASEDBTDIR/etc
   cp secswitch.std   secswitch.$GBASEDBTSERVER
   cp securityconfig.std  securityconfig.$GBASEDBTSERVER

4、修改 secswitch.$GBASEDBTSERVER 。

   修改参数值如下：

  SECURITY_AUTHENTICATION=7
  SECURITY_STORAGE_ENCRYPTION=1
  SECURITY_BACKUP_RESTORE=1

5、修改 securityconfig.$GBASEDBTSERVER 

   修改两个参数值如下：

[storage]
##the type of storage encryption
ENCRYPTION_TYPE=SOFT

#the configuration for backup encryption
[backup]
##the type of backup encryption
ENCRYPTION_TYPE=SOFT

6、使用 gbasedbt 用户停止数据库服务

  onmode -ky

7、使用 gbasedbt 用户执行初始化脚本，加密配置生效

sh /opt/GBASE/gbase/etc/GBaseInit_gbasedbt.sh

8、使用gbasedbt用户进入到 /home/gbasedbt/backup目录

a）cd /home/gbasedbt/backup

b)  dbimport dbname -d datadbs1 -l buffered 

注意：dbname是要恢复的数据库的名称

9、使用gbasedbt用户切换逻辑日志，使数据落盘

a）onmode -l

b）onmode -c

10、grep 'aaa' /opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1 

没有明文数据

4、 解密配置：

同样详细描述解密过程，包括确认数据为密文存储、备份数据库、删除加密配置文件、重新初始化数据库服务，以及使用dbimport恢复数据库。

注：解密配置如下操作使用gbasedbt用户执行

1、确认数据为密文存储

grep 'aaa' /opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1 

2、备份指定数据库，路径要存在

dbexport dbtest1 -ss -o /home/gbasedbt/backup  

注意：dbtest1是要备份的数据库的名称

3、删除掉两个配置文件

cd $GBASEDBTDIR/etc
rm -rf secswitch.$GBASEDBTSERVER  securityconfig.$GBASEDBTSERVER

4、使用 gbasedbt 用户执行

su - gbasedbt
onmode -ky

5、使用 gbasedbt 用户执行初始化脚本，明文配置生效

sh /opt/GBASE/gbase/etc/GBaseInit_gbasedbt.sh

6、使用gbasedbt用户进入到 /home/gbasedbt/backup目录

su - gbasedbt
cd /home/gbasedbt/backup
dbimport dbname -d datadbs1 -l buffered

注意：dbname是要恢复的数据库的名称

7、使用gbasedbt用户切换逻辑日志，使数据落盘

onmode -l
onmode -c

8、grep 'aaa' /opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1 

      是明文数据

注：在操作过程中需要注意的事项，如使用正确的用户执行命令、路径存在性确认、以及配置文件的正确修改。

通过本文的介绍，您应能全面了解南大通用GBase 8s数据库TDE的配置流程。数据安全是企业的生命线，而GBase 8s的TDE功能为您提供了坚实的安全保障。我们期望通过本指南帮助您更有效地管理和保护您的数据资产。

原文链接：https://www.gbase.cn/community/post/4149
更多精彩内容尽在南大通用GBase技术社区，南大通用致力于成为用户最信赖的数据库产品供应商。