1、阿里云KMS(密钥管理服务)支持软件密钥与硬件密钥两种;
1.1软件密钥主要是通过软件模块生产符合国际的加密算法,可以对业务与云产品进行加密;
1.2硬件密钥是通过KMS托管Cloudhsm的方式针对加密机内的密钥进行管理,支持国密算法与国际密码算法。
1.3 默认密钥,阿里云的KMS产品在每个Region都提供默认密钥(CMK的默认密钥)为云产品提供免费的加密能力,该密钥支持BYOK(Bring your own key)
2、数据库产品-云产品加密:(落盘加密、TDE加密 )
2.1 数据库云盘加密, 在采购阿里云的数据库产品时,可以选择是否针对该系统盘或者拓展磁盘进行加密;
该加密类型是针对数据库与数据存放的数据盘进行加密,不影响业务的整个使用,业务不感知。
2.2 数据库产品TDE加密:
2.2.1 TDE加密架构图
2.2.2 TDE 开启限制说明:
-
实例类型如下:
-
RDS MySQL 8.0高可用系列本地盘实例(内核小版本20191015及以上)
-
RDS MySQL 5.7高可用系列本地盘实例(内核小版本20191015及以上)
-
RDS MySQL 5.6
-
2.2.3 TDE开启
登陆到阿里云的数据库产品控制台,以RDS为力,需要登陆到产品控制台,选择数据安全性,并且在页面中选择TDE模块;
开启TDE时,可以选择默认阿里云提供免费密钥,也可以选择自己采购的KMS创建的用户主密钥进行透明加密;
备注:
1. 开通前请先确保已开通KMS服务。
2. 禁用密钥,设置了删除密钥计划,或者删除了密钥材料,都会导致CMK不可用。请谨慎操作。
3. 撤销授权关系,并重启后,RDS实例会不可用。请谨慎操作。
4. 当前页面操作人员需要使用主账号,或者具有AliyunSTSAssumeRoleAccess权限的账号。
开启TDE之后数据库性能有所下降,但是下降幅度较低;
名词解释:透明数据加密TDE(Transparent Data Encryption),即对数据文件执行实时I/O加密和解密。数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。TDE不会增加数据文件的大小,开发人员无需更改任何应用程序,即可使用TDE功能。
扫一扫
177
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
